Hacker derubati dall’AI: il caso Jerry’s Store e le 350.000 carte di credito perse
Sul dark web c’è una piattaforma specializzata nella compravendita di carte di credito rubate, chiamata Jerry’s Store, che ne ha appena perse quasi 350.000 perché si è affidata all’intelligenza artificiale per gestire il suo database. Una carta di credito rubata si vende in rete tra i 10 e i 14 dollari, questo vuol dire che le perdite sofferte dal sito illegale si aggirano intorno ai 4-5 milioni. A preoccupare gli esperti di cybersicurezza, però, non è stata la svista in stile “chi la fa l’aspetti” dei criminali, ma il fatto che l’intelligenza artificiale ha realizzato un’infrastruttura per un’attività evidentemente illegale senza battere ciglio.
AI hacking: come sono state rubate le carte
Sono anni ormai che l’AI viene utilizzata dagli hacker per le mansioni più diverse. Dalla manipolazione dei database alla programmazione di malware fino all’ingegneria sociale (per sfruttare i punti deboli delle persone responsabili di un’infrastruttura digitale), l’AI è uno strumento consolidato tanto dell’arsenale dei criminali quanto di chi li combatte. Sottrarre informazioni sensibili come numeri e nomi delle carte di credito è complesso, ma quando le difese di un’azienda o di un’istituzione vengono aggirate, i dati finanziari sono il primo obiettivo degli assalitori. Mythos, il modello AI di Anthropic troppo pericoloso per essere rilasciato al pubblico, ha generato programmi di infiltrazione quasi invisibili, e invincibili, in meno di 12 ore. Modelli meno all’avanguardia ci mettono più tempo, ma possono raggiungere risultati analoghi: virus molto sofisticati realizzati in poco tempo e programmati per rubare migliaia di informazioni personali.
I ricettatori di carte rubate
I ricettatori di carte di carte di credito rubate come Jerry’s Store hanno un grosso problema: verificare periodicamente che le credenziali che mettono in vendita siano ancora funzionanti. Tra carte di credito temporanee, in scadenza o chiuse dagli utenti che sono stati vittime di un attacco, capita spesso che decine di migliaia di carte rubate diventino inutilizzabili da un giorno all’altro. Per controllare che funzionino ancora, i criminali aprono milioni di account fasulli su piattaforme di e-commerce come Amazon o Temu e fanno acquisti da meno di un euro per non attivare le più comuni campanelle d’allarme. Se la transazione va a buon fine, la carta è ancora valida. Dover controllare a mano quasi mezzo milione di credenziali rubate alla settimana è una faticaccia ed ecco che l’intelligenza artificiale è stata chiamata a dare una mano.
Ti potrebbe interessare
- OpenAI, pioggia di miliardi sui dipendenti: in 600 diventano milionari con la vendita delle azioni
- Cina, «vietato licenziare per sostituire i lavoratori con l’AI»: due sentenze storiche in difesa dei dipendenti
- Nel labirinto della subscription economy: ecco le 5 app per monitorare gli abbonamenti dimenticati che continuiamo a pagare
L’Intelligenza artificiale al servizio dei criminali
Per automatizzare la gestione di uno dei loro database con controlli periodici e prezzi variabili aggiornati al minuto, Jerry’s Store ha usato un’intelligenza artificiale commerciale chiamata Cursor AI. Questo software ha realizzato, completamente in autonomia, l’infrastruttura di un’operazione criminale avendo ricevuto, secondo i ricercatori che hanno ricostruito l’accaduto, numerose istruzioni che inequivocabilmente chiedevano la programmazione di un prodotto illegale. Con la comodità dell’intelligenza artificiale, però, arrivano anche i rischi: uno dei “depositi” di credenziali realizzato dall’AI è arrivato online senza le opportune protezioni, permettendo ad altri hacker di estrarre le credenziali custodite nel sito senza pagare e portando a un danno economico considerevole.
Un problema endemico
Jerry’s Store esiste dal 2023 e oltre a fare da mercato, offre ai cybercriminali la verifica “all’ingrosso” delle carte di credito rubate per quando vogliono rivenderle in blocco, non una per una. Le grandi piattaforme di ecommerce sono un ingranaggio fondamentale di questa attività criminale perché è solo con transazioni legittime su siti legittimi che è possibile verificare che una carta sia ancora valida. Visto l’altissimo volume di acquisti che avvengono su siti come Amazon o Temu, i preferiti dai criminali, è quasi impossibile che un qualche tipo di intervento filtrante venga implementato dalle piattaforme.
Come proteggere la propria carta di credito
La responsabilità di proteggere la propria carta di credito, e di avere gli allarmi attivati, ricade quindi sul singolo utente. Il modo in assoluto più efficace di provare a intercettare la propria carta di credito se fosse finita nelle mani di questi criminali è avere attivo il servizio di notifica (che hanno tutte le banche) che manda una mail di riepilogo dopo ogni transazione. Nel momento in cui verrete avvisati di un movimento di denaro (soprattutto se molto piccolo) che non riconoscete, andate a bloccare subito la carta. L’ideale sarebbe sempre di generare carte usa e getta per gli acquisti online, una mossa che richiede qualche secondo di pazienza, ma che cancella del tutto il rischio di furto delle credenziali e quindi del denaro.
