Tra le operazioni delle forze dell’ordine contro il crimine informatico, quella portata a termine dall’FBI di Atlanta insieme alle autorità indonesiane ha qualcosa di particolare. Non si tratta del solito blitz contro un singolo hacker o un gruppo ristretto, ma dello smantellamento di un’intera infrastruttura che rendeva il phishing accessibile a chiunque. Un vero e proprio servizio chiavi in mano, pensato per abbassare drasticamente la soglia tecnica necessaria a mettere in piedi truffe online su larga scala.
Il cuore dell’operazione ruotava attorno a W3LL, un kit preconfigurato venduto per circa 450 euro. Chi lo acquistava otteneva tutto il necessario per pubblicare online siti contraffatti, praticamente indistinguibili da quelli legittimi. L’obiettivo era chiaro: attirare le vittime su questi portali fasulli per sottrarre le credenziali di accesso e, cosa ancora più insidiosa, le informazioni legate alla sessione di navigazione. Questo secondo elemento era fondamentale perché permetteva di aggirare anche i sistemi di autenticazione a più fattori, che molti utenti considerano una protezione praticamente invalicabile.
Come funzionava il modello di phishing-as-a-service
Il concetto alla base di W3LL era quello del phishing-as-a-service, un modello che ha preso piede negli ultimi anni nel sottobosco del cybercrimine. Non serve più essere esperti di programmazione o di sicurezza informatica per lanciare una campagna di phishing su vasta scala. Basta pagare, scaricare il pacchetto e seguire pochi passaggi. È un po’ come acquistare un software qualsiasi, solo che lo scopo finale è truffare le persone.
L’ecosistema non si fermava al kit. Accanto a W3LL esisteva un vero e proprio marketplace chiamato W3LLSTORE, dove era possibile comprare e vendere i dati rubati: username, password e tutto ciò che poteva avere un valore nel mercato nero digitale. Le stime parlano di decine di migliaia di credenziali circolate attraverso questa piattaforma tra il 2019 e il 2023. Numeri che danno l’idea della portata dell’operazione criminale.
Un dettaglio che rende la vicenda ancora più significativa è che W3LLSTORE era già stato chiuso tre anni fa. Ma l’attività non si è interrotta affatto. Chi gestiva la piattaforma ha semplicemente cambiato nome al servizio e migrato le comunicazioni sulle applicazioni di messaggistica con crittografia end-to-end, rendendo il monitoraggio da parte delle forze dell’ordine molto più complicato. Una mossa che dimostra quanto queste organizzazioni siano rapide nell’adattarsi e nel trovare nuovi canali operativi quando quelli vecchi vengono compromessi.
