Infliggendo un duro colpo all’economia globale del crimine informatico, l’FBI e la polizia nazionale indonesiana sono riusciti a smantellare con successo l’infrastruttura dietro il kit di phishing W3LL. Questa sofisticata piattaforma “all-in-one” è stata responsabile di circa 20 milioni di dollari in attività fraudolente, tra cui il furto di credenziali e l’elusione di protocolli di sicurezza essenziali.
I meccanismi del kit di phishing W3LL
A differenza delle truffe di phishing di base che mirano semplicemente a rubare le password, W3LL ha funzionato come fornitore di servizi completo per i criminali informatici. Per un prezzo di ingresso relativamente basso di circa 500 dollari, gli utenti potevano accedere a una suite di strumenti progettati per compromettere account di alto valore, in particolare gli utenti di Microsoft 365.
Il punto di forza principale del kit risiede nella sua capacità di bypassare la Multi-Factor Authentication (MFA). Distribuendo siti Web ingannevoli, il software potrebbe acquisire non solo le credenziali di accesso, ma anche i dati della sessione attiva. Ciò ha consentito agli aggressori di prendere il controllo dell’identità digitale di un utente in tempo reale, entrando effettivamente nel suo account senza bisogno di un codice di verifica secondario.
Un’impresa criminale professionalizzata
La piattaforma W3LL non era semplicemente un software; si trattava di un modello di business altamente organizzato progettato per abbassare la barriera all’ingresso anche per i criminali non tecnici. L’ecosistema comprendeva:
- Assistenza clienti: La piattaforma fornisce un sistema di ticketing e una chat web per assistere i “clienti”.
- Risorse didattiche: sono stati forniti video tutorial per insegnare agli utenti come creare siti Web falsi ed eseguire furti.
- Una catena di fornitura end-to-end: lo sviluppatore ha fornito elenchi di posta elettronica per il targeting e l’accesso ai server compromessi.
- Marketing di affiliazione: l’attività è cresciuta grazie a programmi di referral aggressivi, che offrono una commissione del 10% per le vendite tramite passaparola e una ripartizione degli utili 70/30 tramite fornitori di terze parti.
Lo sviluppatore, che opera sotto lo pseudonimo G.L, è attivo nel settore del crimine informatico almeno dal 2017, rilasciando in precedenza strumenti di spam come PunnySender e W3LL Sender.
L’entità del danno
L’impatto di W3LL si riflette nell’enorme volume di dati compromessi. Secondo le stime dell’FBI, il mercato W3LL ospitava oltre 25.000 account compromessi fino alla chiusura del negozio nel 2023. Nei due anni successivi (2023-2024), lo strumento è stato utilizzato per compromettere ulteriori 17.000 account.
Anche se il negozio W3LL è stato ufficialmente chiuso nel 2023, lo sviluppatore ha continuato a operare tramite piattaforme di messaggistica crittografate. A seguito di uno sforzo internazionale coordinato, le autorità hanno arrestato un sospetto ritenuto essere lo sviluppatore, G.L.
Perché è importante: l’evoluzione del crimine informatico
Questa repressione evidenzia una tendenza crescente e pericolosa: il modello “Crime-as-a-Service” (CaaS). La criminalità informatica non è più solo dominio degli hacker d’élite; è diventata un’industria in franchising. Fornendo soluzioni chiavi in mano, complete di servizio clienti, tutorial e strutture di marketing, gli sviluppatori come G.L consentono ad attori poco qualificati di lanciare attacchi su larga scala altamente efficaci.
Man mano che i kit di phishing diventano sempre più sofisticati nell’aggirare l’MFA, il settore della sicurezza si trova ad affrontare una continua corsa agli armamenti. Lo smantellamento di W3LL è una vittoria per le forze dell’ordine, ma sottolinea anche la necessità per le organizzazioni di andare oltre le semplici password e l’MFA di base verso metodi di autenticazione più resilienti, basati su hardware o biometrici.
Lo smantellamento dell’infrastruttura W3LL segna un grave sconvolgimento per una catena di fornitura criminale altamente professionalizzata che ha trasformato l’hacking sofisticato in un’attività di vendita al dettaglio di facile utilizzo.
