Se nei mesi scorsi hai ricevuto sms sospetti dalla tua banca, se ti arrivano mail e telefonate che ti invitano ad eseguire operazioni con urgenza, fermati subito! Una breve guida sulle minacce informatiche di “ingegneria sociale” e 2 cose da fare per mitigare i rischi. Social engineering based attacks!!!
Un malware, che si scarica da un link che si riceve nella posta spam, progettato dalla nuova criminalità informatica in modo tale da rendere difficile il suo rilevamento.
Questo, non è che l’ultimo segnale di un quadro post quarantena, che disegna un allarmante evoluzione del fenomeno del cyber crime con preoccupanti conseguenze sulla digital economy.
Volendo analizzare il fenomeno, sarà necessario partire dagli effetti del lock down sulla “dateizzazione” delle nostre vite.
La quarantena ha influito sicuramente sulle nostre abitudini di vita, non solo lavorative con l’incremento del ricorso allo smart working ma anche sulle modalità di gestione degli aspetti finanziari, assistenziali, economici, sanitari finanche della socialità.
Ma, se la curva della digitalizzazione, puntando sempre più in alto, arriva a determinare rilevanti benefici sotto molti aspetti – soprattutto di gestione del tempo- tuttavia è artefice anche dell’allarmante implementazione che hanno avuto i reati informatici. Le minacce nascoste nel web, si sono modificate e nessuna rete informatica può ormai ritenersi davvero al sicuro.
Come sempre, il terreno fertile agli attacchi degli hackers ritrova la sua linfa vitale nella disorganizzazione dei settori direttamente coinvolti nella fornitura dei principali beni e servizi, lacunosi di una vera cultura della data protection, soprattutto in termini di cyber security deputata a fortificare le reti – sia private che aziendali- i server ed i client.
Colpito duramente, è soprattutto il settore bancario. Bizzarro è solo l’ultima minaccia di quello che è un vero e proprio ramo del cyber crime, che ha come obiettivo le banche.
Malware e Spyware, questi ultimi ancora più pericolosi dei primi in quanto hanno una ingegneria che riesce a raccogliere informazioni nella assoluta inconsapevolezza dell’utente/vittima.
Cosa finisce nella rete dei cyber criminali che utilizzano attacchi malware e spyware?
Praticamente, tutto.
Dai file registrati nella nostra rete, compresa la cronologia della ricerca sui motori, per finire alle informazioni più importanti, le password registrate, i dati delle nostre carte di credito, codici di accesso e le nostre mailing list, attraverso le quali saranno potenzialmente individuate le nuove vittime da “spiare”.
Oltre malware e spyware, il cyber crime attacca i nostri sistemi informatici attraverso l’invio di altre numerose minacce.
Volendo esaminare, sicuramente non in maniera esaustiva, quelle più comuni che si celano nel web per i nostri dati bancari e non solo, andiamo a descrivere le principali tipologie di attacchi informatici, partendo da quelli che si sviluppano dalla cd ingegneria sociale -social engineering-based attacks – ossia basati su di una costruzione di artifici tesi a raggirare la nostra buona fede e farci cedere “volontariamente” le nostre preziose informazioni quali password, credenziali.
La minaccia più diffusa, derivante dalla descritta tipologia, è costituita dal Phishing.
Solitamente si cela in una mail dall’aspetto formalmente istituzionale, che simula in tutto l’originale (ad esempio, un istituto bancario o postale) contenente un link che si collega ad un sito (che, sicuramente non sarà quello istituzionale bancario o postale) dove si viene poi invitati a loggarsi inserendo le proprie credenziali di accesso.
Evoluzione del phishing, è lo spear phishing, ossia una tecnica di attacco informatico più mirato ad un determinato focus di potenziali vittime costituite da risorse aziendali che occupano un determinato ruolo che gli consente di avere accesso ad informazioni dei clienti di un elevato grado di interesse da parte dei gruppi di cyber criminali.
Il testo delle comunicazioni adoperate per questa tipologia di attacco, sarà caratterizzato da toni di urgenza, da comandi imperativi che cercano di infondere al destinatario la sensazione di non trasgredire alle procedure interne ma, anzi, di svolgere un incarico connotato da un alto senso di fiducia riconosciutogli dai diretti vertici aziendali.
Un gradino ancora più in alto, anzi quello più alto di tutti, si colloca il whaling che, questa volta, si indirizza direttamente al soggetto che riveste nella verticalizzazione dell’organigramma aziendale, il ruolo apicale.
Ad essere minacciato, in questo caso, è il cuore economico dell’azienda, l’attacco tende ad impadronirsi di quelle informazioni che costituiscono la linfa commerciale del core business e, per questo motivo, sono detenute dagli amministratori unici o dai membri del consiglio di amministrazione.
I criminali della rete, quando avviano un attacco di whaling, hanno tutta l’intenzione di appropriarsi dell’intero potere finanziario di una azienda con danni facilmente immaginabili.
Preliminare alla preparazione di tale attacco, è uno studio della realtà societaria che si vuole colpire.
Tale attività è alquanto semplice, facendo osint sulla rete sono reperibili tutte le informazioni necessarie ad individuare un organigramma aziendale e molte altre informazioni.
Al di là delle comunicazioni via mail, si sono registrati di recente, numerosi tentativi di attacchi ai clienti di istituti bancari, attraverso altre due tipologie di minacce ben congeniate e tese ad operare sempre sfruttando la cooperazione della vittima, questa volta raggiunta o tramite un SMS oppure direttamente una telefonata.
Nel primo caso, il fenomeno viene definito come smishing.
Ossia, una comunicazione (fraudolenta) inviata tramite un comune SMS sull’utenza cellulare della vittima. Molto spesso, il messaggino si inserisce in una serie precedente di messaggi già ricevuti e conservati nella cronologia da parte dell’utente della banca, sì che non se ne percepisca l’estraneità del mittente.
L’invio del messaggio può essere preceduto o seguito da una telefonata, è il caso del vishing ossia quella tecnica adoperata dal cyber criminal per carpire la fiducia della potenziale vittima, instaurando una comunicazione dove, fingendosi un operatore del suo istituto di credito, tenta di farsi comunicare le sue credenziali di accesso, i dati della carta di credito ed altre informazioni utili a consumare il reato.
In alcuni casi, si cerca di incentivare la vittima rappresentando la vincita, tramite sorteggio, di un costoso e recentissimo modello di smartphone, messo a disposizione dalla Banca eri suoi clienti storici.
Il soggetto, rassicurato anche dalla conversazione con l’operatore, sarà più disposto ad inserire le sue credenziali di accesso e la sua password nel successivo SMS inviatogli per concludere la truffa.
Ma difendersi, è possibile?
Esistono scudi per i dati che forniamo alla rete per accedere alla digitalizzazione, non solo dei servizi finanziari, ormai indefettibili per operare nel campo della digital economy, ma anche la gestione della nostra vita “dateizzata”?
L’atteggiamento vincente è sicuramente quello proattivo, basato sulla prevenzione e lo sviluppo di un processo efficace, aggiornato e continuamente revisionato, delle policy di data protection e cyber security.
In particolar modo, la progettazione di misure tecniche affiancate da quelle organizzative, ossia sensibilizzazione e formazione dei dipendenti, risultano lo strumento più idoneo a mitigare i rischi derivanti dalle minacce della rete.
Dal lato degli utenti, curare la cultura della protezione dei dati, evitando di diffondere informazioni eccedenti sulla rete ad individui non identificabili, avere cura di non navigare su siti sospetti e soprattutto, qualora il mittente di una mail ci invii una comunicazione dal contenuto anche solo leggermente allarmante, andare a verificare l’indirizzo, ad esempio passandoci il cursore sopra per poi immetterlo come query nel motore di ricerca e rilevare eventuali errori e differenze ( a volte un carattere in più, una maiuscola al posto di una minuscola, ecc) e, in ogni caso, evitare sempre di aprire link fino alla fine di una approfondita indagine sulla reale esistenza del mittente.
(Articolo scritto dall’Avv. Marcella Esposito)