Bot e crimine informatico

I programmi bot hanno un ruolo predominante nell'attuale crimine informatico. Tutto il crimine informatico moderno ricorre ampiamente all'uso di botnet per attività che vanno dallo spamming all'hosting di siti Web fraudolenti. Symantec protegge gli utenti dai bot da molti anni e ha seguito la loro evoluzione da minacce elementari a programmi crimeware molto complessi. Negli anni recenti Symantec ha assistito a un aumento allarmante del numero di bot che su Internet eseguono attacchi automatizzati alla ricerca di nuove vittime.Nella sola prima metà del 2005, Symantec ha denunciato quasi 9.000 varianti diverse dei tre bot più diffusi (Spybot, Gaobot, Randex). Questo numero significa che almeno 50 nuovi bot a scopo criminoso perlustrano ogni giorno Internet alla ricerca di computer privi di protezione.I nuovi bot appartengono quasi sempre a una "famiglia" di software bot già esistente, perciò non sono da considerarsi del tutto nuovi.Spesso sono stati modificati leggermente per cercare di aggirare il software per la sicurezza, ingannare gli utenti con una nuova tattica o sfruttare una vulnerabilità scoperta di recente.

Analogamente al resto del crimeware e del crimine informatico in generale, i bot rappresentano un problema globale.Nella cartina di seguito sono illustrate le aree geografiche in cui erano attivi server di comando e controllo di bot (il centro di una botnet) alla fine del 2005.


Bot e botnet sono le armi polivalenti del crimine informatico. Oggi i bot svolgono un ruolo importante in quasi ogni tipo di crimine informatico I proprietari di botnet affittano le proprie reti illecite ad altri criminali o utilizzano essi stessi i bot per commettere numerosi tipi di crimini. La tabella seguente fornisce alcuni degli esempi più comuni di utilizzo di bot e botnet per porre le basi del crimine informatico.

Crimine	Utilizzo di bot e botnet
Denial of service	Alla fine degli anni '90, le reti di computer "zombie" venivano utilizzate per paralizzare siti Web e renderli inaccessibili agli utenti, spesso impedendo le attività di e-commerce.Talvolta gli attacchi denial-of-service sono delle semplici "scorribande" in Internet mentre altre volte vengono orchestrati dalla concorrenza.
Estorsione	Mentre alcuni attacchi denial-of-service vengono sferrati da computer zombie contro un sito Web o altro servizio on-line senza preavviso, per altri viene fornito un preavviso a scopo di estorsione, come avviene per i racket di protezione. Nei piani di questo tipo, il criminale minaccia di paralizzare il sito Web o il servizio on-line di un'azienda per un periodo di tempo se non viene effettuato un pagamento, di solito in un orario di punta in modo da causare il massimo danno possibile e dirottare altrove i clienti contrariati.
Furto di identità	I bot giocano un ruolo determinante nel furto d'identità, non solo infettando il computer ma anche sottraendo informazioni personali alla vittima ed inviandole al criminale.
Spamming	Le botnet svolgono un ruolo centrale nell'industria moderna dello spamming: i bot raccolgono gli indirizzi e-mail per conto degli spammer e vengono utilizzati anche per inviare i messaggi. L'invio di spamming tramite le botnet è molto comune in quanto rende più difficile individuare gli autori di spamming; questi possono infatti inviare i messaggi da molti computer (tutti i computer infetti della botnet) invce che da uno solo. Questa tattica è diventata così diffusa che nella prima metà del 2005, il 64% delle minacce principali rilevate da Symantec poteva essere utilizzato per inviare messaggi di spamming.
Frode ("phishing")	Tra gli strumenti utilizzati dagli autori di phishing sono quasi sempre presenti i bot.Analogamente agli spammer, gli autori di phishing utilizzano i bot per indentificare le potenziali vittime e inviare e-mail fraudolente che sembrano provenire da organizzazioni legittime quali la banca dell'utente.Gli autori di phishing utilizzano i bot anche per ospitare siti Web contraffatti, che vengono usati per sottrarre agli utenti informazioni personali e servono come punti di raccolta (server “dead drop”* o “egg drop”) dei dati rubati.È disponibile una panoramica animata della frode on-line che spiega i diversi componenti di un'operazione di phishing.

I bot eseguono molte operazioni per conto dei criminali informatici. Ad esempio, il bot seguente viene utilizzato dai ladri d'identità sul mercato nero.Il bot è stato creato specificamente per un forum on-line di criminali informatici per eseguire semplici operazioni di furto d'identità, quali ad esempio determinare se le carte di credito rubate sono valide, i limiti di prelievo e altri dati come il codice CVV2 e la data di scadenza.Di seguito vengono forniti alcuni esempi di bot che eseguono operazioni di routine per diversi ladri d'identità:

  !cclimit 4854xxxxxxxxxxxx  redeyezz I found limit for your
Visa (4854xxxxxxxxxxxx): 7.536 $  

Un ladro d'identità, di nome "redeyezz", chiede al bot qual è il limite di una carta di credito presumibilmente
rubata utilizzando il comando "!cclimit" e il numero della carta di credito.

  !chk 4158xxxxxxxxxxxx xx0x  Vietnamhack 4158xxxxxxxxxxxx : xx0x (Valid cc) 
!chk 6011xxxxxxxxxxxx xx0x  jyde 6011xxxxxxxxxxxx : xx0x (You're Card Is Declined)  

Due ladri d'identità verificano la validità di due diverse carte di credito, una delle quali è ancora valida mentre l'altra non lo è più e perciò viene rifiutata.

I bot vengono creati da autori di crimeware professionisti.Mentre la maggior parte del codice sorgente (il codice di base per la progettazione del bot) è disponibile gratuitamente, versioni speciali di software bot vengono create appositamente e vendute a vari prezzi ai professionisti del crimeware.Gli autori di crimeware commerciano i propri programmi bot affermando che sono in grado di eludere il software per la sicurezza ed evitare la rilevazione.