Criminalità e tecnologia: piattaforme di comunicazione sicure

I criminali sono sempre stati relativamente veloci nell’adottare nuove tecnologie. Dai contrabbandieri che assemblavano flotte di veicoli a motore negli anni ’30 per il trasporto illegale di alcolici ai trafficanti di droga che sfruttavano aerei di linea commerciali per trasportare cocaina dal Sud America negli anni ’60, la tecnologia ha sempre creato opportunità per i criminali. L’era attuale non fa eccezione e i criminali stanno rapidamente adottando la tecnologia per aiutarli a comunicare in segreto, vendere le loro merci illecite nei mercati virtuali e inviare e ricevere pagamenti tramite nuove forme di valuta.

---

Le tecnologie stanno aiutando le organizzazioni criminali a condurre attività tradizionali (come il traffico di droga) in modo più efficiente e creando campi di attività criminali completamente nuovi, come attacchi ransomware e strumenti standard per facilitare gli attacchi informatici.

Ma con la nuova tecnologia arrivano nuove vulnerabilità e le forze dell’ordine di tutto il mondo stanno dimostrando che possono anche sfruttare l’efficienza della nuova tecnologia per contrastare l’attività criminale. In questa serie in tre parti su crimine e tecnologia, esploreremo come i criminali stanno adottando nuove forme di comunicazione per coordinare l’attività criminale, nuovi mercati per la vendita di merci illecite e nuovi modi per facilitare i pagamenti che si rivolgono a un mercato più virtuale. Ogni analisi esplorerà come i criminali utilizzano la tecnologia in questione, come li rende vulnerabili al rilevamento e cosa aspettarsi in futuro. Innanzitutto, consideriamo come i criminali utilizzano piattaforme di comunicazione sicure per coordinare le attività tra le organizzazioni e in tutto il mondo e come quelle stesse piattaforme possono renderli vulnerabili.

Le piattaforme di comunicazione sicure e private stanno proliferando poiché sempre più persone in tutto il mondo cercano modi per rimanere in contatto con gli altri, pur essendo discreti su quali informazioni condividono con chi. Ogni settimana apparentemente porta nuove rivelazioni su informazioni apparentemente private compromesse in una violazione dei dati, attacchi informatici ostili, operazioni di sorveglianza del governo o da aziende private che raccolgono dettagli personali sui loro utenti. La preoccupazione per la privacy ha guidato la domanda di piattaforme tradizionali come WhatsApp e iMessage, che consentono a individui e gruppi di condividere informazioni attraverso canali crittografati. Le piattaforme di messaggistica crittografate sono attraenti negli affari e nei rapporti commerciali, consentendo agli utenti di estrarre i dettagli su una transazione.

La privacy fornita dai servizi tradizionali come WhatsApp e iMessage non è sacrosanta. Tali piattaforme sono gestite da importanti società, in questi casi rispettivamente Facebook e Apple, che rientrano nella giurisdizione legale degli Stati Uniti. Se le forze dell’ordine hanno motivo di sospettare che gli individui conducano attività illegali sulle piattaforme di messaggistica, possono presentare richieste di informazioni alla società al fine di ottenere dettagli che potrebbero facilitare accuse e arresti legali. Sebbene le aziende reclamino la privacy fornita dai loro prodotti, hanno anche una reputazione da difendere e non trarrebbero vantaggio dall’essere associate a traffico di droga, pornografia infantile, minacce di violenza o altre attività illecite. In breve, c’è un limite alla privacy che le grandi aziende tollerano sui loro servizi.

Proprio come i servizi di messaggistica crittografati avvantaggiano le attività commerciali e commerciali legittime, anche i gruppi criminali e terroristici possono trarne vantaggio. Il dibattito pubblico sulla legalità delle comunicazioni crittografate e dei dispositivi elettronici sicuri è accelerato dopo l’attacco terroristico di San Bernardino del 2015, quando un team di marito e moglie ha ucciso 14 persone prima che le forze dell’ordine le uccidessero. Nonostante gli appelli delle forze dell’ordine ad Apple per aiutarli a sbloccare un iPhone appartenente a uno degli aggressori, Apple ha rifiutato, sostenendo che non avrebbe compromesso la privacy degli utenti per aiutare con le indagini. L’FBI alla fine ha ottenuto l’accesso al telefono con l’aiuto di una terza parte.

L’attacco al San Bernardino e le conseguenti indagini hanno aumentato la consapevolezza pubblica della crittografia e dei limiti della privacy personale sui dispositivi elettronici. Anche se Apple ha mantenuto la sua posizione sulla protezione della privacy degli utenti, è diventato chiaro che le autorità statunitensi avevano vie legali per cercare di imporre la conformità e/o violare la crittografia che supportava tale privacy. Questo sviluppo ha accelerato l’adozione da parte dei criminali di più app e servizi di nicchia per garantire sicurezza e privacy al di là delle app di servizi di messaggistica crittografate ampiamente utilizzate dal pubblico in generale.

In che modo i criminali utilizzano la tecnologia di comunicazione crittografata

I criminali continuano senza dubbio a utilizzare le piattaforme di comunicazione tradizionali, nonostante le vulnerabilità della sicurezza, perché sono economiche, di facile accesso e consentono loro di comunicare con un vasto pubblico. A maggio 2021, WhatsApp contava 2,5 miliardi di utenti in oltre 100 paesi, il che la rende l’app di comunicazione crittografata più utilizzata al mondo. Ci sono circa 1,3 miliardi di utenti iMessage attivi; un’altra popolare app di messaggistica crittografata, Telegram, ha 500 milioni di utenti. I criminali hanno sfruttato gli enormi mercati a cui possono accedere tramite i popolari servizi di messaggistica per vendere i loro prodotti illeciti.

• Un gruppo di ricerca affiliato a Norton Cyber Security ha pubblicato un rapporto nel 2021 che illustra come i criminali utilizzano Telegram per vendere di tutto, dai documenti contraffatti alle informazioni di identificazione personale, al malware informatico che facilita le attività criminali online come il denial of service distribuito e gli attacchi ransomware.
• Un’indagine federale nel 2020 ha smantellato un’operazione di traffico di oppioidi e fentanil sulla costa orientale che si basava almeno in parte su iMessage per il coordinamento.
• Nel 2019, Insight Crime ha riferito che le bande di strada in Messico stavano utilizzando WhatsApp per pubblicizzare le vendite di droga, i prezzi di listino, la disponibilità e organizzare la consegna.

Come dimostrato negli esempi precedenti, nonostante le maggiori impostazioni sulla privacy di queste app a causa della crittografia, l’attività criminale è ancora abbastanza facilmente individuabile, sia da ricercatori indipendenti che da autorità legali. Poiché app come WhatsApp e iMessage sono ampiamente disponibili, gli attori criminali che conducono attività illegali sulle piattaforme non possono mai essere veramente sicuri di chi hanno a che fare: gli agenti di polizia possono spacciarsi per acquirenti o partner commerciali sulle app di messaggistica più facilmente di quanto possano nel fisico mondo.

Al fine di fornire un livello di sicurezza più profondo, negli ultimi cinque anni è emerso un nuovo gruppo di servizi di messaggistica crittografati. Tali servizi non mirano ad essere il prossimo WhatsApp, iMessage o anche Telegram, ma lavorano per rimanere sconosciuti se non per il piccolo numero di persone che li utilizzano. Dal 2018, le forze dell’ordine hanno eliminato tre di questi servizi: Phantom Secure , EncroChat e Sky Global. Hanno tutti seguito strategie simili per fornire una sicurezza di livello superiore nelle comunicazioni elettroniche. I servizi hanno utilizzato dispositivi elettronici ampiamente disponibili, li hanno ridotti ai soli componenti più essenziali (rimozione di fotocamere, microfoni, dispositivi GPS o altri componenti che potrebbero compromettere la sicurezza dell’utente) e hanno installato sul telefono un’unica app che consentiva all’utente di comunicare solo con persone che avevano anche accesso a quell’app. La tecnologia di crittografia alla base dell’app stessa non era necessariamente nuova, ma piuttosto la natura monouso dell’app e del dispositivo che la ospitava, che assicurava che le comunicazioni rimanessero isolate da altri servizi che potevano compromettere la sicurezza dell’utente. I servizi offrivano anche una funzionalità che avrebbe distrutto i messaggi passati e persino spento i singoli dispositivi se fossero stati sequestrati o altrimenti compromessi. Inserendo il servizio in sandbox su un dispositivo dedicato e consentendo agli utenti di comunicare solo con altri utenti, queste piattaforme di messaggistica crittografate hanno fornito una maggiore sicurezza operativa.

Sebbene i servizi apparentemente aiutassero i dirigenti aziendali e le celebrità a garantire discrezione nei rapporti commerciali e/o nelle questioni personali, erano immensamente popolari tra i criminali. Le caratteristiche di sicurezza aggressive dei servizi di messaggistica hanno offerto ai criminali un senso di comfort, portandoli a discutere i dettagli delle vendite e delle spedizioni di droga in termini semplici anziché in codice. Ad esempio, gli investigatori britannici hanno accusato un ex Royal Marine di traffico di droga dopo aver intercettato messaggi dal suo account EncroChat che discutevano apertamente del prezzo e dei metodi di consegna di marijuana, MDMA, eroina e altre droghe, nonché immagini delle spedizioni per offrire ai potenziali acquirenti la prova di qualità. L’attività criminale non si limitava solo al traffico di droga: la polizia ha accusato gli utenti di Phantom Secure di aver tentato di organizzare omicidi sulla piattaforma.

È importante notare che le piattaforme di messaggistica di sicurezza avanzate sono state utilizzate principalmente per facilitare la vendita all’ingrosso di farmaci e le spedizioni tra organizzazioni criminali. Non sono pratici quando si tratta di vendita di farmaci al dettaglio a causa del numero limitato di utenti. Rispetto ai miliardi di utenti sui principali servizi di messaggistica come WhatsApp, iMessage e Telegram, piattaforme di nicchia come Phantom Secure, EncroChat e Sky Global hanno misurato i loro utenti a decine di migliaia. Tuttavia, avevano ancora molto successo finanziario. Ogni dispositivo costa diverse migliaia di dollari e l’accesso ai servizi di messaggistica crittografata di nicchia costa fino a 1.000 dollari al mese. Una delle prime aziende che ha scoperto di essere coinvolta in un’attività del genere, Phantom Secure, ha guadagnato circa 80 milioni di dollari in oltre 10 anni di attività. Quando si tratta di piattaforme di comunicazione crittografate, più grande non è sempre meglio. E sulla base del successo finanziario delle aziende passate sul mercato, ne seguiranno sicuramente altre.

In che modo la tecnologia di comunicazione crittografata ha reso i criminali vulnerabili al rilevamento

Tutti i vantaggi delle piattaforme di comunicazione crittografate di nicchia sono arrivati ​​al prezzo di un maggiore controllo e sorveglianza della polizia. Il fatto che il pubblico sia a conoscenza di aziende come Phantom Secure, EncroChat e Sky Global è la prima indicazione che le loro piattaforme di messaggistica crittografate non erano sicure come pubblicizzate. Phantom Secure è crollato dopo che l’FBI ha arrestato il suo proprietario, Vincent Ramos, nel 2018 per aver facilitato consapevolmente attività criminali. EncroChat ha chiuso i suoi servizi nel 2020 dopo aver appreso che la polizia francese stava monitorando i suoi server e raccogliendo informazioni sulle comunicazioni criminali sulla piattaforma. All’inizio del 2021, le autorità europee hanno ottenuto l’accesso alla rete sicura di Sky Global e hanno monitorato l’attività di 70.000 utenti prima di chiudere l’operazione.

La vulnerabilità chiave di questi servizi è che dipendevano dai server per gestire il traffico crittografato e assicurarsi che i messaggi andassero dove dovrebbero andare. In tutti e tre i casi, la polizia ha scoperto i servizi quando ha notato sospetti criminali che trasportavano dispositivi elettronici insoliti. La raccolta di prove sugli individui in genere dà alle forze dell’ordine una leva su di loro che usano per trasformare i sospetti in informatori, il che può portare a ulteriori prove e arresti. Alla fine gli investigatori sono stati in grado di rintracciare i server che supportavano quei dispositivi. Quando tali server si trovano fisicamente nella giurisdizione di un’agenzia delle forze dell’ordine o in quella di un paese partner, le autorità possono ottenere l’approvazione legale per cercare o monitorare quei server. Una volta che gli investigatori hanno accesso ai server, possono intercettare messaggi e iniziare a raccogliere prove per effettuare arresti. Come dimostrato nel caso San Bernardino del 2015, è possibile violare la crittografia e le forze dell’ordine sembrano essere state in grado di farlo in base al loro accesso a messaggi di testo in chiaro e immagini condivise sulle piattaforme.

Nel caso più recente di polizia che ha preso di mira le reti di comunicazione criminali, le autorità hanno ampliato il loro accesso dai server ai dispositivi stessi. All’inizio di giugno, le agenzie di polizia di tutto il mondo hanno iniziato ad annunciare arresti legati all’operazione Trojan Shield, un’operazione di due anni che ha indotto i criminali a utilizzare presumibilmente l’ultimo e più grande servizio di messaggistica crittografata, chiamato “Anom”. Sebbene i dispositivi seguissero protocolli simili a quelli dei loro predecessori – telefoni smontati la cui unica funzione era quella di inviare e ricevere messaggi protetti tramite un’app mascherata da calcolatrice – c’era una differenza importante e fondamentale: le forze dell’ordine avevano inserito un codice nel programma di messaggistica che inoltrato una copia non crittografata di tutti i messaggi a un server da loro controllato. In due anni, i dispositivi hanno agito come vasetti di miele per attirare quasi 12.000 attori criminali in tutto il mondo, producendo 20 milioni di messaggi individuali che le autorità hanno utilizzato per arrestare alla fine 800 persone e oltre.

Il successo dell’operazione è dipeso dall’accesso alle reti di criminali tanto quanto dal pezzo di codice che ha inoltrato copie di tutti i messaggi. L’FBI è riuscita a portare a termine l’operazione reclutando una fonte umana riservata che aveva lavorato allo sviluppo del servizio Phantom Secure. Dopo l’arresto di Vincent Ramos e il crollo di Phantom Secure nel 2018, CHS ha iniziato a sviluppare il servizio di messaggistica crittografata di nicchia di nuova generazione quando l’FBI lo ha arrestato. Hanno elaborato un accordo in base al quale la fonte umana riservata avrebbe continuato con i suoi piani per lanciare un nuovo servizio di messaggistica crittografata, ma avrebbe incluso il codice di tracciamento sui dispositivi e li avrebbe spediti ai criminali per aiutare la polizia a monitorare l’attività criminale. Essendo stato strettamente coinvolto nel successo di Phantom Secure, la fonte umana riservata non solo aveva l’esperienza tecnica, ma anche la reputazione e la credibilità all’interno delle organizzazioni criminali di tutto il mondo in modo che quando inviava un dispositivo, si fidavano di lui. Come accennato in precedenza, i servizi di messaggistica crittografati di nicchia non possono avere successo allo stesso modo dei servizi tradizionali a causa della saturazione e della scala del mercato. Invece, discrezione ed esclusività sono essenziali e la fonte umana riservata è stata in grado di convincere i suoi contatti che i dispositivi che ha fornito erano sicuri e privati.

Sebbene l’operazione Trojan Shield abbia registrato cifre impressionanti in termini di portata geografica, numero di arresti e beni criminali sequestrati, forse il suo impatto maggiore è stato sulla credibilità dei servizi di messaggistica crittografati di nicchia, almeno nell’immediato futuro. Nell’annunciare il culmine dell’operazione Trojan Shield all’inizio di giugno, l’FBI ha specificamente notato che uno degli obiettivi dello sforzo era quello di “scuotere la fiducia nei” servizi di messaggistica rivolti agli attori criminali. Il successo di questa operazione di puntura significa che almeno alcuni attori criminali saranno più cauti quando si tratterà di adottare servizi di comunicazione crittografati in futuro. Le prossime generazioni di fornitori di servizi dovranno affrontare una sfida considerevole per convincere gli utenti che i loro dispositivi sono sicuri dopo l’operazione Trojan Shield. Creare sfiducia nel mondo criminale renderà molto più difficile organizzare spedizioni di droga, condividere informazioni o discutere apertamente di altre questioni criminali. Qualsiasi degrado nelle reti di comunicazione criminale le rende meno efficienti, meno redditizie e meno in grado di espandere le operazioni nel prossimo futuro. Detto questo, ad un certo punto, questo impatto dirompente svanirà e, a lungo termine, è improbabile che l’operazione Trojan Shield e altri sforzi delle forze dell’ordine simili rivolti ai servizi di messaggistica crittografata ostacolino gravemente le attività criminali globali poiché i criminali si adattano e adottano nuove pratiche di comunicazione meno redditizie e meno in grado di espandere le operazioni nel prossimo futuro.

Cosa ci aspetta per comunicazioni criminali sicure

La domanda di comunicazioni sicure va ben oltre le semplici organizzazioni criminali e, dato il successo (anche se a breve termine) delle precedenti piattaforme di messaggistica crittografata di nicchia, ne arriveranno sicuramente altre. Le aziende legittime e le multinazionali vogliono essere in grado di comunicare senza compromettere la tecnologia chiave o le decisioni aziendali, le celebrità e gli individui di alto profilo vogliono allo stesso modo essere in grado di discutere di questioni personali senza che trapelano al pubblico e gli individui attenti alla sicurezza, in generale, vogliono essere in grado di comunicare senza che le loro informazioni vengano raccolte e vendute ai professionisti del marketing. A tal fine, i ricercatori lavorano costantemente su nuove tecnologie e le aziende forniscono costantemente nuovi servizi che offrono comunicazioni sicure e crittografate.

Una di queste tecnologie emergenti è la messaggistica blockchain, che utilizza la stessa tecnologia alla base delle criptovalute per inviare e ricevere messaggi sicuri. I progetti proposti significherebbero che solo gli utenti dei dispositivi che inviano e ricevono i messaggi sarebbero in grado di visualizzarli. Gli amministratori di rete, la società di messaggistica che fornisce il servizio e gli investigatori esterni delle forze dell’ordine non sarebbero in grado di intercettare i messaggi al di fuori dei dispositivi approvati per visualizzare i messaggi, almeno non senza informare l’autore e il destinatario del messaggio.

La sfida di offrire un tale servizio a lungo termine è capire come impedire che venga corrotto da criminali o terroristi. La polizia alla fine scoprirà servizi di comunicazione che facilitano l’attività criminale e il momento della verità arriverà per qualsiasi azienda di questo tipo quando sarà messa nella posizione di cooperare con le autorità o resistere. Cooperare con le autorità costerebbe a un’azienda la sua clientela criminale e resistere comporterebbe probabilmente accuse penali e la chiusura del servizio.

Un risultato potrebbe essere che i criminali sostenuti dallo stato facilitano le piattaforme di comunicazione crittografate ospitando server e altre infrastrutture critiche in ambienti più permissivi fuori dalla portata delle forze dell’ordine straniere. Questo risultato riconoscerebbe che la sicurezza della comunicazione non è tanto una questione di tecnologia di crittografia, ma la posizione fisica dei server che supportano il servizio. Paesi come la Russia e la Corea del Nord sono noti per tollerare e persino sostenere attività criminali fintanto che prendono di mira i loro rivali politici interni o nemici esterni e non mettono in discussione il proprio potere politico.

Un altro risultato potrebbe essere solo quello di continuare il gioco del gatto col topo con la polizia, dove criminali e fornitori di servizi accettano un alto tasso di turnover nello sviluppo di nuove app di messaggistica crittografata (insieme al rischio di arresto) come costo per fare affari. Nuovi servizi emergeranno e si spegneranno di fronte al controllo delle forze dell’ordine solo per riemergere in forme diverse in un ciclo sempre ripetuto.

Le organizzazioni criminali hanno un accesso immenso alle risorse e una richiesta ancora maggiore di segretezza nelle loro operazioni quotidiane. Queste due forze assicureranno che i servizi di comunicazione sicuri corrano il rischio di attrarre una clientela criminale e che alcune aziende si rivolgono persino ai criminali in modi che li aiutino a evitare il rilevamento delle forze dell’ordine. Ma proprio come queste dinamiche sono inevitabili, così è che le forze dell’ordine continueranno a trovare modi in piattaforme apparentemente sicure per identificare e, infine, interrompere i propri utenti. Questo stesso processo si svolge nel mondo oscuro dei mercati criminali online, di cui parleremo nella seconda parte di questa serie.

Bianca Laura Stan