Pochi giorni fa l'allarme della compagnia di sicurezza informatica Yoroi: nel dark web circolano 3887 contatti telefonici ed email di impiegati e dirigenti italiani ed europei di alto profilo.

Il personale a cui sono stati sottratti i dati appartiene ai settori finanziario e bancario di centinaia di aziende italiane sia pubbliche che private.

Il rischio, secondo Yoroi, è che si attuino delle tecniche di Social Engineering, altrimenti detta ingegneria sociale. In altri termini: degli studi specifici sul comportamento di una persona per carpirne informazioni utili, magari con campagne fraudolente appositamente create.

Così facendo, si aprirebbe una falla nel sistema aziendale che metterebbe a rischio la privacy di un gruppo molto più numeroso di persone, esponendole a ricatti o altro.

Ma vediamo assieme gli ultimi casi che vedono coinvolte delle organizzazioni italiane e quali sono le soluzioni per proteggere la propria privacy.

Quando la privacy è a rischio

A causa del furto di database che poi finiscono nel dark web, i propri dati possono venire rubati e usati per fini illeciti.

Non sempre si riesce a essere al corrente del fatto che la propria privacy sia stata violata, anche perché, molto spesso, la violazione avviene indipendentemente dal livello di protezione informatica.

I dati possono essere sottratti indirettamente, infatti, facendo breccia nella sicurezza di altre aziende che li possiedono, com'è accaduto per quelli di un antivirus. 

Queste informazioni poi giungono nel dark web, un'area di Internet a cui si ha accesso solo con dei browser particolari (di certo non Google o Bing) e che garantisce l'anonimato.

In questo spazio proliferano i siti in cui si comprano, spesso in criptovalute, armi, droga, organi, animali, video di torture e violenze sessuali, e, sì, anche dati.

Numeri di carte di credito, documenti, credenziali di accesso a sistemi di pagamento trafugati arrivano in questa parte nascosta del web. Da qui comincia poi il loro sfruttamento per acquisti online e la creazione di false identità.

Tra le maggiori cause all'origine del furto di dati ci sono: mancati aggiornamenti dei sistemi operativi, protocolli di sicurezza difettosi, bug, tecnologie superate, falle nelle app, ecc.

Stefano Fratepietro, padre fondatore del progetto DEFT Linux, sistema d'indagine informatica tra i più usati al mondo, spiega in questo video YouTube di TedxTalks "Cyber InSecurity" i rischi per la privacy che si incontrano nell'uso inconsapevole della tecnologia:

Casi recenti di privacy messa a rischio

Il fondatore e Ceo di Yoroi Marco Ramilli, esperto internazionale di cybersecurity, ha spiegato all'agenzia AGI che, di 80 grandi imprese italiane analizzate, appartenenti al settore alimentare, della moda e delle auto

il 50% è a rischio ransomware a causa delle esposizioni su Internet dei loro sistemi, delle falle di sicurezza dei software e dei dati relativi sottratti al controllo degli interessati (dataleakage).

L'accanimento nei confronti delle aziende italiane da parte del cyber crime, di recente, ha avuto come oggetto il gruppo alimentare San Carlo e la SIAE, la società italiana degli autori e degli editori.

Nel primo caso il gruppo di cybercriminali denominatosi Gruppo Conte ha utilizzato un attacco di tipo cryptolocker.

Questa tipologia di virus, scatenata dal download dell'allegato, sembra provenire da fonti affidabili (banche, poste...), ma agisce su sitemi Windows criptando i dati della vittima. In questo modo il malintenzionato richiede un riscatto per procedere poi al ripristino dei file bloccati.

Come ne è uscita San Carlo? Grazie a un precedente backup.

Diversa la situazione per la SIAE, a cui sono stati sottratti 60GB di dati (28mila documenti) dal gruppo Everest. Il team criminale, che aveva già pubblicato nel dark web parte delle informazioni (data leak), ha chiesto in cambio 3 milioni di euro in bitcoin per non divulgare il resto.

Tra i dati sottratti: documenti di identità, contratti, riconoscimenti di opere e IBAN di diversi artisti e dipendenti.

Gaetano Blandini, direttore generale dell'associazione, ha comunicato di non dar seguito alla richiesta di riscatto e di aver già informato a riguardo il garante della privacy e la polizia postale.

Yoroi e la protezione sulla privacy

Yoroi (dal nome dell'antica armatura giapponese, quella usata per esempio dai samurai) è una delle organizzazioni di cybersecurity italiane d'eccellenza, ideatrice di un indice per la valutazione del grado di esposizione di un'impresa.

Per stimare quanto la propria privacy rischi un attacco informatico, calcola tre fattori: la quantità dei servizi vulnerabili, il punteggio di questa vulnerabilità e il numero di data leak.

L'importante, per il privato così come per l'azienda, è comprendere quanto prima il livello di rischio per la propria privacy e adottare le contromisure necessarie per proteggersi da attacchi che possono provenire da robot ed esseri umani.

Proprio pensando a questo sistema malato creatosi nel web come a un campo di battaglia, si comprende meglio come i criminali elaborino delle strategie per ottenere illegalmente dati sensibili per ricattare altre persone.

Sempre Yoroi spiega su AGI:

Il fenomeno delle truffe via mail è in crescita e secondo l'FBI ha prodotto 1,8 miliardi di dollari di danni alle aziende nel solo 2020.

Serve proteggersi dai continui attacchi a cui si viene sottoposti nel web per evitare il furto o la perdita di dati che, a loro volta, andranno ad alimentare altre campagne fraudolente ai danni sia della vittima iniziale sia delle successive.

Paradossalmente, da un micro attacco se ne possono scatenare altri di portata globale.

Ceo fraud: le campagne che giocano con la privacy

Tra le tattiche elaborate per attuare una serie di frodi specifiche vanno riconosciute le ceo-fraud.

Con questa truffa, il pirata informatico impersona l'amministratore delegato o un alto dirigente inviando una comunicazione dove si richiede, di solito, un pagamento (questo tipo di truffa viene definito BEC, Business Email Compromise).

Spiega Yoroi in questo comunicato Ansa:

In genere queste richieste appaiono credibili in quanto sono arricchite di particolari relativi alla funzione del destinatario e alla conoscenza delle dinamiche aziendali, ma si caratterizzano per giungere alla fine della giornata lavorativa o in prossimità del weekend, quando i dipendenti sono stanchi e hanno fretta di chiudere le attività settimanali.

Per ottenere questa mole di informazioni, il pirata ha già accesso agli strumenti di comunicazione della sua vittima, attraverso, ad esempio, le credenziali dell'account di posta elettronica.

Li può aver ottenuti con attacchi aggressivi (per mezzo dei virus) o più sottili, come la compravendita di database. Durante queste campagne, il criminale in possesso di mail, telefono e altri dati sulla vittima di alto profilo, verifica che queste informazioni siano attendibili.

Per farlo, non è raro che telefoni all'azienda, chiedendo di parlare direttamente con la persona a cui ha sottratto i dati. Ne studierà lo stile vocale, il modo di parlare, reperirà informazioni pubbliche e più specifiche (come ad esempio i nomi dello staff) per delineare meglio il profilo del CEO e renderlo il più credibile possibile.

Onde evitare che la sua strategia venga scoperta nella mail dal dipendente, per via dell'IBAN differente, il cybercriminale può anche decidere di creare schemi più complessi, che richiedono pagamenti a soggetti sempre diversi, una documentazione dettagliata e numerose telefonate.

Come scongiurare i casi di privacy a rischio

Il malintenzionato, un esperto dell'informatica, della psicologia e della contraffazione, gioca con le sue vittime pianificando ogni step. In generale, non solo nel caso si tratti di un CEO, dopo essersi accertato sulle informazioni, passerà all'attacco psicologico con:

• autorevolezza: replica nelle mail e nei siti web lo stile, il design e il linguaggio di un ente autorevole come una banca, un'azienda o un ente istituzionale per convincere il malcapitato a compiere una determinata azione;

• senso di colpa, panico, ignoranza: a conoscenza delle debolezze della vittima, il criminale le fa compiere azioni inconsuete per risolvere situazioni incresciose che altrimenti verrebbero rese pubbliche oppure la convince di un pericolo imminente facilmente risolvibile seguendo le procedure indicate; molto spesso i messaggi sono volutamente complessi, con una terminologia molto tecnica;

• desiderio e avidità: navigare su una tipologia di siti, specie quelli con contenuti pornografici, comporta l'esposizione a dei rischi. La privacy è a rischio anche quando si clicca su offerte apparentemente vantaggiose, ma insolite e non correlate alla vera azienda;

• buoni sentimenti: il criminale potrebbe fingere di essere un collega che ha bisogno di aiuto o un fornitore di servizi affidabile. In entrambi i casi la vittima prova fiducia e fornisce tutte le informazioni desiderate. A volte capita che il malintenzionato si spacci per un'associazione benefica e inviti a fare donazioni o a scaricare applicazioni che poi si rivelano essere cavalli di Troia.

Per non cadere nella trappola, occorre prestare attenzione ad alcuni segnali d'allarme. Nelle truffe BEC i cybercriminali fanno di tutto per mantenere la conversazione riservata, intimando di scrivere solo via mail e di non chiedere spiegazioni al telefono.

Ecco perché le richieste insolite o urgenti, provenienti da indirizzi sconosciuti o simili a quelli aziendali, dovrebbero far drizzare le antenne, così come le telefonate circospette e i siti con URL diversi dall'originale, gli allegati di dubbia provenienza...

Questo per quanto riguarda la tutela della privacy del singolo e, di conseguenza, dell'azienda. Proprio quest'ultima dovrebbe creare un sistema di comunicazione interno costantemente aggiornato, individuando le informazioni sensibili da proteggere, stabilendo un protocollo di sicurezza e una relativa politica e procedura per i dati sensibili.

Meglio poi informare, quando si scopre l'attacco, anche il garante della privacy e la polizia postale, controllare i movimenti del conto e cambiare le password.

Il personale deve essere consapevole dei rischi e l'infrastruttura va messa alla prova (con test casuali e non comunicati), perché in questi casi non sono sufficienti antivirus, firewall né backup, pur essendo di primaria importanza: il tallone d'Achille resta l'essere umano, in una battaglia tra uomini.