Dalle carte di imbarco al dark web: i documenti di viaggio finiscono sul mercato nero

Il turismo internazionale sta raggiungendo i massimi storici e, in parallelo, crescono anche i crimini informatici ai danni di chi viaggia. Una ricerca congiunta a cura di NordVPN e Saily ha puntato i riflettori sul fiorente mercato di documenti di viaggio rubati in circolazione sul dark web – dalle scansioni di passaporti agli account dei programmi fedeltà – dimostrando quanto sia facile, per i criminali, acquistare la tua identità.

È possibile trovare in vendita scansioni di passaporti di tutto il mondo a partire da soli 10 $ fino ad arrivare a 200 $, mentre i passaporti UE verificati valgono addirittura fino a 5000 $. Falsi estratti conto bancari, sticker per i visti e account fedeltà di compagnie aeree con milioni di miglia accumulate possono essere venduti per centinaia di dollari; persino le prenotazioni su Booking.com vengono rivendute a prezzi stracciati, spesso per 250 $ o più.

I documenti di viaggio possono cadere facilmente nelle mani sbagliate in diversi modi. Ad esempio, i criminali informatici impiegano dei malware che scansionano dispositivi e spazi di archiviazione cloud alla ricerca di file con dati sensibili; anche attacchi hacker ai danni di compagnie aeree, piattaforme per la richiesta di visti e agenzie di viaggio possono far trapelare le informazioni dei passeggeri.

Al tempo stesso, esistono anche siti di phishing che si spacciano per portali ufficiali, raggirando ignari utenti che vi caricano passaporti e visti. Persino le cartelle cloud condivise pubblicamente e con autorizzazioni poco restrittive possono essere scoperte e violate con facilità; senza poi dimenticare che anche documenti fisici, come le carte di imbarco smarrite o gettate via negli aeroporti, possono finire sul dark web.

"I viaggiatori segnalano diverse truffe di phishing basate sull'IA: dalle finte piattaforme di check-in, che richiedono il caricamento di selfie con documenti di identità, alle pagine di registrazione fraudolente a Wi-Fi o lounge aeroportuali", afferma Vykintas Maknickas, AD di Saily. "Oggi che i criminali possono accedere senza problemi agli strumenti di intelligenza artificiale, questi tentativi di phishing sono diventati semplici da attuare, decisamente convincenti e difficili da riconoscere."

I documenti di viaggio sono di grande valore poiché uniscono un elevato potenziale di rivendita alla semplicità di utilizzo. Per la verifica dell'identità, molte piattaforme online richiedono solo la scansione del passaporto e un selfie: una procedura che i criminali informatici riescono a superare agevolmente usando la tecnologia deepfake. Tra i dati rubati a chi viaggia figurano spesso nomi e cognomi, date di nascita, numeri di passaporto, indirizzi e-mail, numeri di telefono e contatti di emergenza, che permettono di attuare frodi complesse e mirate.

Sfruttando questi dati, i criminali sono in grado di compiere furti di identità, aprire conti sotto falso nome o richiedere prestiti; possono anche condurre attacchi di phishing o di ingegneria sociale, usando i dati personali e di viaggio per truffare le vittime o i loro contatti.

"I documenti di viaggio sono una miniera d'oro per gli hacker, poiché offrono l'accesso diretto all'identità delle vittime senza particolari ostacoli", afferma Briedis, "ed è per questo che i dati rubati relativi ai viaggi sono estremamente preziosi e pericolosi".

NordVPN e Saily esortano i viaggiatori a prendere provvedimenti immediati per proteggere i propri dati. I documenti di viaggio contenenti dati sensibili devono essere conservati all'interno di casseforti digitali crittografate, anziché in cartelle cloud accessibili pubblicamente; inoltre, chi viaggia deve stare all'erta nei confronti dei tentativi di phishing e verificare gli URL prima di inviare informazioni.

Maknickas sostiene che il miglior modo per difendersi dai moderni attacchi di ingegneria sociale è mantenere un sano scetticismo. "Dal momento che i truffatori adottano tattiche personalizzate e contestualizzate, fermarsi un momento a riflettere prima di rispondere a una richiesta digitale è la miglior difesa possibile. Se qualcosa non torna, è bene verificare la comunicazione attraverso altri canali."