“A me non capiterà mai.” Cyberattacchi che non ti aspetti.

Sicurezza Informatica

27 Marzo 2024


Condividi :

| |

Gli attacchi informatici sono in costante crescita, sia in quanto a numero di attacchi verso le aziende, sia in quanto a tipologie di attacchi esistenti.

L’attenzione e l’investimento sulla sicurezza informatica mai come oggi è diventato fondamentale per le aziende, infatti sia le piccole medie imprese che le enterprise devono fare i conti con attacchi informatici sempre più sofisticati e sempre più pericolosi.

Come vedremo in questo articolo, alcuni attacchi sfruttano le vulnerabilità dei sistemi mentre altri le vulnerabilità delle persone. Investire sulla sicurezza delle infrastrutture e sulla formazione del personale consente di prevenire, e molto spesso evitare, gli attacchi informatici che spesso creano ingenti danni economici o di immagine. 

Come rilevato dal più recente rapporto Clusit, la crescita del financial cybercrime è esponenziale, e si conferma  sempre più come una delle forme predominanti e preminenti del crimine informatico.

Quasi sicuramente conosci o avrai già sentito parlare degli attacchi informatici più conosciuti e diffusi, come gli attacchi phishing, i data breach o i DDos (se non li conoscete potete trovarli nel nostro articolo “Tutto quello che avreste voluto sapere sugli attacchi informatici ma non avete mai osato chiedere“), ma quanti di questi nuovi attacchi conosci?

  1. Truffa del CEO – CEO Fraud
  2. Island Hopping
  3. Vishing & Deep Fake
  4. Account Take-over
  5. Sim Swap Fraud
  6. Pharming
  7. Scareware

CEO FRAUD, VISHING & DEEPFAKE

Uno dei metodi in cui può essere applicata la strategia di Island Hopping è attraverso un altro attacco informatico: la CEO fraud (Truffa del CEO) o altrimenti detta BEC – Business Email Compromise.

Cos’è la truffa del CEO?  Il Caso Jamie Ondarza.

La truffa del CEO è una delle truffe più pericolose per le aziende e l’Italia è il secondo paese più colpito al mondo dopo gli Stati Uniti, secondo gli ultimi dati raccolti da Trend Micro Research.

Questo tipo di truffa, una sorta di Business Email Compromise, consiste nel rubare l’identità mail del CEO o di un alto dirigente aziendale, studiare il target, le dinamiche aziendali, eventuali accordi o movimenti finanziari, e richiedere ad alti dirigenti con potere di disposizione, trasferimenti di denaro o pagamenti di fatture urgenti per fornitori. Secondo un’analisi di Symantec in Italia vengono colpite circa 400 aziende al giorno.

Probabilmente se tu che stai leggendo sei un Manager ti starai chiedendo come sia possibile venire truffati in questo modo, ti sembrerà improbabile che possa succedere alla tua azienda, e noi ce lo auguriamo, eppure questo tipo di attacchi è così raffinato che spesso le aziende realizzano che sia avvenuto a scoppio ritardato e soprattutto non comunicano pubblicamente di averlo subito. Tra le 10 truffe costate più care al mondo c’è anche quella effettuata nei confronti di un’azienda Italiana, la Tecnimont, truffata con un BEC per 17 milioni di euro, sempre in Europa. Al secondo posto di questa cupa classifica mondiale una banca Belga la Crelan, che ha perso nel 2016 ben 75 milioni di euro.

Più recente invece è la truffa che ha colpito un noto dirigente, Jaime Ondarza, CEO dell’Europa Meridionale di Fremantle, grande società di produzioni televisive, tra i programmi noti in Italia possiamo citare Xfactor, o Got Talent. Il dirigente, contattato dal presunto CEO del gruppo, ha disposto un ingente bonifico, 937.670 euro, per l’acquisizione di una ditta in Asia per l’acquisizione di un’azienda. Il Corriere della Sera racconta la dinamica passo per passo. Basti sapere che gli attaccanti, attraverso tecniche come lo spoofing e la ingegneria sociale, sono riusciti a impersonificare delle figure aziendali degne di fiducia.

In questo spaventoso scenario, quello che veramente ci spaventa di più e ci lascia più perplessi è che ancora troppe aziende italiane non investono in modo adeguato nella sicurezza Informatica, sia a livello di infrastruttura sia a livello di formazione aziendale.

A proposito di appropriazione di identità, la truffa del CEO può avvenire per mail, ma nell’ultimo anno si sta diffondendo anche l’utilizzo di Deep Fake audio, una forma di vishing.

Cos’è il vishing?

Il Vishing, ovvero Il voice phishing è una forma di phishing attuata attraverso la contraffazione di una voce conosciuta, che può essere quella di un collega, di un dirigente aziendale, un consulente bancario o addirittura il vostro medico. I cybercriminali riescono a contraffarre anche il numero di telefono, in modo da rendere la conversazione ancora più verosimile. Il nostro consiglio, come sempre, è quello di non dare informazioni riservate e sensibili via telefono. 

Il Vishing viene attuato attraverso la creazione di Deep Fake, ovvero dei falsi audio molto realistici che possono essere acquistati per pochi dollari nel dark web. 

I deepfake vengono creati attraverso algoritmi che si basano sull’intelligenza artificiale, per compiere truffe ma anche creare fake news, attaccare personaggi pubblici, politici o aziende.

Potrebbe sembrare impossibile, ma sono parecchie le aziende che hanno subito ingenti perdite di denaro a causa di un attacco di questo tipo, il caso più famoso è stato riportato dal Wall Street Journal e riguarda un’azienda energetica britannica, il cui CEO si è fatto truffare per ben 243mila dollari dopo avere ricevuto una chiamata da un superiore dell’head quarter tedesco dell’azienda. 

ISLAND HOPPING

Iniziamo con uno degli attacchi più diffusi in Italia secondo uno studio condotto da Opinion Matters per VMware Carbon Black, ovvero l’ Island Hopping, a cui sarebbe dovuta in Italia quasi una violazione su tre.

Cos’è l’Island hopping e perché è così pericoloso per le aziende? 

La prima brutta notizia, non è un viaggio esotico tra le isole indonesiane. Letteralmente Island Hopping significa “l’attraversamento di un oceano attraverso una serie di viaggi più brevi tra le isole, anziché un singolo viaggio direttamente verso la destinazione.” 

L’attacco prende il nome dalla strategia adottata durante la seconda guerra mondiale dagli Stati Uniti nella campagna contro il Giappone, dove le forze statunitensi invece di attaccare direttamente il Giappone si sono gradualmente e strategicamente impadronite del controllo delle isole più piccole, per poi sferrare l’attacco contro i nemici nipponici. 

Sostanzialmente un attacco Island Hopping è il processo di minare le difese informatiche di un’azienda, cercando di colpire i suoi partner più vulnerabili. I cybercriminali si infiltrano nelle aziende partner più piccole, e quindi spesso meno sicure, questo permette loro di accedere ad  una rete collegata e quindi di sfruttare il rapporto tra le due aziende per accedere ai dati preziosi del bersaglio più grande. Il cyber criminale si muove quindi da un endpoint ad un altro, mettendo a rischio anche le aziende che in teoria hanno un’alta protezione, in quanto sfrutta la connessione con aziende interconnesse all’organizzazione principale come partner o fornitori per esempio. 

Come evitare un attacco Island Hopping? 

Il metodo migliore è avere sempre “tutto sotto controllo”, ovvero mantenere una fotografia precisa dell’infrastruttura e delle sue vulnerabilità, della rete e di tutte le centinaia di persone che hanno diversi tipi di accesso e si scambiano informazioni. Attraverso un security assessment le aziende come la nostra che si occupano di cybersecurity possono effettuare una valutazione di tutti gli endpoint, delle applicazioni web, dei database, delle directory condivise, della posta elettronica, dei server, dei dispositivi di rete, di intranet, dei firewall, delle vpn e di molto altro. Inoltre una corretta formazione interna ed una corretta comunicazione con i partner e i fornitori sono sicuramente un altro aspetto fondamentale per prevenire questo ed altri attacchi.  

ACCOUNT TAKEOVER 

Un altro attacco che punta ad appropriarsi dell’identità della vittima è l’Account take-over, ovvero una forma di furto d’identità in cui un truffatore impersonifica la vittima per accedere al conto in banca ed effettuare acquisti o transazioni non autorizzate, dal conto o su siti e-commerce. 

Come avviene un Account Take-over 

Principalmente può avvenire attraverso due modalità, credential stuffing e credential cracker. La prima sfrutta la propensione delle persone ad utilizzare le stesse credenziali per più siti web. Gli hacker usano i bot per testare le liste di credenziali ottenute a seguito di un furto di dati (o acquistate dal dark web) su una serie di siti web, nella speranza che la vittima abbia usato la stessa combinazione di credenziali su più siti. La seconda invece consiste in attacchi brute force, cioè l’utilizzo di bot utili ad identificare le credenziali di accesso valide.

Qui il consiglio è quello di scegliere delle Password diverse per ogni account, ma soprattutto SICURE. 

Scopri i nostri consigli per scegliere una password sicura.

SIM SWAP FRAUD

Ci colleghiamo all’account takeover per parlare di un’altra pericolosa truffa che mira sempre a rubare in qualche modo l’identità di una persona, la SIM SWAP FRAUD.

Cos’è la Sims Swap Fraud

La Sim Swap Fraud, ovvero la “frode dello scambio di scheda sim”,  è una truffa che mira a rubare denaro attraverso le app di home banking. In cosa consiste? Come ben sapete moltissime applicazioni, da gmail all’home banking, sono collegate con il vostro numero di telefono, sia nel caso in cui smarrite la password, sia nel caso in cui per esempio dobbiate confermare delle operazioni bancarie.

Ora, cosa succederebbe se qualcuno avesse una copia della vostra sim card? Questo tipo di frode si basa proprio su questo: dopo avere intercettato la vostra mail, o il vostro username, i criminali possono acquistare nel deep web i vostri dati anagrafici, dati acquisiti da fonti pubbliche per esempio, e con questi dati cosa fanno? Un documento di identità finto, riportante i vostri dati anagrafici e la loro fotografia identificativa, o quella di un complice.

A questo punto vanno nel centro del vostro operatore telefonico e dichiarano di avere perso la sim, così da poter rifare la stessa con il medesimo numero. Se vi sembra un’operazione troppo complessa per essere diffusa adesso vi facciamo cambiare idea: L’Abi Lab, nello studio pubblicato nel 2019, classifica la sim swap fraud, infatti, tra i principali fenomeni rilevanti nel settore mobile, evidenziando che il 90% degli istituti di credito e operatori rispondenti ai questionari hanno segnalato tentativi di frode di Sim Swap e il 40% di questi ha subito perdite effettive. La responsabilità degli istituti finanziari in questo tipo di frode non è del tutto scontata, il primo risarcimento del danno da Sim Swap Fraud è avvenuto nel 2016 ma tutt’ora non è affatto scontato che “la vittima” della frode venga risarcita.

PHARMING 

Un altro attacco che ci può cogliere di sorpresa e soprattutto senza che neanche ce ne accorgiamo è il Pharming.

Il Pharming è una tipologia di attacco informatico che consiste nel dirottare il traffico di rete verso un sito Internet costruito ad hoc, identico a quello che l’utente avrebbe voluto visitare, con lo scopo di carpire dati sensibili o perpetrare altre tipologie di attacco. In parole povere voi siete sicuri di avere preso un volo per le Bahamas ed invece vi ritrovate alle Bananas, e lì vi rubano il portafoglio.

Come avviene? Il Pharming può avvenire attraverso l’installazione di un malware che modifica l’indirizzo IP dei DNS che risolvono il sito che si vuole visitare, per cui l’utente scrive l’URL corretto, ma finisce su un sito contraffatto. Oppure viene modificata la cache del server DNS, in modo da reindirizzare il flusso informativo destinato ad un dominio legittimo verso l’indirizzo IP del sito Web farlocco.

Come difendersi da un attacco pharming?

Molti attacchi possono essere evitati con un po’ di formazione, scrupolo e attenzione. Controllate sempre l’url ed il sito web, se notate qualcosa che non vi convince, qualcosa di fuori posto, un colore leggermente diverso del logo, piuttosto che delle posizioni diverse degli elementi, evitate di procedere. 

SCAREWARE E MALVERTISING 

Scareware deriva dall’inglese to Scare ovvero spaventare, ed è proprio quello che fa questa tipologia di malware. Probabilmente vi sarà già successo di visitare un sito e vedere comparire un pop up allarmante con la scritta “Attenzione! Il tuo computer è stato infettato da un virus! Scarica VirusRemover per rimuoverlo”. Ecco, molto spesso proprio questi programmi costituiscono i virus. Altre forme possono essere falsi programmi o aggiornamenti dei browser.

Uno scareware non è altro che un tipo di Malvertising, ovvero una tecnica che utilizza l’ambito della pubblicità online come veicolo di diffusione di malware. Quindi, state attenti a ciò che cliccate, che si tratti di un’offerta per un antivirus,  di una vacanza last minute o che sia un pop up su un sito sconosciuto. 

LA CYBERSECURITY FINANZIATA DAL PROGRAMMA EUROPEO 2021-2027 “DIGITAL EUROPE”

Nonostante alcuni di questi siano attacchi ancora poco conosciuti, in realtà come avete potuto leggere sono molto diffusi e date le nuove tecnologie e l’avanzamento dell’intelligenza artificiale, lo diventeranno sempre di più. 

Come abbiamo più volte sottolineato la prevenzione è la forma di protezione migliore, conoscere e proteggere la propria infrastruttura attraverso un security assessment, un penetration test o un vulnerability assessment diventa fondamentale, non ci stancheremo mai di ripeterlo, così come formare le persone all’interno dell’azienda, in quanto primissimi veicoli degli attacchi. 

L’importanza di proteggere i dati legati soprattutto alle persone fisiche, clienti, dipendenti, utenti di servizi, oltre ad essere stata notevolmente sottolineata dalle ultime normative riguardanti il GDPR, sarà uno degli obiettivi principali del nuovo programma Europeo 2021-2027 “Digital Europe”, che prevede uno stanziamento di 9.2 miliardi per la cybersecurity, fondi destinati alla protezione dell’economia digitale, nonché al finanziamento di attrezzature e infrastrutture innovative nel quadro della cybersicurezza, supportando lo sviluppo delle conoscenze e competenze necessarie. 

Per informazioni sui nostri servizi di security o per richiedere una consulenza o una valutazione sul vostro livello di security non esitate a contattarci.

THE I da oltre 17 anni opera nel settore della cyber security, ci occupiamo di attività  strettamente legate alla security aziendale come Security assessment, Vulnerability assessment, Penetration test, ma anche, soprattutto, di soluzioni IT orientate alla sicurezza, operazioni legate al Cloud e allo sviluppo software, applicando con expertise la metodologia DevSecOps. 

Continuate a seguirci sui social network per rimanere aggiornati su news e consigli riguardo a Cybersecurity, cloud e DevSecOps.