Ricompensa per i ladri di dati: Aiuterà o danneggerà?

Taglie e ricompense per la cattura di criminali, o per informazioni che portassero alla loro cattura, esistono almeno fin dal I secolo dell'Impero Romano, quando un taverniere di Pompei offrì una ricompensa per la restituzione di un vaso di rame rubato e per informazioni che portassero alla cattura del ladro.

Nei tempi moderni, dal 1950 il governo degli Stati Uniti offre taglie per l'aiuto nella cattura di criminali presente nella lista dei dieci più ricercati. E dal passaggio della legge del 1984 per combattere il terrorismo internazionale, il governo degli Stati Uniti offre ricompense per informazioni riguardanti il terrorismo, le interferenze elettorali estere e le attività informatiche dannose attraverso il programma Rewards for Justice (RfJ).

Lo scorso giugno, nell'ambito del programma RfJ, è stata offerta una ricompensa di 10 milioni di dollari per informazioni che portino all'arresto di Maxim Alexandrovich Rudometov e di altri individui ritenuti legati alla creazione e alla diffusione del malware RedLine. 

La ricompensa di Coinbase

In un nuovo sviluppo, una vittima di estorsione informatica, l'operatore di scambio di criptovalute Coinbase, ha recentemente offerto una ricompensa di 20 milioni di dollari in cambio di informazioni che portino all'identificazione e alla cattura del criminale o dei criminali che hanno acquisito dati sensibili dei clienti e richiesto lo stesso importo per non divulgarli pubblicamente.

Quello che è successo è che qualcuno ha corrotto alcuni membri del personale dell'assistenza clienti di Coinbase per rubare e consegnare una serie di dati: nomi dei clienti, numeri di telefono, indirizzi, indirizzi e-mail, saldi dei conti, numeri parziali di conto e altro (ma niente password o chiavi private). Poi hanno inviato un'e-mail a Coinbase per dire loro che non avrebbero reso pubblici i dati se fossero stati pagati 20 milioni di dollari.

Questi dati potrebbero essere facilmente utilizzati per mettere in atto truffe di phishing che potrebbero indurre i clienti, ad esempio, a spostare i depositi dai loro conti Coinbase reali ad altri conti fraudolenti. Non è chiaro se qualche cliente sia stato colpito o abbia subito perdite, ma Coinbase si è impegnata a coprire tali perdite nel caso si verificassero.

Coinbase ha risposto annunciando il furto e rifiutando di pagare il riscatto. Il post del blog dell'azienda sull'argomento affermava, in parte:

"Stiamo collaborando a stretto contatto con le forze dell'ordine per perseguire le sanzioni più severe possibili e non pagheremo la richiesta di riscatto di 20 milioni di dollari che abbiamo ricevuto Invece, stiamo istituendo un fondo di ricompensa di 20 milioni di dollari per le informazioni che portano all'arresto e alla condanna dei criminali responsabili di questo attacco". 

Coinbase stima che il costo totale per il recupero dall'attacco potrebbe arrivare fino a 400 milioni di dollari. E avvertono i clienti di "aspettarsi degli impostori" che cercheranno di truffarli per derubarli dei loro averi in criptovaluta.

Hanno fatto bene o no?

Complimenti a Coinbase per essersi rifiutata di pagare il riscatto. Questo è ciò che le forze dell'ordine e i professionisti della sicurezza informatica hanno a lungo esortato le vittime di ransomware a fare, e lo stesso vale per l'estorsione di dati che, come in questo caso, non coinvolge alcun malware. 

Ma c'è una domanda da porsi sugli effetti a lungo termine che può avere l'offerta di una taglia. Se questa diventasse una risposta comune ai tentativi di estorsione, avrebbe effetti complessivamente positivi o negativi sul panorama delle minacce informatiche? 

Tra i lati positivi, sembra probabile che questa ricompensa faciliterà l'arresto di specifici criminali informatici. Non c'è onore tra i ladri, qualcuno sa chi ha fatto questo, e 20 milioni di dollari non sono certo una cifra da sottovalutare.

Ma la storia insegna che offrire sistematicamente delle taglie comporta rischi concreti. L'emergere della caccia alle taglie come professione non è mai stato un bene assoluto. Non è necessario guardare attentamente la storia per scoprire che in passato i sistemi di taglie hanno generato illegalità e violenza. Inoltre, ai truffatori non importa se il guadagno da 20 milioni di dollari sia un riscatto o una ricompensa. E vi garantisco che in questo momento ci sono criminali informatici che stanno tramando per ottenere quei soldi con qualsiasi mezzo necessario.

Quindi, se le taglie per gli hacker diventano comuni, è del tutto possibile che segneranno l'emergere di una nuova categoria di frodi informatiche, aumentando in ultima analisi i livelli di threat complessivi invece di ridurli. 

Non c'è modo di sapere se il taverniere di Pompei ha riavuto la sua pentola o ha catturato il ladro. Ma se lo ha fatto, c'è almeno la possibilità che la sua ricompensa lo abbia portato a essere derubato altre volte.