Il noto sito di sicurezza informatica Bank Security, nella serata del 28 dicembre 2020, pubblica su Twitter una notizia esplosiva: l’intero database di ho. Mobile, operatore economico di Vodafone, sarebbe stato hackerato e 2,5 milioni di contatti, relativi ai dati dei proprietari di SIM ho. Mobile, sono stati messi in vendita in un forum sul dark web. Noi di AppElmo.com siamo riusciti a metterci in contatto non proprio con l’hacker di ho. Mobile, ma con chi sembrerebbe essere il rivenditore dei dati degli utenti vittime del furto, ossia l’amministratore del forum all’interno del quale sono stati pubblicati i dati identificati dagli screenshot condivisi su Twitter da Bank Security.
Siete pronti per scoprire cosa c’è di vero nel furto dati di ho. Mobile?
“IL FURTO DI DATI DI HO. MOBILE? ROBA DA POCO”
Si dice che il miglior segreto sia quello nascosto in bella vista. Non sappiamo se sia davvero così, ma è stato comunque più facile del previsto riuscire a contattare l’amministratore del forum nel quale sarebbero in vendita i dati di 2,5 milioni di utenti ho. Mobile. Usiamo il condizionale perché non abbiamo prove che il data breach sia davvero così vasto, o che sia proprio avvenuto, soprattutto alla luce dei fatti che ho. Mobile ha negato che il furto abbia avuto luogo. Eppure, sul nostro gruppo Telegram @appelmeggiando ci viene segnalato da uno dei membri, Marco, che all’interno di una chat room dell’app dedicata all’informatica e al deep web qualcuno avrebbe riconosciuto il forum segnalato da Bank Security negli screenshot pubblicati sui tweet. E uno dei membri di quella chat room sarebbe proprio l’amministratore o uno degli amministratori del forum, autore del post dove si annuncia l’asta e uno degli hacker di ho. Mobile. I nostri contatti ci dicono che sarebbe un forum piuttosto famoso all’interno della comunità del deep web. Decidiamo allora di scrivergli su Telegram – e, per comodità, chiameremo d’ora in poi questa persona “Federico“.
Here an example of the stolen data:
– fiscal Code
– phone Number
– sim Iccid
– address
– cityHere the full list:https://t.co/RrlTMITLpc pic.twitter.com/4byhYnNT4n
— Bank Security (@Bank_Security) December 28, 2020
Federico si dimostra subito molto accondiscendente e gentile, e non ha problemi ad ammettere il suo coinvolgimento nel presunto data breach di ho. Mobile. Ovviamente ci sembra un po’ sospetto che qualcuno coinvolto in un’attacco di tale portata sia così trasparente sulle sue attività illegali, e quindi gli chiediamo se per verifica ci può inviare, attraverso il suo profilo all’interno del forum (lo stesso tramite quale ha pubblicato l’annuncio sopra citato) un messaggio da noi precompilato. Nel giro di una decina di minuti (il forum è molto lento “per via di un sovraccarico di utenze”, ci dice; e in effetti è cosi: nel tempo che aspettiamo va in timeout due volte) la verifica arriva; rinfrancati, iniziamo l’intervista.

Come già detto, Federico è piuttosto trasparente sulle sue attività. Ci dice che lui non è uno di quegli hacker di ho. Mobile che hanno compiuto materialmente il furto dei dati, ma semplicemente l’amministratore del forum nel deep web nel quale questi dati vengono venduti. Non è dunque in grado di spiegarci come il furto sia avvenuto, anche se a volte i confini tra “noi rivenditori” e “loro ladri di dati” è piuttosto labile, durante la conversazione; gli autori del furto sarebbero dei “suoi colleghi“. Ci spiega che il data breach di ho. Mobile è avvenuto, eccome, e non si tratterebbe nemmeno di un’impresa così straordinaria: dice che si tratta di “un database non molto importante“, anche perché non si fanno molti soldi con questo genere di operazioni. In Italia, dice, “non si guadagna molto facendo questo; perlopiù sono tutti truffatori, o persone che usano carte di credito rubate“. A quanto pare, fare l’hacker di ho. Mobile non è un lavoro che paga.
E in effetti le prime notizie che giungono sulla quantità di denaro richiesta per i dati è molto bassa: 500$ appena. Gli chiediamo se la cifra corrisponde: “No. Il database viene venduto ad un’asta con un prezzo di partenza di 50.000$. Ho già avuto una decina di richieste, perlopiù russi e persone dell’Europa e degli USA.“
Non è nemmeno qualcosa che gli interessi: Federico e la sua community si occupano di altro, come “gateway SS7, BGP, hijacking, sviluppo di malware, 0days“. Roba più seria, insomma. Aggiunge: “lavoriamo su un piano internazionale e abbiamo avuto target più grossi, come intere banche sud americane o anche intelligence di alcuni paesi medio-orientali.” Gli chiediamo di nominarcene qualcuno, ma non vuole; però ci dice che si trattava di APT, ossia gruppi hacker spesso governativi o finanziati da governi per cyberattacchi contro altri Paesi. “Russi“, ci dice. Non esattamente in Medio Oriente.
Ma non hai paura di essere coinvolto nelle indagini? “Sicuramente sarò coinvolto” fa lui, un po’ spavaldo; “ma ho già avuto problemi con l’Interpol nel 2010 circa, quando ero venditore su dark0de [un market del deep web chiuso nel 2015, ndr]; è dal 2017 che FBI, Europol, etc… cercano di attaccare il nostro forum; è una cosa quotidiana“.
Ma come mai non lo chiudono, allora? È l’uovo di colombo: “Perché è sicuro“, dice. “Come noi troviamo vulnerabilità su altri siti etc, noi continuiamo ogni giorno a provare ad attaccare il nostro stesso forum, e risolvere i problemi. Stiamo già pensando alle encryptazioni (sic) da usare in caso di un computer quantistico (sic!); poi ogni tanto facciamo dei contest nel forum come “caccia al fed”, che comprende che se un membro trova un infiltrato federale, lo banniamo e il membro vince qualche centinaio di $ in cryptovaluta“.
A questo punto, incuriositi dalla figura dell’amministratore di un forum nel deep web nonché hacker di ho. Mobile, gli chiediamo se può raccontarci qualcosa su di lui. Federico non si lascia pregare, anzi: è molto loquace. Ci racconta che ha iniziato ad “imparare” nel 2005, ed è diventato attivo nel 2008; ha scelto questa community perché “per la nostra community non conta che strada uno prenda, contano solo le abilità; se uno è abili (sic) non conta cosa ne fa delle sue abilità, basta che le accresce; più si è abile più alta è la tua reputazione nella community.“
L’ultima prodezza sua e dei suoi colleghi sarebbe stata un attacco contro un marketplace del deep web, Empire. Quest’ultimo, specializzato nella vendita di droga e tra i più grandi marketplace nel deep web, era balzato agli onori della cronaca per via della sua misteriosa scomparsa lo scorso agosto; secondo molti, gli amministratori si sarebbero dati alla macchia derubando gli utenti del marketplace dei loro depositi. Federico spiega che avevano trovato una grossa falla nella sicurezza del market: “avevamo trovato delle vulnerabilità critiche che potevano reindirizzare chiunque ad una pagina di phishing, mandando un messaggio privato all’utente o venditore, che vendavamo (sic) per 16mila$. Purtroppo ha chiuso prima che potessimo venderla, però nessuna intelligence o federali ci è mai riuscito in questi anni, e la mia domande (sic) è: o i federali lasciano correre tutto, o la gente che lavora in questi posti come FBI etc non sono abbastanza abili.” Volendo prendere per buona questa ricostruzione, è possibile che gli amministratori abbiano preferito chiudere tutto che pagare il riscatto. Ma stiamo speculando, e anche fuori tema.
Torniamo alle indagini: non ti spaventa che la polizia italiana possa prenderti di mira, gli chiediamo. “Non credo sia un problema; sono molto più preoccupanti CIA, NSA, FBI, Europol, Interpol con cui abbiamo a che fare quotidianamente. E nessuno ha mai detto che siamo sul suolo italiano; io per esempio ho vissuto in Medio Oriente per tempo come in Russia ed altri mille posti; difatti è raro che lavoro (sic) con cose italiane.“
Dato che nel mentre che collezioniamo queste informazioni giungono online le notizie dei primi tentativi di phishing, gli chiediamo se il database sia già stato venduto, almeno in parte. “No“, dice, il database si vende intero. Le segnalazioni non sono collegate.
Perché però ho. Mobile negherebbe l’evidenza, allora, se il furto è effettivamente avvenuto? Perché non ci sono prove? Esatto: “non credo possono (sic) trovarle“, dice Federico. “Le cose le facciamo meticolosamente, con cauzione (sic!)“.
Perché però il furto di dati di ho. Mobile dovrebbe interessare utenze non nostrane, come russi, statunitensi, eccetera? “Perché i russi non prendono mai di mira altri russi, ma solo altri europei. Pensa che ci sono malware che se rilevano che il testo di sistema è il cirillico, il malware non si avvia“. Patriottismo tra hacker? No, la spiegazione è molto più prosaica: “I russi non vengono indagati se attaccano europei, ma solo se attaccano altri russi. Se ne approfittano.” Una sorta di scudo legale, insomma.
E cosa se ne farà il vincitore dell’asta, del data breach di ho. Mobile? “Sim swapping, probabilmente“.
Ma non ti morde neanche un po’ la coscienza? “Soffro di apatia e non credo nell’etica“, spiega; “credo che non esiste né bene né male; quello che è bene per uno è male per un altro. Si può vivere solo di compromessi“. Filosofia da hacker.
L’intervista finisce qui. Ma non le nostre ricerche. Dando un’occhiata nei gruppi Telegram più frequentati dalla comunità del deep web, scopriamo che Federico non solo non avrebbe problemi ad ammettere il proprio coinvolgimento, ma sarebbe intenzionato a renderlo il più pubblico possibile. Insieme ad un altro utente Telegram, che potrebbe o meno essere coinvolto, sostiene di apprezzare l’attenzione data dai media nazionali e internazionali alla vicenda: questo gli garantisce “pubblicità gratuita“, e di conseguenza molti più compratori.
Sempre all’interno del gruppo, non tutti sono convinti della buona fede dell’hacker di ho. Mobile, e anzi viene accusato di aver organizzato una truffa: la vendita di un database che in realtà non esiste. Invidia? Verità? Non possiamo saperlo; i nostri contatti ci ripetono che il forum nel quale il database è stato messo all’asta è molto conosciuto e apprezzato all’interno della comunità del deep web, e che molti scommettono sulla sua buona fede.
Nel frattempo, vi ricordiamo che ho. Mobile non ha ancora confermato l’avvenuto hackeraggio.
Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!
Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).
Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sul nostro canale Telegram! Grazie mille!