Banner Pubblicitario
26 Dicembre 2024 / 22:52
Coronavirus, hacker scatenati con l'esca dell'emergenza

 
Scenari

Coronavirus, hacker scatenati con l'esca dell'emergenza

di Massimo Cerofolini - 28 Aprile 2020
Intervista a Michele Colajanni dell’Università di Modena e Reggio Emilia: "Il cybercrime sfrutta le nostre vulnerabilità emotive. Ecco allora sms, mail e link per indurci a cliccare su promesse di soldi, salute e lavoro. Le trappole? Furti di credenziali e richieste di riscatto per file bloccati. Ecco come difenderci"
“Trovo improprio il paragone che molti fanno tra virus biologici e virus informatici. Nel primo caso agiscono natura e casualità, nel secondo dipende tutto dall’uomo, dalla sua capacità di adattarsi alle nuove occasioni e di immaginare nuovi inganni. E in un momento in cui qualsiasi attività ha a che fare con l’epidemia è su questo chiodo che ora battono i banditi della rete. Perché puntano su un bersaglio preciso e tutto sommato facile: non la tecnologia, ma le nostre vulnerabilità psicologiche”. Michele Colajanni insegna Sicurezza informatica all’Università di Modena e Reggio Emilia, dove dirige anche la Cyber Academy, una realtà che forma con metodi innovativi le future sentinelle del web. Da quando l’emergenza Covid-19 è scoppiata, il professore si è trovato di fronte al repentino cambio di pelle dei criminali di Internet. Diventati di punto in bianco degli indefessi promotori di campagne di ogni tipo legate al Coronavirus. Pronti a forzare le zone più fragili della nostre emotività.

Qual è il crimine informatico che l’ha più colpita in questi giorni?

C’è l’imbarazzo della scelta. Ma quello più assurdo riguarda un messaggio virale in cui si denuncia che presto il governo ci toglierà i soldi dal conto corrente e che bisogna investire subito in strumenti finanziari più redditizi, con tanto di link per aprire subito un rapporto. Peccato che le commissioni previste si aggiravano intorno al 10 per cento, vale a dire oltre dieci volte tanto la peggiore versione di una ipotetica patrimoniale.

Una delle prime azioni di cybercrime legate al Covid-19 è stato un trojan chiamato Ginp: in pratica, arriva un sms, un Whatsapp o una mail, con un messaggio allettante che per meno di un euro promette di rivelare chi sono le persone contagiate con cui si è entrati in contatto. Un’esca dal forte impatto emozionale, specie nei primi tempi, il cui vero scopo è ovviamente rubare i dati delle carte di credito.

Già, il punto è che dietro questi mezzi c’è sempre un fattore psicologico, che sfrutta tematiche ad alto coinvolgimento emotivo, come la salute, il lavoro o il denaro. L’obiettivo è convincere le persone a fare una di queste due azioni: cliccare su un link o scaricare un allegato. Un invito che può arrivare da soggetti che sparano nel mucchio, sperando che sui grandi numeri qualcuno abbocchi, o da chi si camuffa con un’identità a noi familiare, inducendoci a fare quel click che poi apre il cancello al malware o al trojan per azioni malevole.

Altro gancio allettante arriva mentre navighiamo, tramite pubblicità, articoli esca o popup cha appaiono all’improvviso: messaggi spesso legati alle nostre paure per l’epidemia.

Sì, altra forma, identici obiettivi: spingerci a cliccare dove non dovremmo.

Quando l’attacco arriva via mail la questione diventa però più sottile e bisogna fare qualche distinzione. Una prima forma è quella del phishing, la truffa in cui con il logo contraffatto di una banca o di un’azienda di e-commerce si invitano i destinatari a rivelare dati riservati, come le credenziali di accesso all’home banking, con pretesti di natura tecnica. Come evolve questo sistema nell’era del Covid?

Il phishing in questi giorni vive un momento d’oro e, se non fosse irrispettoso per le vittime, potremmo parlare di un’autentica esplosione di fantasia. Girano mail in cui, col tono di chi smaschera un complotto, si dice che non è vero che il contributo del governo sia di soli 600 euro, ma che cliccando sul link si può sapere come percepire di più. Ovviamente cliccando scatta la tagliola. Oppure ci sono campagne che a nome di organismi come l’Unicef o l’Avis invitano a fare donazioni che poi finiscono sui conti dei pirati informatici. Una tecnica che vale la pena di sottolineare è poi quella dei passi multipli: obiettivo iniziale del messaggio non è tanto l’attacco diretto, quanto quello di farti rivelare informazioni sensibili: chi sei, dove abiti, qualche tua abitudine, il nome dei tuoi familiari e via dicendo. Per poi arpionare la vittima in un secondo momento.

Ecco, e qui arriviamo al secondo tipo di aggressioni digitali fatte via mail. Non più messaggi di tipo generalista, ma stavolta intimi, personali. Ricavati appunto dall’opera di spionaggio condotta in precedenza. Cosa avviene in questo caso?

Qui bisogna davvero accendere il cervello. Se una mail ti arriva, all’apparenza, da un amico o da un conoscente occorre moltiplicare la vigilanza. Ci sono organizzazioni criminali, per esempio, che possono identificare il nome e l’indirizzo del responsabile di una filiale. Poi, grazie alle informazioni ricavate dai sistemi di cui abbiamo parlato prima, gettano una sorta di rete a strascico sulla posta elettronica di chi abita nei pressi dell’istituto, confidando che qualche correntista ingenuo ci finisca dentro. Attenzione, i messaggi sono molto ingannevoli, perché calibrati su ciò che i malviventi hanno appreso sulla vita di chi li riceve. A me personalmente è capitato di aprire una mail, che sembrava del direttore della mia banca, in cui si offrivano sconti per Disneyland ai clienti più fedeli che avevano almeno due figli, ed era il mio caso. Mi sono salvato, e non ho cliccato sul presunto buono, perché ho notato nel messaggio un modo di esprimersi diverso da quello del funzionario che conoscevo. 

In questi giorni milioni di persone si sono spostate sui sistemi di videochiamata per lavorare, per studiare o per incontrare i propri amici. Gli esperti di informatica temono però che stiamo spalancando le porte a nuove aggressioni digitali. È così?

È una frontiera nuova su cui bisogna pronunciarsi con circospezione. Sotto attacco, per esempio, è soprattutto Zoom, ma il fatto che questa piattaforma abbia sorpassato in pochi giorni i precedenti monopolisti del mercato, qualche dubbio sulle attuali campagne denigratorie lo pone. Certo è che i dati che produciamo quando siamo connessi con una videochiamata possono essere venduti o, peggio, rubati. Non tanto quelli relativi a ciò che diciamo, ma informazioni come con chi parliamo, per quanto tempo, a che ora, o anche il titolo della conferenza, che infatti sconsiglio sempre di indicare.

Una volta vittime di un attacco possiamo subire vari tipi di conseguenze. Ci dice quali sono le principali?

Il primo è il classico furto di credenziali. Tutti pensano alle password dei nostri conti correnti. Ma devo dire che su questo fronte le banche hanno fatto grandi passi avanti e avviato da tempo sistemi di sicurezza adeguati, con autenticazioni a più fattori e codici temporanei molto difficili da intercettare. Sono più preoccupato invece per altri sistemi di pagamento, con cui si possono spostare somme di denaro con meno misure di sicurezza.

L’altro esito di un adescamento online sono i ricatti nei confronti dei malcapitati.

E qui bisogna distinguere due categorie. La prima riguarda le informazioni personali carpite dagli attaccanti venendo a conoscenza di abitudini sessuali, per esempio tramite siti pornografici o videochat, o problemi sanitari, entrando di soppiatto nelle cartelle cliniche. In sostanza: se vuoi che non rivelo queste informazioni alla tua famiglia o ai tuoi colleghi paga.

E la seconda?

La seconda è il ransomware, ossia la richiesta di un riscatto per liberare l’accesso a documenti presenti sul computer che sono stati criptati dagli attaccanti. E questo è un gravissimo problema, specie per imprese e studi professionali. Pazienza se ti rubano i soldi o se ti sequestrano qualche dato, ma ho visto con i miei occhi amministratori delegati in lacrime perché gli avevano bloccato l’intera operatività aziendale. Aggiungerei anche un altro tipo di frode emergente: colpisce soprattutto i fornitori di grandi società. Funziona così: prima di criptarti i file, ti rubo i dati dei tuoi clienti, poi cifro; quindi, se non paghi, minaccio di pubblicare le informazioni screditandoti con la tua rete di contatti. Un ottimo mezzo di coercizione se nel tuo portafoglio hai aziende come Boeing o Lockheed Martin.

Con l’emergenza del Coronavirus si è assistito a un ribasso delle richieste per sbloccare i dati, c’è chi parla di appena 45 euro…

Mi sembra una cifra un po’ bassa. Vero è che ci sono due tipi di richieste. Una è generalista, nel senso che colpisce utenti in modo indistinto, e qui in genere i criminali si accontentano di 100-200 euro per liberare i documenti sotto chiave. L’altra è invece mirata sui responsabili di grosse attività. E lì la richiesta iniziale può partire dall’1 per cento del fatturato. Cifre da capogiro, se ci pensiamo.

Che garanzia c’è una volta pagato di riottenere i contenuti persi?

In genere chi paga riceve indietro i file, anche se nei casi più complessi può verificarsi qualche errore crittografico che compromette la restituzione. Teniamo comunque presente che da noi vige ancora la legge nata all’epoca dei sequestratori sardi: pagare il riscatto è vietato. Un motivo in più per non farlo. 

Ha parlato dei danni procurati colpendo chi lavora nelle aziende. Quanto è grave questo rischio?

Gli attacchi ai dipendenti, specie quelli degli istituti di credito, hanno una storia lunga. In passato i criminali informatici si approfittavano dei rapporti di fiducia e di consuetudine tra correntisti e impiegati che permettevano di agevolare alcune operazioni. Capitava, ad esempio, la finta mail del cliente che chiedeva al funzionario di fare un bonifico su un certo conto. Ora questo fenomeno è stato praticamente bloccato da disposizioni interne più rigide. Il problema adesso è quando a scrivere la mail al funzionario sembra essere il suo superiore, magari proprio l’amministratore delegato, che simula un’improvvisa emergenza, con relativa irreperibilità, ordinando pagamenti immediati. Segnalo ad esempio il caso delle fatture Telepass che un finto dirigente invia all’ufficio contabilità con un messaggio del tipo: ‘Guarda che stupidi, hanno mandato questa mail a me, pensateci voi’. Quelli senza pensarci aprono il documento e per i truffatori è fatta. Oggi i manager sono tra le figure più minacciate dal cybercrime, non tanto come bersagli diretti, quanto come potenziali cavalli di Troia.

Ci dica in conclusione qualche sistema per proteggerci.

La prima cosa: per le operazioni più delicate, come quelle legate alla banca o ai pagamenti online, usare sempre e soltanto un computer specifico per questo scopo. Mai quello su cui i figli chattano o scaricano file senza alcuna prudenza. Oggi bastano 300 euro per portarsi a casa un pc sicuro. Ovviamente, poi, bisogna aggiornare il software, gli antivirus e usare tanto buonsenso. Se ci arriva una mail da chi pensiamo di conoscere verifichiamo sempre che l’indirizzo sia quello giusto e che non ci sia aggiunta una lettera poco leggibile nel corpo. Ma soprattutto facciamo attenzione al linguaggio che viene usato: la persona che conosciamo si rivolgerebbe a noi con quelle parole e con quel tono? La posta elettronica è un’invenzione fantastica nata nel 1971, quando la pirateria informatica non esisteva. Oggi però viene usata per cose diverse da quelle per cui è stata concepita e spiarne il contenuto è un gioco da ragazzi: mentre noi la immaginiamo come una lettera sigillata, per un malfattore è soltanto una cartolina. Ancora una volta: le banche possono predisporre tutti i migliori sistemi tecnologici del mondo, ma poi il grosso della responsabilità spetta a noi utenti.

E per le password?

 Per le password il consiglio è semplice: non serve tanto creare parole complicate, meglio scegliere frasi lunghe di facile memorizzazione: “devoandareacomprareunlitrodilatte” è meglio di “o9P@!&”.
CIRCOLARI 2024
ALTRI ARTICOLI

 
Pagamenti

Pagamenti innovativi nella GDO: tra Customer experience e fidelizzazione

Gli sviluppi e le opportunità portate nella Grande distribuzione dalla digitalizzazione dei pagamenti sono stati discussi in occasione della sessone...

 
Pagamenti

Natale e Black Friday: doppia spinta per acquisti online, BNPL e prestiti finalizzati

Il periodo tra fine novembre e la vigilia di Natale è tradizionalmente un momento topico per gli acquisti retail. Con un impatto diretto sulla...
Il Salone dei Pagamenti 2024
L’appuntamento di riferimento sui Pagamenti e l’Innovazione in Italia e non solo.
Icona Facebook Icona Twitter Icona LinkedIn
Bancaforte TV
Attanasio (ABI): Pionieri e visionari, gli innovatori si ritrovano al Salone dei Pagamenti
Nove anni del Salone dei Pagamenti, nove anni di costante crescita che hanno fatto registrare 14 mila presenze...
Icona Facebook Icona Twitter Icona LinkedIn
Innovation Workshop powered by Bancaforte
DIGITALIZZARE LA PIANIFICAZIONE, PRIORITÀ STRATEGICA PER LE BANCHE. Le esperienze di Banca di Asti, Banca Sella e CSE
Registrati gratuitamente e guarda la puntata organizzata in collaborazione con Board
Icona Facebook Icona Twitter Icona LinkedIn
Banner Pubblicitario