I crimini legati alla cybersecurity riguardano ormai ogni realtà aziendale. Complice il Covid-19, insieme alla nostra maggiore presenza online, è aumentato anche il fenomeno del cybercrime, ossia attacchi informatici mirati.

A confermarlo è anche l'Europol, l'agenzia anticrimine europea e il suo ultimo report, Internet Organised crime threat assessment (IOCTA). Scaricabile al seguente link, il documento conferma che durante il Covid-19, i tentativi di cybercrime hanno subito un drastico aumento.

Prima di continuare, meglio fare chiarezza sui termini che useremo. Iniziamo col tema chiave trattato: la cybersecurity. Il sito CyberSecurity360 ne fornisce una definizione tra le più complete:

La cyber security è focalizzata principalmente sulla protezione dei sistemi informatici (computer, reti di telecomunicazione, smartphone, ecc.) e dell’informazione in formato digitale da attacchi interni e, soprattutto, esterni. Altri termini utilizzati in alternativa e precedentemente sono IT security, ICT security, sicurezza informatica e sicurezza delle informazioni.

La cybersecurity mira quindi a tutelare aziende e cittadini da attacchi informatici portati avanti da cybercriminali, che secondo il blog Osservatori.net Digital Innovation, possono essere definiti come segue:

Un soggetto che, spinto da motivazioni criminose, effettua, singolarmente o tramite una vera e propria associazione, attacchi informatici attraverso l’uso di Internet (ad esempio al fine di estorcere denaro o trafugare informazioni vitali per l’organizzazione).

Cybersecurity: perché è necessaria

Ogni nostro click contiene una quantità infinita di informazioni che nelle mani sbagliate potrebbero causare altrettanto infiniti danni. Pensiamo a un semplice acquisto online: il nostro metodo di pagamento, il nostro indirizzo di casa e le nostre credenziali si trovano lì, in un singolo ordine.

Cosa accadrebbe se l’e-commerce in cui abbiamo effettuato l’acquisto venisse hackerato? Cosa accadrebbe nel caso in cui invece di un e-commerce, venisse infettato il sistema informatico del nostro ospedale, custode delle nostre cartelle cliniche o peggio ancora l’azienda per cui lavoriamo, in possesso dei nostri dati più sensibili?

Il cybercrime colpisce ogni entità, proprio per questo, ogni azienda, piccola o grande che sia, deve investire in una solida cybersecurity.

Utilizziamo una metafora: per tutelare la nostra casa e gli oggetti che essa contiene, ci dotiamo di antifurti e telecamere, non ci sogneremmo mai di lasciare porte e finestre spalancate, spianando la strada a un possibile furto.

Qualcosa di simile deve avvenire a livello aziendale: è necessario tutelare i dati dei propri utenti, iscritti e dipendenti, mettendo in piedi un’infrastruttura informatica solida e affidandone la gestione a figure specializzate, che analizzeremo in seguito. 

Trascurare gli investimenti in cybersecurity significa pagarne le conseguenze in seguito, rendendo difficile il limitare dei danni. 

Un recente caso di attacco informatico riguarda la società italiana degli autori ed editori, SIAE. Analizzeremo gli avvenimenti e infine, con lo scopo di fornire informazioni utili a tutelarsi e prevenire attacchi, approfondiremo le tecniche utilizzate dai criminali informatici, come contrastarle e quali figure specializzate un’azienda può impiegare in tale ambito.

Caso SIAE: quanto valgono i dati?

Il 18 ottobre 2021, il sito web della SIAE ha subito un attacco informatico. Sono stati rubati circa 60 gigabyte, vale a dire 28mila documenti, quali tessere sanitarie, carte di identità, codici iban, contratti e dichiarazioni di paternità delle opere appartenenti agli iscritti. Una parte dei documenti è già stata pubblicata dal gruppo hacker Everest, che ne ha rivendicato l’attacco. Lo stesso gruppo ha in seguito minacciato la società di mettere in vendita il resto dei documenti sul cosiddetto dark web. Per evitarne la vendita, il gruppo ha richiesto alla SIAE di versare loro 3 milioni in bitcoin. Quest'ultima, come spiegato sul sito Borsa Italiana:

...è una moneta virtuale creata nel 2009 creata da uno o più hacker con lo pseudonimo Satoshi Nakamoto. Diversamente dalle altre valute il Bitcoin non ha dietro una Banca centrale che distribuisce nuova moneta ma si basa fondamentalmente su due principi: un network di nodi, cioè di pc, che la gestiscono in modalità distribuita, peer-to-peer; e l'uso di una forte crittografia per validare e rendere sicure le transazioni. 

Davanti a questa richiesta, SIAE ha dichiarato di non essere intenzionata a cedere, scegliendo giustamente di rivolgersi alla Polizia Postale che sta al momento indagando e al Garante per la Privacy. 

Come gli hacker hanno aggirato la cybersecurity aziendale di SIAE

Questo non è il primo caso di cybercrime messo in atto dal Gruppo Everest, avendo quest’ultimo già agito in passato ma nella zona geografica del Canada. Questi cybercriminali tendono a prendere di mira aziende e figure importanti, studiandone le vulnerabilità tecnologiche e umane per poter applicare un attacco pianificato ad hoc. Questa particolare tecnica è chiamata ingegneria sociale: il cybercriminale carpisce i dati sensibili della vittima non solo applicando competenze informatiche ma anche manipolatorie, per esempio entrandovi in contatto e sfruttando la sua ingenuità o poca consapevolezza per ottenere credenziali e password o peggio ancora per portarla a installare programmi contenenti il virus vero e proprio.

Nello specifico caso riferito alla SIAE, possiamo notare tre differenti tecniche che il gruppo ha adoperato:

  • Phishing: ancor prima del 18 ottobre, numerosi artisti iscritti alla SIAE hanno segnalato alla polizia postale messaggi e chiamate sospette, apparentemente provenienti dalla società stessa. In queste chiamate o messaggi, le vittime venivano invitate a cliccare su un link, che li avrebbe rimandati a una pagina in cui fornire dati personali. Naturalmente sia i tentativi di contatto che il link stesso non provenivano dalla SIAE. Un quesito preoccupante è: come facevano gli hacker a essere in possesso dei numeri di telefono degli iscritti? Alcuni dati dovevano essere già stati violati.

  • In occasione del furto vero e proprio, avvenuto il 18 ottobre, gli hacker si sarebbero serviti di un ransomware, un virus che dopo essersi infiltrato nel sistema informatico ne ha limitato l’accesso, richiedendo un riscatto per rimuovere la limitazione. Ancora non è stato chiarito come il ransomware sia riuscito a introdursi: normalmente virus di questo tipo si diffondono tramite e-mail, nelle quali viene richiesto il download di allegati infetti. 

  • Double extortion: dopo aver violato i dati, il gruppo ha pubblicato una parte di questi ultimi per mettere sotto pressione la società, minacciandola di vendere il resto se non avesse pagato 3 milioni in bitcoin. Una doppia estorsione.

Perché rubare dati?

Una domanda che sorge spontanea: che tipo di ricavo ci sarebbe nel rubare dati digitali?

Prima di tutto un ricavo economico, come nel caso della SIAE. Un altro, ancor più grave per il singolo cittadino è il furto di identità: clonare documenti o carte di credito, utilizzandole a nome della vittima. I dati possono poi essere venduti a ulteriori criminali, che li utilizzeranno a loro volta per i propri scopi. Tale vendita avviene in uno spazio che abbiamo già nominato: il dark web.

Il dark web è quella porzione di internet caratterizzata da attività illegali e pericolose, non è possibile accedervi tramite i normali motori di ricerca che infatti non indicizzano quelle pagine.

Quello in cui noi navighiamo normalmente è l’Internet Visibile, che secondo alcuni rappresenterebbe solo la punta dell’iceberg. Al di sotto dell’acqua vi è infatti il deep web, raggiungibile tramite un browser specifico che ci garantisce il totale anonimato, permettendoci di navigare in pagine nascoste nell'Internet Visibile. All’interno del deep web, è presente il già citato dark web.

Come agiscono gli hacker e come tutelarsi tramite la cybersecurity

I cybercriminali adottano diverse tecniche per i loro attacchi, molte delle quali sempre più sofisticate e studiate ad hoc per la vittima scelta. Ecco le modalità più diffuse, alcune già illustrate nel caso SIAE:

  • Social engineering: l’hacker entra in contatto con la vittima, cercando di instaurare con quest'ultima un rapporto di fiducia tramite il quale portarla a rivelare informazioni utili al furto. Per esempio, il criminale può fingersi il dipendente della banca della vittima e riuscire a otterne credenziali, codici di sicurezza o qualsiasi altra informazione utile.
    Un’altra tecnica è convincere la vittima che il PC sia infetto e fingere di fornire assistenza facendo installare programmi che in realtà contengono il virus stesso.

  • Utilizzo di malware, ossia software maligni, che una volta installati su un pc possono duplicarsi e raggiungerne altri collegati. Questi programmi possono rubare e distruggere le nostre informazioni, alcuni nomi trojan, spyware e ransomware. Dei ransomware abbiamo già parlato, spieghiamo quindi brevemente i primi due. I trojan sono virus nascosti in un normale programma scaricato da internet, sono pericolosi in quanto in grado di prendere il controllo del nostro device. Gli spyware invece sono preoccupanti per la nostra privacy, poiché in grado di tracciare ogni nostro movimento su Internet.

  • Phishing: significa letteralmente pescare. La vittima riceve un sms o una mail all’apparenza credibile, con l’invito ad accedere a un link o scaricare un allegato. Nel primo caso viene di solito richiesto l’inserimento dei dati personali, che vengono così rubati; nel secondo, scaricare l’allegato significa introdurre nel proprio pc un malware, con cui il pc viene infettato. 

Semplici antivirus non bastano, poiché come abbiamo visto nel caso del social engineering, gli hacker non approfittano solo delle falle di cybersecurity informatiche ma soprattutto di quelle umane. Possono sfruttare l'ingenuità di una persona o approfittare della sua scarsa conoscenza dei rischi informatici. Per questo è necessario fare formazione, specie in un'azienda, così che i dipendenti sappiano riconoscere situazioni sospette.

Per tutelarsi vige la regola di mostrarsi diffidente verso qualsiasi offerta non richiesta, non cliccare su link sconosciuti e rifiutarsi di rispondere a domande relative a informazioni personali. Nessun ente ufficiale domanderebbe infatti dati sensibili.

Esperti aziendali in Cybersecurity

Ogni impresa, come già detto, ha il compito di instaurare un’infrastruttura di cybersecurity  ben solida. Per farlo è possibile affidarsi a una serie di figure specializzate, eccone alcune:

  • Security Specialist: è un hacker etico, poiché le sue conoscenze informatiche vengono impiegate per la sicurezza della propria azienda. Si occupa infatti di proteggere i dati di quest’ultima da accessi non autorizzati. Inoltre, individua eventuali debolezze in ambito sicurezza, proponendo soluzioni per prevenire attacchi. 

  • Chief Information Security Officer (CISO): oltre a conoscenze informatiche, deve possedere capacità di coordinamento e pianificazione. Questa figura si occupa infatti di valutare gli investimenti nell’ambito della cybersecurity, fare in modo che quest’ultima venga adeguatamente applicata, monitorata e aggiornata.

  • Malware Analyst: può intervenire nel caso in cui si verifichino tentativi di violazione o quando questa è già avvenuta. Naturalmente è preferibile il primo caso, nel quale lo specialista agisce per tempo, scovando malware nascosti in programmi o file in apparenza benigni. Nel caso in cui agisse in seguito, è suo compito individuare il malware, classificarlo e risolvere le problematiche che esso ha creato.