Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

In un giorno che non saprebbe indicare con certezza, riceve un’immagine su WhatsApp. Numero sconosciuto. Non una foto porno. Una ragazza in costume. Apre la chat, ma non clicca sull’immagine. Cancella. Precauzione corretta, ma inefficace. In quel momento il trojan s’è già infiltrato nel suo iPhone. Poi arriva la seconda ondata del Covid. L’imprenditore (lombardo, facoltoso) si ammala. Ricoverato due settimane. E in quei giorni gli svuotano il conto in banca (oltre 60 mila euro). Lo fanno dal cellulare, o meglio: succhiando dal suo smartphone i dati per una clonazione dell’App di home banking. Anche dietro questa storia c’è uno spillover, un «salto di specie», come quello che avrebbe portato il Sars-Cov-2 dal pipistrello all’uomo: il trojan che ha infettato quell’iPhone è un «Pegasus», parte di una famiglia di virus-spia elaborati dall’intelligence israeliana, sfuggito da un «laboratorio» e finito nel dark web. Nella parte più oscura della Rete è stato condiviso, usato, venduto e modificato: ha così continuato a generare «varianti» nelle mani degli hacker criminali, per diventare un prodotto adattabile alle esigenze dei clienti-criminali, che (sempre sul dark web) lo acquistano per qualche migliaio di euro.
Quando «Pegasus» venne scoperto, nel 2017, le multinazionali assicurarono che con gli aggiornamenti di WhatsApp il virus non avrebbe più potuto sfruttare la piattaforma di messaggi per infettare. Invece è successo ancora, nel 2020. Lo hanno scoperto Maria Pia Izzo e Eva Balzarotti, consulenti tecniche di informatica forense per privati, aziende e Procure. La «variante» del virus informatico è risalita dal fondo più nero della Rete mentre il virus naturale del Covid-19 devastava il mondo con la pandemia: e quasi certamente non è una coincidenza. 
Dal profondo, al buio 
Clear, deep, dark. Chiaro, profondo, oscuro. Sono i tre territori della Rete. Il primo, la superficie. Gli utenti sono identificabili e i contenuti in chiaro, accessibili a tutti e indicizzati da Google e altri motori di ricerca. La superficie occupa il 4-5 per cento della Rete. Sotto, il livello profondo. Sterminato. «Nel quale però non c’è nulla di sacrilego», riflettono Izzo e Balzarotti. Nel deep web gli utenti sono identificabili, ma i contenuti crittografati e protetti da password. Tutto ciò che viene archiviato nelle cloud è deep web; così come i documenti riservati delle aziende; o la video-riunione via Zoom, che viaggia in Rete ma è accessibile solo agli invitati. Al fondo, infine, l’insieme delle reti darknet: ciò che viene comunemente definito dark web. In queste reti i contenuti sono protetti, o super protetti, a seconda della materia nelle «stanze», come quelle dove si scambia pedopornografia. Nel dark web, soprattutto, gli utenti sono anonimi, o cercano di esserlo: con una paranoia sempre più accentuata contro gli «infiltrati» delle polizie mondiali. La ricerca dell’anonimato avviene con sistemi d’accesso gratuiti, alla portata di tutti.
«Vestirsi a cipolla»
Per scendere nel dark web si usa il sistema «Tor». Lo può installare chiunque. Cosa garantisce? Anonimato, appunto. Come? L’Ip (un codice numerico) equivale all’indirizzo stradale o al numero di telefono che identifica un computer connesso alla Rete. Il sistema «Tor» nasconde l’Ip (dunque la localizzazione di un pc o uno smartphone), e rimuove le impronte della navigazione (siti visitati, copie cache, cookies). È illecito? No. Chi ha visto il film-documentario The social dilemma, ha imparato un comandamento dell’era digitale che la maggioranza della popolazione ignora o accetta: «Se non stai pagando per un prodotto, sei tu il prodotto». Attraverso i social network (e non solo) sta avvenendo la più mastodontica raccolta di dati personali nella storia umana, che poi vengono venduti per finalità commerciali o politiche. Per stare fuori da questo, per non diventare un «prodotto», si può navigare in forma anonima: usando «Tor». Il simbolo è una cipolla. I servizi accessibili solo da «Tor» hanno indirizzi .onion.
Per capire: prendiamo un’indagine fisica. Un omicidio. Un assassino in fuga. I poliziotti scandagliano le telecamere nelle strade, a partire dal luogo del reato, per tracciare la fuga del ricercato. Mettiamo che l’assassino indossi una felpa rossa. Se hanno buon occhio, studiando i filmati, i poliziotti potranno rintracciare i passaggi della sagoma «con felpa rossa» sotto una decina di telecamere tra strade, metropolitane, stazioni. Mettiamo invece che l’assassino sia vestito «a cipolla». Indossa dieci felpe di diverso colore. E ogni 500 metri se ne toglie una. Diventa una sagoma gialla, verde, blu, bianca, grigia. Al secondo o terzo passaggio, si perderà nella folla. Con il browser di «Tor», funziona così: il traffico internet di un computer viene instradato verso computer «volontari» (nodi, che accettano di essere «stazioni» di transito); ogni nodo conosce solo il nodo precedente e il successivo; i dati, nel percorso, vengono crittografati più volte (come strati di una cipolla) e la «rotta» del traffico viene generata a caso e cambia di continuo. Andare a ritroso all’origine della connessione (l’Ip dell’utente che naviga) è complicato. 
Come ulteriore forma di «sicurezza», vengono oggi usati servizi (gratuiti ed efficienti) che creano dei «tunnel» per criptare all’origine il traffico internet e proteggere i dati. Anche qui, strumenti leciti. Anzi, fondamentali per l’economia contemporanea. Con l’esplosione della pandemia e dello smart working, ogni azienda ha creato una propria rete protetta attraverso questi «tunnel»: per continuare a lavorare con i dipendenti connessi da casa, mantenendo un adeguato livello di sicurezza da intrusioni. Per chi scende nella parte più nascosta della Rete, il «tunnel» è però un secondo strumento di anonimato, che si sovrappone alla «cipolla». Non sempre questo armamentario di schermature si usa per finalità criminali. Si può cercare di essere invisibili in Rete per aggirare le censure dei regimi. O per fare denunce evitando ritorsioni: nel 2017 anche il «New York Times» ha aperto uno spazio .onion. Ma il grosso del flusso che approda al dark web lo fa per attività illegali.
Centri commerciali di virus informatici
Cosa si trova nella parte oscura e criminale della Rete? Essenzialmente, due cose: mercati, ovvero piattaforme analoghe a quelle dell’ecommerce in superficie, ma che trattano merce illecita. E poi centinaia di forum: dove gli utenti si confrontano in maniera frenetica sui sistemi all’avanguardia per non essere tracciati; sulla «sicurezza» dei metodi di pagamento; sulla qualità della merce e l’affidabilità dei venditori («tizio vende anfetamine o psicofarmaci potenti o schifosi»); sui nuovi mercati che nascono e scompaiono di continuo (dopo una raffica di inchieste e chiusure nel 2019 – tra cui quella del «Berlusconi market», gestito dall’Italia e che contava 103 mila annunci – i siti di vendita sono diventati sempre più «volatili» per evitare investigazioni).
Nel 2012 i siti .onion nel dark web erano un paio di centinaia. A metà 2020 ne sono stati censiti 110.865 (fonte: Cyber intelligence house, agenzia di Singapore che collabora con l’Interpol). Secondo lo stesso progetto «Tor», esistono 7 mila computer nodo. Nel 2011, nella rete «Tor» esisteva un solo grande market, lo storico «Silk road», l’«Amazon delle droghe» c hiuso dall’Fbi nel 2013. Nel 2018 i market attivi erano 118: sono i «centri commerciali» del dark web . Ed ecco cosa offrono.
Droga, tanta: perché le spedizioni di 10 francobolli di Lsd o di una scatoletta di anfetamine è agevole. Documenti falsi, molti. Inoltre: una massa sterminata di credenziali «piratate» per usare «a scrocco» i servizi di streaming (Netflix, Amazon, Spotify, Disney e così via). La disponibilità è talmente alta che costano quasi nulla, 1 o 2 dollari. Discorso simile per gli account delle carte di credito, di solito vendute a pacchetti di centinaia o migliaia (chi le compra poi prova a fare acquisti). Una carta con limite di spesa aperto e la garanzia che non sia stata già bloccata costa invece 500 euro (l’analisi è di Mayra Rosario Fuentes, capo dei ricercatori sulle minacce informatiche della multinazionale «Trend Micro»). Oggi però l’attenzione degli analisti è concentrata su un filone principale: la vendita di virus e tools(strumenti) per il crimine informatico. È una marea che monta.
La trasformazione: epocale e digitale
Tiziana Liguori è una dirigente di polizia con grande esperienza, dalla fine dell’anno scorso dirige il Compartimento di polizia postale e delle comunicazioni della Lombardia. In una mattina di metà maggio, riflette: «Con la diffusione del coronavirus e i lockdown, un’enorme quantità di persone si è “convertita” massicciamente ai servizi online, dai rapporti con la banca o con le pubbliche amministrazioni, al lavoro, agli acquisti. In più, in poche settimane, tra marzo e aprile 2020, tutte le aziende, per lo smart working, hanno dovuto creare quasi da zero infrastrutture informatiche per permettere ai dipendenti di lavorare lontano dagli uffici. Per il crimine informatico, questa gigantesca e repentina trasformazione ha aperto territori inediti».
Basta un dato: solo su Milano, nei primi mesi del 2021, la Polizia postale sta trattando denunce per crimini informatici che ammontano a 8 milioni di perdite. Ceo fraud: gli intrusi entrano nel sistema di un’azienda, studiano le dinamiche interne, fino a che l’«amministratore delegato» invia una email a un funzionario dando l’ordine di un bonifico urgente. Così un’azienda farmaceutica ha perso un milione. «Se si aumenta l’attenzione e ci avvertono subito, si riesce a bloccare i bonifici», dicono alla Postale. A un avvocato milanese sono svaniti 600 mila euro da un conto corrente familiare: qualcuno aveva duplicato il desktop del suo Pc e lo controllava da remoto. E poi, i ransomware: virus che criptano i dati aziendali e li rendono inutilizzabili; per sbloccarli, bisogna pagare un riscatto; spesso il ricatto è doppio, con la minaccia di diffondere i dati hackerati nel dark web. Perché sempre lì si torna. 
L’ultimo rapporto di Europol segnala l’aumento del crime as a service, cioè la vendita dei virus, la fornitura degli strumenti per usarli e un abbonamento per l’assistenza h24. «I sistemi per il cybercrime sono sempre più sofisticati e le competenze tecniche richieste agli acquirenti sempre più basse». L’accesso a una grande azienda, con la possibilità di leggere le email dei dipendenti e scrivere dalle loro caselle, è apparso in un annuncio per 10 mila dollari. Abbonamenti ai criptolocker, criptatori di file e dati per fare ricatti, vanno dai 99 dollari al mese ai 699 l’anno. 
Le ricerche sul cybercrime concordano sulla tendenza che sta trasformando il dark web: i gruppi di «pirati» informatici non solo saccheggiano in proprio, ma mettono sul mercato il proprio know-how e la propria tecnologia. Vendono competenze e strumenti: per furto, frode, spionaggio, propaganda, disinformazione. «Il dark web è trasversale e strumentale a tutte le forme di criminalità informatica – riflette Rocco Nardulli, vice questore della Postale di Milano – dall’acquisto di un malware, al reperimento di una carta bancaria “anonima” sulla quale farsi accreditare il pagamento di un “riscatto”». Con il Covid-19 è stata un’esplosione.
Covid e post-Covid crime
La pandemia ha obbligato la società globale al distanziamento. Il distanziamento ha dislocato gran parte delle attività umane dalla «presenza» al virtuale-digitale. Per il cybercrime si sono aperte «praterie» di attacco. I banditi della Rete hanno sfruttato l’occasione in modo spietato e feroce. Una sanguisuga globale: che s’è gonfiata succhiando energia da paure e incertezza.
Il 23 gennaio 2020 Wuhan entra in l ockdown. Cinque giorni dopo «Emotet», un trojan bancario con impatto devastante, diffuso con lospam di email estremamente credibili, usa il coronavirus come esca in Giappone. A febbraio, pesanti campagne di «Emotet» a tema Covid-19 arrivano in Italia e Spagna. Il 3 marzo 2020 parte la «campagna pandemica» con «Trickbot», un altro trojan, in Spagna, Francia e Italia. L’11 marzo 2020 l’Oms dichiara la pandemia e solo in quel mese gli Stati Uniti vengono bersagliati da 5 milioni di attacchi «a tema Covid-19». L’unità crimini informatici di Microsoft, tra marzo e luglio 2020, individua e trasmette alle autorità di mezzo mondo 23.123 indirizzi internet a contenuto «potenzialmente criminale» con argomento Covid-19.
L’ansia planetaria per il coronavirus, la solitudine durante i lockdown (con i computer unica finestra sull’esterno) e la ricerca spasmodica di informazioni nel web moltiplicano le vittime: che cliccano sui link-esca. Gli analisti del Clusit, l’associazione italiana per la sicurezza informatica, stimano 85 mila computer infettati nel 2020 in Italia, rispetto ai 45 mila del 2019. Gli invii di massa di email (spam) che trasportano virus informatici si moltiplicano: dal 23 maggio 2020 veicolano un ransomware tutto italiano, fuckunicorn; poi, seguendo la cronaca, le email -esca invitano a installare «Immuni», diffondono allarmi con il logo dell’Oms, danno «istruzioni» sul cashback. Obiettivo identico: convincere la persona ad aprire un link che infetta il Pc. Problema: «Ad oggi le email malevole – dice il rapporto 2021 del Clusit – sono diventate praticamente indistinguibili dal punto di vista tecnico dalle email legittime». Nel dark web i programmi per lanciare campagne di spam possono costare appena 50 euro.
Gli analisti, studiando il dark web, indicano poi i rischi di scenario futuri: il deepfake, programmi che permettono di prendere il volto e la voce di una persona per farne il «personaggio», ad esempio, di un video porno, una tecnologia che rivoluzionerà i ricatti a sfondo sessuale, già oggi dilaganti come sextortion e revenge-porn (ancora fondati su video reali); moltiplicazione degli attacchi verso l’internet delle cose, cioè tutti gli oggetti connessi alla Rete di uso sempre più comune (smart-tv, telecamere, antifurti, assistenti virtuali tipo «Alexa» e «Google home»); intrusioni contro le Sim dei telefoni.
Le darknet più nere
Sotto tutto questo, il nocciolo più orribile della Rete oscura. Rapporto Europol: «Durante i lockdown, i ragazzini hanno passato più tempoonline condividendo video e immagini finiti in mano ai pedofili. Il traffico di materiale pedopornografico ha subito un aumento esponenziale». Il National center for missing and exploited children statunitense, a maggio 2020, ha trasmesso alle autorità 2.027.520 report per sospetto sfruttamento sessuale di minori, più 106 per cento rispetto a marzo 2019. In Italia, nel 2020, il Centro nazionale per il contrasto della pedopornografia online ha trattato 3.243 casi, denunciando 1.261 persone (più 132 per cento rispetto al 2019). Critico il numero degli adescamenti in Rete, 401, «evidenziando – dice il Clusit – un considerevole incremento di vittime tra 0 e 9 anni. Bambini che non dovrebbero usare i social».
I forum pedopornografici nel dark web sono strutturati «come organizzazioni criminali» (Europol), con «inviti, affiliazioni, codici di condotta, gerarchie». In discussioni intercettate, alcuni siti si vantano di avere accumulato l’equivalente di 80 giorni di video con bambini sfruttati. Quel materiale viene condiviso di solito in gruppi chiusi di WhatsApp o Telegram, «ma si tratta spesso di materiale scambiato o “barattato” – spiega il vice questore Nardulli – mentre nel dark web si trova il materiale ancora più drammatico, più vicino a chi produce i video». A dicembre 2020 la Polizia postale di Milano smantella una rete con 159 gruppi di scambio in chat di materiale pedopornografico (operazione «Luna park»): 17 arrestati, 64 denunciati in Italia, 351 segnalati alle autorità di 70 Stati. «In quest’ambito facciamo perquisizioni quasi ogni giorno – spiega Tiziana Liguori – vuol dire che il dark web non è così dark, anche se le inchieste sono molto complesse». I poliziotti che scoprono quei traffici devono guardare le immagini. Sono prove da trasmettere alle Procure. Vederle è il momento più devastante: «So già – dice il vice questore Nardulli – che alcune non mi lasceranno mai, per carico di dolore e sofferenza. Sono cose che porterò nella tomba».

GIANNI SANTUCCI