SOMMARIO
Il cybercrime continua a mietere vittime illustri. Agenzie Governative, Comuni, Ospedali, i Big Tech da Oltreoceano. Nessuno è immune. E con l’utilizzo massivo dello smart working in tutto il mondo le minacce sono aumentate, diventando sempre più sofisticate. Come riconoscerle? E come proteggere i nostri soldi e la nostra identità virtuale? OF lo ha chiesto Gerardo Costabile, attualmente CEO di DeepCyber e con una lunga carriera alle spalle passata in prima linea a combattere la criminalità informatica
Con il Covid boom di crimini online. Che fare?
Pochi giorni fa Jbs, il colosso brasiliano tra i più grandi fornitori di carne al mondo, ha pagato 11 milioni di dollari di riscatto in bitcoin a una banda di hacker russi che era riuscita a infiltrarsi nella sua rete aziendale. Qualche settimana prima, negli Stati Uniti, era stata presa di mira la Colonial Pipeline, una importante rete di oleodotti, che ha visto completamente paralizzarsi tutta la sua ragnatela di condutture da 8.850 chilometri che garantisce circa il 45% del carburante di tutta la East Coast americana. A inizio anno, in Francia, alcuni cybercriminali sono riusciti a bloccare il sistema informatico degli ospedali di Dax e Villefranche-sur-Saône, costringendoli a tornare temporaneamente alla carta.
Questi sono alcuni dei casi recenti che hanno fatto più clamore. Ma la lista delle vittime finite nel mirino dei truffatori del web è un crescendo di nomi noti. In Italia spiccano alcuni comuni (come quello di Brescia, recentissimo, al quale è stato chiesto un riscatto da 1,3 milioni di euro in bitcoin). E poi Enel, Luxottica, Campari. In Europa non è risultata immune, e proprio nel bel mezzo del rilascio delle autorizzazioni necessarie a distribuire i vaccini, l’EMA (l’Autorità Europa del farmaco). Oltreoceano, la lista include facebook e IBM, ma anche alcune agenzie federali del Governo degli Stati Uniti.
Le minacce che vengono dal web e mettono a rischio i saldi dei nostri conti correnti bancari sono in costante aumento. Diventano più sofisticate, camaleontiche, difficili da riconoscere. E, spesso, riescono a trarre in inganno anche i più esperti. Con la pandemia, poi, hanno imparato ad essere più efficaci, sfruttando da un lato la necessità di un numero crescente di persone di affidarsi al web per avere informazioni aggiornate sull’andamento dell’emergenza, e dall’altro il vastissimo impiego del lavoro da remoto, mai prima d’ora così utilizzato.
Come difendersi? E come riconoscere potenziali truffe? OF Osservatorio Finanziario lo ha chiesto a Gerardo Costabile (nella foto in alto), attualmente CEO di DeepCyber, una newco creata nel 2017, e da fine 2020 acquisita dal Gruppo Maggioli, specializzata in Advanced Cyber Threat Intelligence, Protection e Antifrode, oltre che Presidente dell’Italian Chapter di IISFA (associazione no profit che raggruppa gli specializzati in informatica forense), ma con una lunga carriera alle spalle passata in prima linea a combattere il crimine informatico.
Ecco chi sono gli hacker più pericolosi di Internet. Come agiscono. E quali nostre vulnerabilità (e lacune) hanno imparato a sfruttare a loro vantaggio.
OF: La scorsa estate l’Europol ha lanciato l’allarme: con l’esplodere del numero di contagi in tutto il mondo, sono aumentati parallelamente anche gli attacchi informatici.
Costabile: È vero, ed è una cosa accaduta un po' in tutto il mondo. Anche l’FBI ha fatto la stessa analisi. E nel recente report “Internet Crime Complaint Center” (IC3), che raccoglie le statistiche di quasi 800.000 denunce di sospetti crimini informatici ricevuti nel 2020, ha notato un numero record di segnalazioni, per un aumento del 69% rispetto al 2019. Con perdite complessive superiori a 4,2 miliardi di dollari.
OF: Cosa è successo?
Costabile: È successo prima di tutto che è aumentato lo smart working. Le persone hanno iniziato a lavorare da casa e non erano preparate, sia tecnologicamente che mentalmente. Alcuni non avevano nemmeno un portatile adeguato o un pc aziendale. E nelle fasi iniziali si è assistito a un vasto numero di persone che tutte insieme hanno sperimentato per la prima volta il tele-lavoro utilizzando il loro pc personale. Per questo il perimetro degli attacchi è sostanzialmente cambiato. Anzi, i tecnici dicono che la superficie di attacco è notevolmente aumentata.
OF: Cioè in che modo si sono adattati i cyber-criminali al nuovo contesto?
Costabile: Prima i più colpiti erano i dipendenti dentro le aziende. Oppure i manager che erano sia dentro che fuori la società poiché erano tra i pochi che si portavano di più il lavoro a casa. Ora, invece, con l’esplosione della pandemia, sono stati presi di mira tutti i dipendenti tradizionali. Che non essendo abituati a gestire il lavoro fuori dall’ufficio, si sono trovati un po' impreparati. Sia perché la rete dei pc di casa è spesso meno sicura di quella dell’ufficio che, allo stesso tempo, le difese comportamentali sono state influenzate dal fatto che i dipendenti erano nelle proprie abitazioni, in luoghi psicologicamente ritenuti più sicuri.
OF: Quali minacce hanno messo in atto i truffatori del web?
Costabile: Soprattutto tramite il phishing e lo spear phishing, cioè con i link fraudolenti invia via e-mail.
OF: Pensavo che ormai, dopo tutti questi anni di informazione a riguardo, fosse un problema superato…
Costabile: Assolutamente no. Anzi, con il Covid il fenomeno è aumentato del 600-700%. Il 2020 è stato l’annus horribilis per questa tipologia di attacchi. Perché i truffatori si sono resi conto che le persone a casa in smart working, in un contesto apparentemente sicuro, hanno abbassato le difese anche a livello mentale. Hanno aperto allegati in modo più superficiale. Cliccato su link che non avrebbero aperto normalmente. E consideriamo che non c’erano nemmeno i colleghi nella stanza e quindi non avevano un confronto o un aiuto dall’ecosistema professionale.
OF: Come avviene oggi un attacco di phishing?
Costabile: Sempre nello stesso modo. Generalmente con link infetti inviati via mail. Quello che è cambiato è il soggetto della truffa. Sono quindi comparsi malware basati sul Covid che, soprattutto un anno fa, sfruttavano la necessità di essere informati sull’andamento della situazione epidemiologica. Anche se dobbiamo dire, in realtà, che gli attacchi di ingegneria sociale erano già in aumento negli ultimi anni. Anche prima dell’emergenza.
OF: Perché si continua a cadere vittima di queste truffe che ormai dovrebbero essere conosciute?
Costabile: Per tanti motivi. Innanzitutto, storicamente e mentalmente siamo abituati a vedere la sicurezza informatica come una problematica prettamente tecnologica. Cioè pensiamo che basti mettere antivirus, firewall, antispam per ridurre al massimo i rischi. Ma non è così. La tecnologia è sicuramente necessaria, ma da sola non basta. La sicurezza sul web ha sempre tre componenti: quella tecnologica, quella procedurale (che sono le regole e i processi) e quella umana, delle persone. E spesso il punto debole sono proprio le persone.
OF: In che senso?
Costabile: L’utente medio è poco informatizzato. Stando alla statistica dei paesi europei relativa alla preparazione digitale degli utenti, noi siamo agli ultimi posti. L'Indice di digitalizzazione dell'economia e della società (DESI 2020) della Commissione Europea fotografa una situazione in cui l'Italia risulta in 25° posizione su 28 Stati membri. Siamo davanti solo a Romania, Grecia e Bulgaria. E il punteggio italiano è di ben 9 punti inferiori alla media UE.
OF: Quindi si cade vittima di attacchi hacker per disattenzione?
Costabile: Certo. Anche. Le faccio un esempio: nelle nostre statistiche abbiamo notato che le persone cadono nel phishing prevalentemente il lunedì e il venerdì. Perché il lunedì si ha magari una serie di mail da smaltire dal weekend, e dunque si legge tutto più velocemente. Il venerdì, invece, c’è il problema opposto: si vede iniziare il weekend e dunque si abbassa la soglia di attenzione. Anche se effettivamente questa statistica sta un po' cambiando con il Covid: stiamo lavorando di più e distribuiamo le ore diversamente.
OF: E come si può aumentare la consapevolezza degli utenti per evitare che cadano nella rete dei criminali informatici?
Costabile: Con una periodica alternanza tra test di penetrazione e formazione. La mia azienda si occupa di creare simulazioni di phishing per le aziende clienti. In pratica, simuliamo un attacco per vedere quanti dipendenti cadrebbero nella trappola. Per poi verificare se bisogna fare formazione o azioni di innalzamento della sicurezza.
OF: Come vanno queste simulazioni? In quanti più o meno “ci cascano”?
Costabile: Tra il 20% e il 40%. Però abbiano notato che questo numero si riduce della metà dopo aver fatto un ciclo di formazione specifico. Che deve essere però studiato in una modalità moderna.
OF: Cioè come si formano i dipendenti contro il phishing?
Costabile: Le modalità nuove sono quelle basate sulla gamification. Esistono delle piattaforme interessanti che spiegano il phishing come se fosse un videogioco. Cioè fanno vedere forme differenti di attacchi in modo che il dipendente riesca a riconoscerlo e a non sbagliare più. Alcune piattaforme sono programmate per fare una vera gara tra dipendenti. E alcune aziende mettono anche in palio un premio. La formazione va ovviamente fatta anche su altri argomenti, specialmente sulla perdita dei device, sulla condivisione inconsapevole di informazioni aziendali sui social e sui cloud, ed altro ancora. Le minacce sono molteplici ed alcune volte si mescolano tra di loro.
OF: Ci sono anche nuove tipologie di attacchi che minacciano oggi la sicurezza online e mobile?
Costabile: C’è lo spear phishing. Dove il professionista studia molto la potenziale vittima in modo da elaborare un attacco mirato. Questo sta portando frodi non al singolo ma alle aziende anche di milioni di euro.
OF: Poi?
Costabile: C’è il cosiddetto attacco Man in the mail in cui, di fatto, il truffatore si interpone tra un cliente e il suo fornitore. Così, per esempio, possono arrivare email da indirizzi o siti Internet conosciuti in cui viene richiesto di inviare un pagamento al fornitore al suo nuovo Iban. Magari non si tratta dello stesso sito, ma è scritto in modo quasi uguale che di solito a una prima occhiata veloce non ci si accorge. Basta cambiare solamente una lettera nel dominio, sostituendo magari una “L” con un “1”, e utilizzare un font che renda quasi invisibile la differenza.
OF: A quali altre minacce dobbiamo prestare attenzione?
Costabile: Ai ransomware. Che funzionano ancora molto bene. In questo caso l’attaccante prende possesso del pc o di alcuni file sensibili e chiede un riscatto, in denaro o bitcoin, per restituirli al proprietario. In questi casi bisogna considerare che se è già pagato la prima volta, si diventa ricattabili più facilmente.
OF: Come si viene attaccati da un Ransomware?
Costabile: Ci sono varie tecniche. Alcune basate su phishing. Altre invece sfruttano le vulnerabilità del sistema. Quindi il truffatore si insinua nel computer della sua vittima, ne prende possesso e installa il malware, avendo preso la padronanza della rete. Possono quindi trovare il server della posta elettronica. O addirittura quello degli aggiornamenti dell’antivirus. A questo punto, infilano il malware in quel server. Così il sistema riconosce il malware come se fosse un aggiornamento software. E quando viene eseguito viene poi scaricato su tutti i pc collegati di una stessa azienda.
OF: A cosa si può prestare attenzione per evitare di cadere nella trappola?
Costabile: Bisogna, soprattutto nelle aziende, attuare una buona segregazione della rete. Ci sono stati dei casi in cui alcune industrie, soprattutto nel Triveneto, avevano la rete informatica della parte industriale dei capannoni (quindi la parte fabbrica) collegata senza filtro alla stessa rete degli uffici amministrativi. Quindi se una persona dell’amministrazione fosse stata infettata, il malware si sarebbe propagato anche alla parte produttiva. Ed è successo. Immagini i danni enormi: con un virus che blocca per giorni interi tutta la linea di produzione.
OF: Questo avviene in una azienda. Ma può accadere anche sul pc privato dei clienti?
Costabile: Certo. Soprattutto può accadere se mi collego al computer di casa da fuori, con un sistema di remote desktop. Questa connessione può consentire che qualcuno entri al posto mio nel mio computer. Oppure è il caso delle reti WiFi pubbliche. Quando una rete è aperta, cioè non richiede una chiave per entrare, tutte le password che io inserisco sui vari siti, da quelli della banca a facebook, per esempio, passano in chiaro. Addirittura, ci sono attaccanti che fingono una rete aperta, creando un hotspot in una piazza per visualizzare tutti i dati di chi si connette in chiaro.
OF: Questo vuol dire che è più sicuro navigare con la rete mobile?
Costabile: Sicuramente sì.
OF: Anche sulle applicazioni bancarie?
Costabile: In realtà non è proprio così automatico. Quello che sta accadendo nell’ultimo anno è che stiamo assistendo a tantissimi casi di app “bucate”.
OF: In che senso?
Costabile: La percezione, specialmente su alcuni brand di telefonini, è che non esistono i malware sugli smartphone. Alcuni marchi, addirittura, fanno anche pubblicità su questo. Per esempio, c’è la credenza che la Apple sia immune da attacchi informatici. Ma non è così ovviamente. Anzi, ci sono anche stati casi in cui persino le app ufficiali degli store avevano delle vulnerabilità. Quindi non è vero che lo smartphone è più sicuro.
OF: E cosa succede se si viene attaccati da un virus sul telefonino?
Costabile: Che il criminale prende possesso del dispositivo e può disporre transazioni al posto nostro. Addirittura, ci sono dei malware che sono in grado di riconoscere la Otp (o One Time Password, necessaria per autorizzare le disposizioni di pagamento) che arriva via sms e inserirla al posto giusto.
OF: Quindi non è sicuro l’Otp via sms?
Costabile: Non è che non sia sicuro. È un livello di sicurezza, ma non può essere l’unico. Ma questo lo si sapeva. Anche la chiavetta token non è sicura, ormai da anni. Ne avevamo parlato proprio su queste pagine circa 10 anni fa.
OF: Perché no? Non può essere hackerata…
Costabile: In uno dei mie libri avevo scritto che la chiavetta sarebbe stata bucata ancora nel 2008. Perché in pratica, così come l’sms, genera solo un numero. E quel numero non è legato alla singola transazione che si sta facendo, ma vale solo per quel preciso momento.
OF: E con la chiavetta token non è così.
Costabile: Esatto. Se io faccio un bonifico da 1.000 euro a lei o a un qualsiasi altro destinatario il numero che viene prodotto è sempre lo stesso. Perché appunto non è legato alla specifica transazione che si sta facendo né all’Iban.
OF: Ma la secure call, cioè il sistema di autenticazione tramite telefonata, in alcuni casi oggi lo fa.
Costabile: È vero. Ma c’è stato più di un caso l’anno scorso in Inghilterra dove il chiamante veniva identificato sul telefono del malcapitato proprio con il nome della sua banca. Quindi chi rispondeva pensava davvero di parlare con la sua filiale. Il fatto è che oggi si riesce a fare spoofing non solo della posta elettronica ma anche della chiamata.
OF: Però almeno la biometria garantisce sicurezza. Cioè l’impronta digitale è univoca…
Costabile: Dovrebbe. Ma si può simulare anche un accesso biometrico. Noi registriamo la nostra impronta sul telefonino. Ma se un truffatore ha preso possesso dello smartphone, a quel punto può fare tutto. L’app pensa di aver avuto l’ok dal riconoscimento dell’impronta digitale. Ma si tratta solo di un comando. Basta mandare lo stesso comando all’app, anche se l’impronta non viene davvero appoggiata.
OF: Ma quindi non c’è nulla di sicuro veramente…
Costabile: Ed è per questo che vengono adottati vari livelli di sicurezza insieme. La Strong Customer Authentication voluta e introdotta dalla PSD2 ormai è un obbligo e tutti si sono adeguati. E prevede appunto una autenticazione a due fattori. Ma diciamo che è un livello minimo di sicurezza. Da sola non basta.
© OF Osservatorio Finanziario – riproduzione riservata