Quanto possono valere dati personali e credenziali di accesso sul mercato nero? Dipende, comunque molto. Il prezzo dipende dal tipo di accesso consentito, dalla completezza dei dati, da quanto è recente il database e dalla potenziale monetizzazione ottenibile. I dati sono stati messi assieme da Digital Shadows, la cui analisi ha commisurato i prezzi di vendita con la tipologia dei dati disponibili per arrivare ad una valutazione media del prezzo e ad una fotografia generale di questo tipo di mercato.
Il prezzo dei dati
Un account di natura generalista (una rete VPN, un sito per adulti, un servizio di streaming, un account social) può valere in media 15,43 dollari. Trattasi di informazioni utili soprattutto a perpetrare truffe o a tentare di estorcere altri dati, oppure di ricavare informazioni da usare a finalità estorsive per una monetizzazione diretta. Un account Netflix, ad esempio, può costare qualcosa come 3 dollari.
Un account bancario può arrivare per contro ad una media di 70,91 dollari. Si tratta di una cifra che corrisponde alla magnitudo del danno perpetrabile: il costo è maggiore poiché maggiore è il denaro ricavabile. Secondo ai dati bancari vi sono soltanto i dati relativi ad account di antivirus, che arrivano fino a poco oltre i 20 dollari cadauno: considerando quanto azioni di rastrellamento di informazioni possono spesso essere massive, è chiaro come il tutto si traduca facilmente in malaffari da milioni di dollari.
Ci sono poi casi estremi, che portano il valore di un account anche sopra i 500 dollari (informazioni complete sulle quali costruire attacchi mirati e particolarmente raffinati), oltre i 3000 dollari (per persone aventi funzioni importanti all’interno di vaste organizzazioni) o addirittura a cifre come 120.000 dollari per top manager con i cui account si può agire con elevato potere persuasivo o decisionale.
A dimostrazione del fatto che trattasi di un mercato estremamente ricco ed organizzato, ogni singola informazione è catalogata e con un prezzo dedicato sulla base delle caratteristiche dello specifico account. Sul dark web l’analisi Digital Shadow ha calcolato 15 miliardi di account disponibili per l’acquisto, frutto di 100 mila data breach in tutto il mondo. Si tratta di un mercato di grande appetibilità, con una fornitura di informazioni in forte crescita che corrisponde con ogni probabilità ad una maggior monetizzazione possibile. Il cybercrimine è strutturato su cifre di questa magnitudo, insomma, e tutti i dettagli sono disponibili sull’apposito white paper (pdf) “From Exposure to Takeover: The 15 billion stolen credentials allowing account takeover“.