Banner Pubblicitario
30 Novembre 2021 / 21:26
Coronavirus, hacker scatenati con l'esca dell'emergenza

 
Scenari

Coronavirus, hacker scatenati con l'esca dell'emergenza

di Massimo Cerofolini - 28 Aprile 2020
Intervista a Michele Colajanni dell’Università di Modena e Reggio Emilia: "Il cybercrime sfrutta le nostre vulnerabilità emotive. Ecco allora sms, mail e link per indurci a cliccare su promesse di soldi, salute e lavoro. Le trappole? Furti di credenziali e richieste di riscatto per file bloccati. Ecco come difenderci"
“Trovo improprio il paragone che molti fanno tra virus biologici e virus informatici. Nel primo caso agiscono natura e casualità, nel secondo dipende tutto dall’uomo, dalla sua capacità di adattarsi alle nuove occasioni e di immaginare nuovi inganni. E in un momento in cui qualsiasi attività ha a che fare con l’epidemia è su questo chiodo che ora battono i banditi della rete. Perché puntano su un bersaglio preciso e tutto sommato facile: non la tecnologia, ma le nostre vulnerabilità psicologiche”. Michele Colajanni insegna Sicurezza informatica all’Università di Modena e Reggio Emilia, dove dirige anche la Cyber Academy, una realtà che forma con metodi innovativi le future sentinelle del web. Da quando l’emergenza Covid-19 è scoppiata, il professore si è trovato di fronte al repentino cambio di pelle dei criminali di Internet. Diventati di punto in bianco degli indefessi promotori di campagne di ogni tipo legate al Coronavirus. Pronti a forzare le zone più fragili della nostre emotività.

Qual è il crimine informatico che l’ha più colpita in questi giorni?

C’è l’imbarazzo della scelta. Ma quello più assurdo riguarda un messaggio virale in cui si denuncia che presto il governo ci toglierà i soldi dal conto corrente e che bisogna investire subito in strumenti finanziari più redditizi, con tanto di link per aprire subito un rapporto. Peccato che le commissioni previste si aggiravano intorno al 10 per cento, vale a dire oltre dieci volte tanto la peggiore versione di una ipotetica patrimoniale.

Una delle prime azioni di cybercrime legate al Covid-19 è stato un trojan chiamato Ginp: in pratica, arriva un sms, un Whatsapp o una mail, con un messaggio allettante che per meno di un euro promette di rivelare chi sono le persone contagiate con cui si è entrati in contatto. Un’esca dal forte impatto emozionale, specie nei primi tempi, il cui vero scopo è ovviamente rubare i dati delle carte di credito.

Già, il punto è che dietro questi mezzi c’è sempre un fattore psicologico, che sfrutta tematiche ad alto coinvolgimento emotivo, come la salute, il lavoro o il denaro. L’obiettivo è convincere le persone a fare una di queste due azioni: cliccare su un link o scaricare un allegato. Un invito che può arrivare da soggetti che sparano nel mucchio, sperando che sui grandi numeri qualcuno abbocchi, o da chi si camuffa con un’identità a noi familiare, inducendoci a fare quel click che poi apre il cancello al malware o al trojan per azioni malevole.

Altro gancio allettante arriva mentre navighiamo, tramite pubblicità, articoli esca o popup cha appaiono all’improvviso: messaggi spesso legati alle nostre paure per l’epidemia.

Sì, altra forma, identici obiettivi: spingerci a cliccare dove non dovremmo.

Quando l’attacco arriva via mail la questione diventa però più sottile e bisogna fare qualche distinzione. Una prima forma è quella del phishing, la truffa in cui con il logo contraffatto di una banca o di un’azienda di e-commerce si invitano i destinatari a rivelare dati riservati, come le credenziali di accesso all’home banking, con pretesti di natura tecnica. Come evolve questo sistema nell’era del Covid?

Il phishing in questi giorni vive un momento d’oro e, se non fosse irrispettoso per le vittime, potremmo parlare di un’autentica esplosione di fantasia. Girano mail in cui, col tono di chi smaschera un complotto, si dice che non è vero che il contributo del governo sia di soli 600 euro, ma che cliccando sul link si può sapere come percepire di più. Ovviamente cliccando scatta la tagliola. Oppure ci sono campagne che a nome di organismi come l’Unicef o l’Avis invitano a fare donazioni che poi finiscono sui conti dei pirati informatici. Una tecnica che vale la pena di sottolineare è poi quella dei passi multipli: obiettivo iniziale del messaggio non è tanto l’attacco diretto, quanto quello di farti rivelare informazioni sensibili: chi sei, dove abiti, qualche tua abitudine, il nome dei tuoi familiari e via dicendo. Per poi arpionare la vittima in un secondo momento.

Ecco, e qui arriviamo al secondo tipo di aggressioni digitali fatte via mail. Non più messaggi di tipo generalista, ma stavolta intimi, personali. Ricavati appunto dall’opera di spionaggio condotta in precedenza. Cosa avviene in questo caso?

Qui bisogna davvero accendere il cervello. Se una mail ti arriva, all’apparenza, da un amico o da un conoscente occorre moltiplicare la vigilanza. Ci sono organizzazioni criminali, per esempio, che possono identificare il nome e l’indirizzo del responsabile di una filiale. Poi, grazie alle informazioni ricavate dai sistemi di cui abbiamo parlato prima, gettano una sorta di rete a strascico sulla posta elettronica di chi abita nei pressi dell’istituto, confidando che qualche correntista ingenuo ci finisca dentro. Attenzione, i messaggi sono molto ingannevoli, perché calibrati su ciò che i malviventi hanno appreso sulla vita di chi li riceve. A me personalmente è capitato di aprire una mail, che sembrava del direttore della mia banca, in cui si offrivano sconti per Disneyland ai clienti più fedeli che avevano almeno due figli, ed era il mio caso. Mi sono salvato, e non ho cliccato sul presunto buono, perché ho notato nel messaggio un modo di esprimersi diverso da quello del funzionario che conoscevo. 

In questi giorni milioni di persone si sono spostate sui sistemi di videochiamata per lavorare, per studiare o per incontrare i propri amici. Gli esperti di informatica temono però che stiamo spalancando le porte a nuove aggressioni digitali. È così?

È una frontiera nuova su cui bisogna pronunciarsi con circospezione. Sotto attacco, per esempio, è soprattutto Zoom, ma il fatto che questa piattaforma abbia sorpassato in pochi giorni i precedenti monopolisti del mercato, qualche dubbio sulle attuali campagne denigratorie lo pone. Certo è che i dati che produciamo quando siamo connessi con una videochiamata possono essere venduti o, peggio, rubati. Non tanto quelli relativi a ciò che diciamo, ma informazioni come con chi parliamo, per quanto tempo, a che ora, o anche il titolo della conferenza, che infatti sconsiglio sempre di indicare.

Una volta vittime di un attacco possiamo subire vari tipi di conseguenze. Ci dice quali sono le principali?

Il primo è il classico furto di credenziali. Tutti pensano alle password dei nostri conti correnti. Ma devo dire che su questo fronte le banche hanno fatto grandi passi avanti e avviato da tempo sistemi di sicurezza adeguati, con autenticazioni a più fattori e codici temporanei molto difficili da intercettare. Sono più preoccupato invece per altri sistemi di pagamento, con cui si possono spostare somme di denaro con meno misure di sicurezza.

L’altro esito di un adescamento online sono i ricatti nei confronti dei malcapitati.

E qui bisogna distinguere due categorie. La prima riguarda le informazioni personali carpite dagli attaccanti venendo a conoscenza di abitudini sessuali, per esempio tramite siti pornografici o videochat, o problemi sanitari, entrando di soppiatto nelle cartelle cliniche. In sostanza: se vuoi che non rivelo queste informazioni alla tua famiglia o ai tuoi colleghi paga.

E la seconda?

La seconda è il ransomware, ossia la richiesta di un riscatto per liberare l’accesso a documenti presenti sul computer che sono stati criptati dagli attaccanti. E questo è un gravissimo problema, specie per imprese e studi professionali. Pazienza se ti rubano i soldi o se ti sequestrano qualche dato, ma ho visto con i miei occhi amministratori delegati in lacrime perché gli avevano bloccato l’intera operatività aziendale. Aggiungerei anche un altro tipo di frode emergente: colpisce soprattutto i fornitori di grandi società. Funziona così: prima di criptarti i file, ti rubo i dati dei tuoi clienti, poi cifro; quindi, se non paghi, minaccio di pubblicare le informazioni screditandoti con la tua rete di contatti. Un ottimo mezzo di coercizione se nel tuo portafoglio hai aziende come Boeing o Lockheed Martin.

Con l’emergenza del Coronavirus si è assistito a un ribasso delle richieste per sbloccare i dati, c’è chi parla di appena 45 euro…

Mi sembra una cifra un po’ bassa. Vero è che ci sono due tipi di richieste. Una è generalista, nel senso che colpisce utenti in modo indistinto, e qui in genere i criminali si accontentano di 100-200 euro per liberare i documenti sotto chiave. L’altra è invece mirata sui responsabili di grosse attività. E lì la richiesta iniziale può partire dall’1 per cento del fatturato. Cifre da capogiro, se ci pensiamo.

Che garanzia c’è una volta pagato di riottenere i contenuti persi?

In genere chi paga riceve indietro i file, anche se nei casi più complessi può verificarsi qualche errore crittografico che compromette la restituzione. Teniamo comunque presente che da noi vige ancora la legge nata all’epoca dei sequestratori sardi: pagare il riscatto è vietato. Un motivo in più per non farlo. 

Ha parlato dei danni procurati colpendo chi lavora nelle aziende. Quanto è grave questo rischio?

Gli attacchi ai dipendenti, specie quelli degli istituti di credito, hanno una storia lunga. In passato i criminali informatici si approfittavano dei rapporti di fiducia e di consuetudine tra correntisti e impiegati che permettevano di agevolare alcune operazioni. Capitava, ad esempio, la finta mail del cliente che chiedeva al funzionario di fare un bonifico su un certo conto. Ora questo fenomeno è stato praticamente bloccato da disposizioni interne più rigide. Il problema adesso è quando a scrivere la mail al funzionario sembra essere il suo superiore, magari proprio l’amministratore delegato, che simula un’improvvisa emergenza, con relativa irreperibilità, ordinando pagamenti immediati. Segnalo ad esempio il caso delle fatture Telepass che un finto dirigente invia all’ufficio contabilità con un messaggio del tipo: ‘Guarda che stupidi, hanno mandato questa mail a me, pensateci voi’. Quelli senza pensarci aprono il documento e per i truffatori è fatta. Oggi i manager sono tra le figure più minacciate dal cybercrime, non tanto come bersagli diretti, quanto come potenziali cavalli di Troia.

Ci dica in conclusione qualche sistema per proteggerci.

La prima cosa: per le operazioni più delicate, come quelle legate alla banca o ai pagamenti online, usare sempre e soltanto un computer specifico per questo scopo. Mai quello su cui i figli chattano o scaricano file senza alcuna prudenza. Oggi bastano 300 euro per portarsi a casa un pc sicuro. Ovviamente, poi, bisogna aggiornare il software, gli antivirus e usare tanto buonsenso. Se ci arriva una mail da chi pensiamo di conoscere verifichiamo sempre che l’indirizzo sia quello giusto e che non ci sia aggiunta una lettera poco leggibile nel corpo. Ma soprattutto facciamo attenzione al linguaggio che viene usato: la persona che conosciamo si rivolgerebbe a noi con quelle parole e con quel tono? La posta elettronica è un’invenzione fantastica nata nel 1971, quando la pirateria informatica non esisteva. Oggi però viene usata per cose diverse da quelle per cui è stata concepita e spiarne il contenuto è un gioco da ragazzi: mentre noi la immaginiamo come una lettera sigillata, per un malfattore è soltanto una cartolina. Ancora una volta: le banche possono predisporre tutti i migliori sistemi tecnologici del mondo, ma poi il grosso della responsabilità spetta a noi utenti.

E per le password?

 Per le password il consiglio è semplice: non serve tanto creare parole complicate, meglio scegliere frasi lunghe di facile memorizzazione: “devoandareacomprareunlitrodilatte” è meglio di “o9P@!&”.
CRIF_Banner Medium_new giugno 2021
ALTRI ARTICOLI

 
Scenari

Quando col cliente parla l’algoritmo

Assistenti virtuali realistici, app per riprendersi i dati, codici per migliorare la spesa pubblicitaria, software per sintetizzare documenti tecnici...

 
Pagamenti

Euro digitale, sperimentazione al via dal 2023

Fabio Panetta (Bce) lo ha annunciato nell’audizione al Parlamento europeo, sottolineando come sia essenziale accelerare sul progetto “per...

 
Scenari

Un quarto d’ora di città

Una città da 15 minuti, o anche a voler esagerare un quartiere da 20. Ripensare gli spazi e i tempi a misura di noi umani che abbiamo visto cose…...
Wealth Management Forum 2021
La prima edizione del Wealth Management Forum vuole essere momento di confronto tra i diversi operatori del...
Icona Facebook Icona Twitter Icona LinkedIn
Il Salone dei Pagamenti 2021
Il Salone dei Pagamenti Il Salone è l’evento di riferimento del settore, un palcoscenico autorevole e...
Icona Facebook Icona Twitter Icona LinkedIn
Bancaforte TV
Torriero (ABI): pagamenti digitali più semplici per favorire l’inclusione
È stata un successo l’edizione 2021 del Salone dei Pagamenti, con un’accresciuta attenzione anche a...
Icona Facebook Icona Twitter Icona LinkedIn
Lecce (Intesa Sanpaolo): i clienti vogliono pagamenti digitali trasparenti, semplici e sicuri
Oggi i pagamenti digitali sono ancora più centrali nelle strategie delle banche. Innanzitutto, spiega Andrea...
Icona Facebook Icona Twitter Icona LinkedIn
Innovation Workshop powered by Bancaforte
AI per il Credito: soluzioni che funzionano. Le opportunità offerte dall’Artificial Intelligence & Machine Learning per il Credit Risk Management
Guarda gratuitamente il workshop del 16 novembre realizzato con il Partner Dedagroup Business Solutions,...
Icona Facebook Icona Twitter Icona LinkedIn
Scopri gli Innovation Workshop powered by Bancaforte
Una nuova e qualificata opportunità di dialogo e relazione con i professionisti del mondo bancario,...
Icona Facebook Icona Twitter Icona LinkedIn
Banner Pubblicitario