C’è un mercato oscuro, accessibile con pochi click, dove l’identità di un cittadino americano viene svenduta per meno del costo di una pizza. Un luogo digitale dove, per una manciata di dollari in criptovaluta, è possibile ottenere un passaporto o una patente di guida falsi così convincenti da ingannare sistemi di verifica bancari, piattaforme regolamentate e persino le forze dell’ordine. Fino a ieri, uno dei principali player di questo inquietante bazaar era VerifTools, una piattaforma il cui dominio, veriftools.net, ora ospita soltanto il gelido banner della giustizia che ne annuncia la confisca.
L’operazione, un coordinato sforzo congiunto tra l’FBI e la polizia dei Paesi Bassi, non è stata una semplice retata. È stata un’accurata dissezione chirurgica di un ecosistema criminale che ha prosperato nell’ombra del web, servendo una clientela variegata: dai criminali informatici in cerca di anonimato per i loro wallet crypto, agli adolescenti che tentano di bypassare le restrizioni d’età, fino a vere e proprie organizzazioni dedite a frodi fiscali e sottrazione illecita di sussidi statali.
Il modus operandi di VerifTools era inquietante nella sua semplicità e automazione. La piattaforma funzionava come qualsiasi servizio legittimo di foto-tessera online: l’utente caricava la propria immagine, inseriva i dati anagrafici desiderati (veri, falsi o rubati) e il sistema, in tempo reale, generava un’immagine digitale ad alta risoluzione del documento contraffatto, pronto per essere stampato su ologrammi o utilizzato per ingannare un sistema di KYC (Know Your Customer). Il prezzo? A partire da 9 dollari, con pagamenti esclusivamente in criptovalute per garantire l’irrintracciabilità. Un modello di business a bassissimo attrito che ha generato, secondo le stime dell’FBI, un giro d’affari illecito di circa 6,4 milioni di dollari.
L’indagine, partita nell’agosto 2022, ha preso il via da un filone completamente diverso: l’hacking di wallet crittografici. Gli investigatori si sono imbattuti in soggetti che utilizzavano documenti d’identità falsi, tutti riconducibili alla stessa fonte, per reimpostare le credenziali di accesso a exchange e portafogli digitali, drenando fondi per milioni. Il collegamento a VerifTools è emerso come un pattern chiaro e ripetuto negli IOC (Indicators of Compromise) analizzati.
L’azione di chiusura non si è limitata a spegnere i server. Le autorità olandesi, su mandato, hanno sequestrato l’intera infrastruttura: due server fisici e ventuno macchine virtuali sono stati prelevati da un data center di Amsterdam. Non un semplice spegnimento, ma un’immagine forense completa di ogni byte, ora nelle mani degli investigatori per un’analisi approfondita. Questo dataset è la chiave per risalire dalla base clienti agli amministratori della piattaforma, le cui identità rimangono ancora un mistero. La Procura olandese non esclude prossimi arresti.
L’aspetto tecnico più preoccupante, e che dovrebbe allertare ogni esperto di sicurezza, è la commoditization della frode identitaria. VerifTools non era un sito artigianale. Era un supermarket online ad alto volume, con un catalogo che spaziava tra i documenti falsi di tutti i 50 stati americani e di numerosi paesi esteri. Questa standardizzazione e automazione abbassa drasticamente la barriera d’ingresso per il crimine, rendendo lo strumento “identità falsa” accessibile a chiunque, non solo ai criminali sofisticati.
Cosa possiamo imparare? IOC e tecniche di rilevamento
Sebbene non sia stato fornito codice specifico della piattaforma, è plausibile che il suo backend si basasse su uno stack comune: un frontend web (probabilmente React o un framework simile) interfacciato a librerie di image processing (come OpenCV o ImageMagick) per superimporre testo, ologrammi e foto su template di documenti acquisiti. La sfida per gli investigatori sarà recuperare questi template e i log delle transazioni dalla copia forense dei server.
La chiusura di VerifTools è una vittoria significativa, ma è solo una battaglia in una guerra molto più grande. È il sintomo di un’economia sotterranea in piena espansione, dove l’identità—il bene più prezioso nell’era digitale—viene prodotta in serie e venduta a un prezzo da outlet. Finché ci sarà domanda, altri marketplace sorgeranno per prendere il suo posto. Il compito della cybersecurity è evolversi per riconoscere non solo il malware, ma la stessa essenza della finzione digitale.