F. Tonacci: Il suk delle carte clonate

IL SUK DELLE CARTE CLONATE

Fabio Tonacci

«La mia "roba" è la migliore in circolazione», scrive Devildumper. «Non ti fidi, amico? Allora prova questa carta. Te la do gratis. Vai su eBay e compra qualcosa. Ti accorgerai che non vendo robaccia».

Subito dopo sul nostro monitor appaiono tutti i numeri di una Visa Gold: le 16 cifre stampate sulla carta di credito, la data di scadenza, il codice di sicurezza. E poi il nome e l’indirizzo del titolare, un certo David Thigpen di Charlotte in North Carolina. Quanto basta per fare acquisti online con identità fasulla, a spese dell’ignaro titolare. Facciamo una verifica ed effettivamente la carta è attiva e funzionante.

«Ho 50 mila pezzi a disposizione - scrive ancora Devildumper - Visa, Mastercard, American Express. Tutto quello che vuoi. 6 dollari a pezzo. A voi europei vendo le carte americane. Con la mia "roba" diventi ricco, amico».

Quando gli chiediamo da dove arriva la sua merce, la conversazione su Icq si interrompe. Devildumper è offline. Nel mercato nero delle carte di credito ci sono delle regole da seguire. Non si fanno domande, si parla esclusivamente di affari, si paga in dollari, si resta anonimi e si comunica solo via computer in inglese.

Il web è infestato da migliaia di spacciatori virtuali come Devildumper. Sono hacker, fenomeni del computer esperti nella violazione dei database e nella clonazione dei supporti magnetici. Rubano numeri di carte di credito, codici di bancomat, pin, chiavi d’accesso a conti bancari, identità digitali. Ma non li usano. I soldi veri li fanno rivendendo sulla rete ciò che rubano dalla rete.

Gli investigatori di mezzo mondo li inseguono sul web, ma è una battaglia impari perché su internet i trafficanti di carte sanno diventare invisibili, si mimetizzano. E quando colpiscono, fanno male. Nel 2008 sono stati rubati in tutto il mondo 285 milioni di dati personali elettronici (fonte: Verizon Business). Un bottino enorme, gli abitanti di Giappone e Russia messi insieme, per capirci.

La parola d’ordine con cui siamo entrati nel mercato nero dei dati bancari è dump. In gergo hacker significa "codice copiato". Basta scrivere dumps seller, venditore di codici, in un qualsiasi motore di ricerca per trovare migliaia di annunci. Così abbiamo trovato Fonky1977. Con questo pseudonimo si intrufola nelle chat, lascia messaggi nei forum e nei siti di annunci immobiliari.

Lo agganciamo su Icq, il programma per chattare che garantisce l’anonimato perché si è identificati solo attraverso un numero. Niente e-mail o recapiti telefonici. Fonky1977 è finlandese, ha 32 anni. Ha un listino prezzi dettagliatissimo. «Il costo dipende dalla provenienza e dal limite massimo di utilizzo - ci spiega - una Mastercard Classic americana o canadese la vendo a 3 dollari. Le più care sono le italiane perché meno diffuse sul mercato: 15 dollari per una Classic, 25 per una Visa Gold, 35 per una Visa Platinum».

Fonky1977 non spaccia solo numeri di carte. Vende anche i dati delle bande magnetiche e può fare perfette riproduzioni su supporti in plastica, chip compreso. «Questo però ti costerà molto di più - scrive - 100 dollari per una Classic, 300 per una Gold. Ma la mia è roba buona, first hand stuff. Ci puoi fare shopping nei negozi in massima tranquillità. Sulla carta stampo il nome del vero titolare, quindi se ti chiedono un documento di identità procuratene uno falso. Ma stai tranquillo, sono pochi i negozi che lo fanno».

Milioni e milioni di codici e numeri smerciati come caramelle sul web. E le truffe dilagano. In Italia solo sul circuito Cartasì, che occupa un quarto del mercato con i suoi 7 milioni di clienti, ci sono stati più di 290 mila tentativi di transazione illecita nel 2008. L’utilizzo fraudolento di carte bancarie, stima la polizia postale, è aumentato del 30 per cento nel 2009. Significa acquisti e prelievi abusivi per milioni e milioni di euro.

All’estero non va meglio. Alla Gran Bretagna le frodi con carte costano 610 milioni di sterline all’anno. E negli Stati Uniti i sondaggi dicono che la clonazione dell’amata tessera di plastica fa più paura di un attacco terroristico.

«Molti sedicenti spacciatori sono in realtà millantatori - spiega Antonio Apruzzese, direttore del servizio della polizia postale del Dipartimento di pubblica sicurezza - vendono numeri a caso al pollo di turno e poi spariscono. Nell’ambiente li chiamano rippers, squartatori. Purtroppo però ci sono anche i ‘veri’, i trafficanti che hanno a disposizione codici autentici. Li rivendono quasi tutti alla grossa criminalità organizzata, che poi li diffonde sul territorio nei paesi più ricchi. Tra i loro clienti ci sono anche cittadini incensurati che vogliono fare i furbi.

Gli hacker più organizzati al momento si trovano in Russia, in Romania e nel Sud-Est Asiatico».

E russo è John Leaphead, che ha addirittura un sito registrato a Mosca. E’ metodico. Accetta ordini solo se superiori ai 500 dollari. Pretende il pagamento anticipato su un conto della Liberty Reserve, una società di money transfer con sede in Costa Rica. Fa sconti del 20 per cento ai clienti fedeli. Sostiene di avere accesso a un database di 3 milioni di dati e di poter rimediare in poche ore un migliaio di Visa Platinum a 40 dollari a pezzo. Si comporta come un grossista, i prezzi della sua merce variano a seconda della disponibilità.

«Quelli come lui sono i più pericolosi - dice Apruzzese - perché riescono davvero a penetrare nei database delle multinazionali, degli hotel e grossi centri commerciali. A volte non serve nemmeno essere dei fenomeni del computer. Basta avere dei complici nei posti giusti, ad esempio dietro lo sportello di una banca. La clonazione vera e propria, invece, è più laboriosa, bisogna manomettere le apparecchiature di pagamento per copiare le informazioni della banda magnetica. Per questo sul mercato nero le carte clonate costano di più».

Dumper66 lo troviamo mentre cerca clienti in un forum di discussione sull’arte italiana rinascimentale. Ha lasciato un messaggio. "Vendo logins freschissimi". Come se si trattasse di zucchine al mercato. In realtà sono le chiavi di accesso ai conti correnti online. Offre logins di conti aperti in decine di banche italiane. «Io vivo in Ghana - ci racconta durante l’unica, brevissima, conversazione su Skype che riusciamo a strappargli - i prezzi li fisso con la regola dei tre zeri. L’accesso a un conto con 40 mila dollari di liquidità disponibile, costa 40 dollari. Un conto da 20 mila, 20 dollari. Come faccio ad avere le password? Infetto i pc dei clienti delle banche con virus e trojan horse. Puoi spostare denaro a tuo vantaggio facendo bonifici. Se sei sveglio, non ti beccano».

Sembra facile. Troppo facile. «Invece non sempre la frode si concretizza - racconta Apruzzese- esistono sistemi di autenticazione basati su password temporanee monouso per l’accesso al conto online, che proteggono dagli utilizzi fraudolenti. Procedure simili si stanno lentamente diffondendo anche nel commercio elettronico.

Le banche poi si allertano davanti a movimenti sospetti di denaro verso un conto estero, e talvolta riescono a bloccare il furto prima che avvenga. Nonostante ciò i casi aumentano lo stesso e il danno economico grava sulle banchee sugli istituti di emissione delle carte che devono rimborsare i truffati».

A volte qualche pesce grosso fa un passo falso. Come Max Butler, un hacker trentaseienne di San Francisco. Voleva diventare il Pablo Escobar del web e controllare tutto il mercato. E’stato venduto alla polizia dagli altri spacciatori che non condividevano il suo progetto. Ora rischia 60 anni di prigione per aver rubato più di 2 milioni di carte di credito e causato un danno di 86 milioni di dollari in acquisti abusivi.

«Stanarli è un’impresa - ammette Apruzzese - perché si appoggiano su server in estremo oriente, infettano intere reti di computer che poi usano all’insaputa dei proprietari depistando la polizia.

L’unica contromossa efficace è aumentare il livello di protezione di tutti i database».

(Ripreso da “la Repubblica” - sezione: R2 del 5 agosto 2009)