Coronavirus, hacker scatenati con l'esca dell'emergenza

“Trovo improprio il paragone che molti fanno tra virus biologici e virus informatici. Nel primo caso agiscono natura e casualità, nel secondo dipende tutto dall’uomo, dalla sua capacità di adattarsi alle nuove occasioni e di immaginare nuovi inganni. E in un momento in cui qualsiasi attività ha a che fare con l’epidemia è su questo chiodo che ora battono i banditi della rete. Perché puntano su un bersaglio preciso e tutto sommato facile: non la tecnologia, ma le nostre vulnerabilità psicologiche”. Michele Colajanni insegna Sicurezza informatica all’Università di Modena e Reggio Emilia, dove dirige anche la Cyber Academy, una realtà che forma con metodi innovativi le future sentinelle del web. Da quando l’emergenza Covid-19 è scoppiata, il professore si è trovato di fronte al repentino cambio di pelle dei criminali di Internet. Diventati di punto in bianco degli indefessi promotori di campagne di ogni tipo legate al Coronavirus. Pronti a forzare le zone più fragili della nostre emotività.

C’è l’imbarazzo della scelta. Ma quello più assurdo riguarda un messaggio virale in cui si denuncia che presto il governo ci toglierà i soldi dal conto corrente e che bisogna investire subito in strumenti finanziari più redditizi, con tanto di link per aprire subito un rapporto. Peccato che le commissioni previste si aggiravano intorno al 10 per cento, vale a dire oltre dieci volte tanto la peggiore versione di una ipotetica patrimoniale.

Già, il punto è che dietro questi mezzi c’è sempre un fattore psicologico, che sfrutta tematiche ad alto coinvolgimento emotivo, come la salute, il lavoro o il denaro. L’obiettivo è convincere le persone a fare una di queste due azioni: cliccare su un link o scaricare un allegato. Un invito che può arrivare da soggetti che sparano nel mucchio, sperando che sui grandi numeri qualcuno abbocchi, o da chi si camuffa con un’identità a noi familiare, inducendoci a fare quel click che poi apre il cancello al malware o al trojan per azioni malevole.

Sì, altra forma, identici obiettivi: spingerci a cliccare dove non dovremmo.

Il phishing in questi giorni vive un momento d’oro e, se non fosse irrispettoso per le vittime, potremmo parlare di un’autentica esplosione di fantasia. Girano mail in cui, col tono di chi smaschera un complotto, si dice che non è vero che il contributo del governo sia di soli 600 euro, ma che cliccando sul link si può sapere come percepire di più. Ovviamente cliccando scatta la tagliola. Oppure ci sono campagne che a nome di organismi come l’Unicef o l’Avis invitano a fare donazioni che poi finiscono sui conti dei pirati informatici. Una tecnica che vale la pena di sottolineare è poi quella dei passi multipli: obiettivo iniziale del messaggio non è tanto l’attacco diretto, quanto quello di farti rivelare informazioni sensibili: chi sei, dove abiti, qualche tua abitudine, il nome dei tuoi familiari e via dicendo. Per poi arpionare la vittima in un secondo momento.

Qui bisogna davvero accendere il cervello. Se una mail ti arriva, all’apparenza, da un amico o da un conoscente occorre moltiplicare la vigilanza. Ci sono organizzazioni criminali, per esempio, che possono identificare il nome e l’indirizzo del responsabile di una filiale. Poi, grazie alle informazioni ricavate dai sistemi di cui abbiamo parlato prima, gettano una sorta di rete a strascico sulla posta elettronica di chi abita nei pressi dell’istituto, confidando che qualche correntista ingenuo ci finisca dentro. Attenzione, i messaggi sono molto ingannevoli, perché calibrati su ciò che i malviventi hanno appreso sulla vita di chi li riceve. A me personalmente è capitato di aprire una mail, che sembrava del direttore della mia banca, in cui si offrivano sconti per Disneyland ai clienti più fedeli che avevano almeno due figli, ed era il mio caso. Mi sono salvato, e non ho cliccato sul presunto buono, perché ho notato nel messaggio un modo di esprimersi diverso da quello del funzionario che conoscevo. 

È una frontiera nuova su cui bisogna pronunciarsi con circospezione. Sotto attacco, per esempio, è soprattutto Zoom, ma il fatto che questa piattaforma abbia sorpassato in pochi giorni i precedenti monopolisti del mercato, qualche dubbio sulle attuali campagne denigratorie lo pone. Certo è che i dati che produciamo quando siamo connessi con una videochiamata possono essere venduti o, peggio, rubati. Non tanto quelli relativi a ciò che diciamo, ma informazioni come con chi parliamo, per quanto tempo, a che ora, o anche il titolo della conferenza, che infatti sconsiglio sempre di indicare.

Il primo è il classico furto di credenziali. Tutti pensano alle password dei nostri conti correnti. Ma devo dire che su questo fronte le banche hanno fatto grandi passi avanti e avviato da tempo sistemi di sicurezza adeguati, con autenticazioni a più fattori e codici temporanei molto difficili da intercettare. Sono più preoccupato invece per altri sistemi di pagamento, con cui si possono spostare somme di denaro con meno misure di sicurezza.

E qui bisogna distinguere due categorie. La prima riguarda le informazioni personali carpite dagli attaccanti venendo a conoscenza di abitudini sessuali, per esempio tramite siti pornografici o videochat, o problemi sanitari, entrando di soppiatto nelle cartelle cliniche. In sostanza: se vuoi che non rivelo queste informazioni alla tua famiglia o ai tuoi colleghi paga.

La seconda è il ransomware, ossia la richiesta di un riscatto per liberare l’accesso a documenti presenti sul computer che sono stati criptati dagli attaccanti. E questo è un gravissimo problema, specie per imprese e studi professionali. Pazienza se ti rubano i soldi o se ti sequestrano qualche dato, ma ho visto con i miei occhi amministratori delegati in lacrime perché gli avevano bloccato l’intera operatività aziendale. Aggiungerei anche un altro tipo di frode emergente: colpisce soprattutto i fornitori di grandi società. Funziona così: prima di criptarti i file, ti rubo i dati dei tuoi clienti, poi cifro; quindi, se non paghi, minaccio di pubblicare le informazioni screditandoti con la tua rete di contatti. Un ottimo mezzo di coercizione se nel tuo portafoglio hai aziende come Boeing o Lockheed Martin.

Mi sembra una cifra un po’ bassa. Vero è che ci sono due tipi di richieste. Una è generalista, nel senso che colpisce utenti in modo indistinto, e qui in genere i criminali si accontentano di 100-200 euro per liberare i documenti sotto chiave. L’altra è invece mirata sui responsabili di grosse attività. E lì la richiesta iniziale può partire dall’1 per cento del fatturato. Cifre da capogiro, se ci pensiamo.

In genere chi paga riceve indietro i file, anche se nei casi più complessi può verificarsi qualche errore crittografico che compromette la restituzione. Teniamo comunque presente che da noi vige ancora la legge nata all’epoca dei sequestratori sardi: pagare il riscatto è vietato. Un motivo in più per non farlo. 

Gli attacchi ai dipendenti, specie quelli degli istituti di credito, hanno una storia lunga. In passato i criminali informatici si approfittavano dei rapporti di fiducia e di consuetudine tra correntisti e impiegati che permettevano di agevolare alcune operazioni. Capitava, ad esempio, la finta mail del cliente che chiedeva al funzionario di fare un bonifico su un certo conto. Ora questo fenomeno è stato praticamente bloccato da disposizioni interne più rigide. Il problema adesso è quando a scrivere la mail al funzionario sembra essere il suo superiore, magari proprio l’amministratore delegato, che simula un’improvvisa emergenza, con relativa irreperibilità, ordinando pagamenti immediati. Segnalo ad esempio il caso delle fatture Telepass che un finto dirigente invia all’ufficio contabilità con un messaggio del tipo: ‘Guarda che stupidi, hanno mandato questa mail a me, pensateci voi’. Quelli senza pensarci aprono il documento e per i truffatori è fatta. Oggi i manager sono tra le figure più minacciate dal cybercrime, non tanto come bersagli diretti, quanto come potenziali cavalli di Troia.

La prima cosa: per le operazioni più delicate, come quelle legate alla banca o ai pagamenti online, usare sempre e soltanto un computer specifico per questo scopo. Mai quello su cui i figli chattano o scaricano file senza alcuna prudenza. Oggi bastano 300 euro per portarsi a casa un pc sicuro. Ovviamente, poi, bisogna aggiornare il software, gli antivirus e usare tanto buonsenso. Se ci arriva una mail da chi pensiamo di conoscere verifichiamo sempre che l’indirizzo sia quello giusto e che non ci sia aggiunta una lettera poco leggibile nel corpo. Ma soprattutto facciamo attenzione al linguaggio che viene usato: la persona che conosciamo si rivolgerebbe a noi con quelle parole e con quel tono? La posta elettronica è un’invenzione fantastica nata nel 1971, quando la pirateria informatica non esisteva. Oggi però viene usata per cose diverse da quelle per cui è stata concepita e spiarne il contenuto è un gioco da ragazzi: mentre noi la immaginiamo come una lettera sigillata, per un malfattore è soltanto una cartolina. Ancora una volta: le banche possono predisporre tutti i migliori sistemi tecnologici del mondo, ma poi il grosso della responsabilità spetta a noi utenti.

 Per le password il consiglio è semplice: non serve tanto creare parole complicate, meglio scegliere frasi lunghe di facile memorizzazione: “devoandareacomprareunlitrodilatte” è meglio di “o9P@!&”.