Affinché un crimine sia qualificabile come informatico, è necessario che l’attaccante utilizzi risorse informatiche per mettersi in contatto con le vittime, per poi attaccarle: di conseguenza, e-mail, posta elettronica certificata (PEC) ed SMS sono tra i principali obiettivi dei criminal hacker.
Questi ultimi, quindi, adottano principalmente due tattiche di attacco per perseguire le due strategie criminali estorsive e fraudolente, utilizzando:
- risorse informatiche autentiche compromesse;
- risorse informatiche autentiche simulate.
Inquadramento strategico del cyber crime: tattiche e strategie dei gruppi criminali
Indice degli argomenti
I punti di accesso per sferrare un cyber attacco
Come visto in un precedente articolo, la compromissione di una risorsa informatica autentica avviene quando vengono carpite illecitamente le credenziali di accesso, consentendo a terzi non autorizzati di accedervi con la possibilità di trasmettere messaggi, che saranno dal punto di vista tecnico autentici, indistinguibili dagli altri messaggi inviati dal titolare della risorsa.
Per compromettere una risorsa informatica autentica, i criminal hacker utilizzano varie tecniche, come ad esempio gli attacchi forza bruta o tramite dizionari, malware (come i keylogger[1]) che catturano le credenziali mentre vengono inserite o, più spesso, se le fanno inviare direttamente dal titolare tramite inganni più o meno sofisticati.
Nel dark web esistono veri e propri shop illegali che mettono in vendita credenziali di accesso il cui prezzo dipende da vari fattori come il tipo di vittima, di risorsa informatica violata, esistendo anche un rating dell’affidabilità di chi le propone in vendita.
Questi ultimi sono criminal hacker che lo fanno di mestiere tanto da essere definiti come broker di accesso iniziale (IAB, Initial Access Broker). Infatti, molti attacchi coinvolgono più criminal hacker, ciascuno per la propria competenza: il broker di accesso procura le credenziali della risorsa informatica autentica, altri preparano ed eseguono l’attacco utilizzando la risorsa informatica autentica compromessa.
Si tratta di cyber gang molto ben organizzate, di cui si è tentato di realizzare un organigramma.
Le cyber gang sono organizzate proprio come vere aziende.
Ci si trova, invece, di fronte a una risorsa informatica autentica simulata quando l’attaccante presenta alla vittima un messaggio che sembra essere stato inviato da una risorsa informatica autentica, ma non lo è affatto, puntando sul fatto che la vittima non se ne accorga.
In questo caso, dal punto di vista tecnico la risorsa informatica impiegata per trasmettere il messaggio è tecnicamente diversa da quella autentica, ma ha caratteristiche che le somigliano.
Il livello di somiglianza dipende dalla capacità criminale dell’attaccante, ma bisogna considerare che gioca un ruolo essenziale anche l’errore in cui incorre la vittima, dovuto alle vulnerabilità insite nell’essere umano, che vengono sfruttate dall’attaccante grazie al social engineering, specie nei confronti di una persona non formata a resistere a questo tipo di attacchi.
In questo caso la vittima destinataria dell’attacco può difendersi, sia controllando se il messaggio proviene da una risorsa informatica autentica, sia valutando la veridicità di quanto richiesto nel messaggio.
Efficacia dell’attacco tramite risorsa informatica autentica compromessa
È chiaro che un attacco effettuato tramite una risorsa informatica autentica compromessa è di particolare efficacia proprio perché, come visto, l’atteggiamento mentale di chi riceve un messaggio, una volta verificato che il messaggio proviene tecnicamente dalla risorsa informatica autentica[2] è di piena accettazione, omettendo spesso una verifica di veridicità del messaggio.
Questo comporta che la vittima crede di interagire con il titolare della risorsa informatica, con il quale c’è spesso un rapporto consolidato di fiducia o di subordinazione o ancora chi scrive rappresenta un’autorità.
È chiaro che se alla vittima viene chiesto di effettuare un’attività di per sé ricorrente, come effettuare un bonifico o consegnare documenti riservati, sarà molto difficile resistere all’attacco tanto più se la vittima non è stata formata a riconoscere questo tipo di attacchi ed a reagire correttamente.
Attacco tramite simulazione di una risorsa informatica autentica
Per carpire le credenziali di accesso, i criminal hacker utilizzano anche la tattica della simulazione di una risorsa informatica autentica.
In questo caso, il criminal hacker non utilizza una risorsa informatica autentica perché non ha le credenziali di accesso, ma cerca, con artifici tecnici e psicologici, più esattamente tramite social engineering, di ingannare la vittima circa il fatto che il messaggio è stato inviato da una risorsa informatica autentica, ma che tecnicamente non lo è affatto.
Il caso classico è l’email spoofing attack in cui, ad esempio, la mail viene inviata da un account di posta elettronica con un dominio in cui sono state modificate una o due lettere, che senza un controllo molto attento appare essere uguale al dominio della risorsa autentica[3].
In questo caso però, a differenza della tattica precedente, nella simulazione della risorsa informatica è possibile effettuare, sia una verifica tecnica per capire se il messaggio è proveniente dalla risorsa informatica autentica, sia una verifica di veridicità del messaggio. Siamo quindi di fronte ad una simulazione di una risorsa informatica autentica, che però tecnicamente è una risorsa informatica diversa, non essendo mai autentica.
Si noti che questa tattica di attacco è utilizzata non solo per condurre la fase di attacco principale, quindi ingannare la vittima per farle compiere quell’azione economicamente pregiudizievole, ma anche quale mezzo per carpire le credenziali di una risorsa informatica autentica.
È il caso, ad esempio, di indurre la vittima, tramite una e-mail di phishing che sembra provenire da una fonte affidabile, a collegarsi ad un sito internet dove, per accedere ad un documento condiviso, deve inserire le credenziali di accesso di una risorsa informatica autentica.
Da qui ecco che il criminal hacker, ricevute le credenziali, passa ad utilizzare la tattica della risorsa informatica autentica compromessa.
Allo stesso modo un attaccante utilizzando la prima risorsa informatica autentica compromessa, potrà sfruttarla per carpire ulteriori credenziali di altre risorse informatiche, spesso appartenenti alla stessa organizzazione.
Il criminale impersonificherà il titolare legittimo della risorsa informatica compromessa, ed utilizzando le stesse tecniche di phishing sopra descritte, cercherà di ottenere le password di account associati a persone di alto profilo appartenenti alla stessa organizzazione e allo stesso dominio di posta elettronica.
Una volta ottenute le credenziali, l’attaccante potrà accedere alle loro caselle e quindi a tutti le email in esse contenute e potrà perpetrare nuove truffe informatiche, che colpiscono non solo l’organizzazione con le caselle compromesse, ma i suoi stessi clienti e fornitori con grave danno anche reputazionale.
Poiché le e-mail sembrano provenire da un soggetto conosciuto e ritenuto affidabile, proprio perché inviate dalla sua casella di posta autentica, (spesso anche caratterizzate da loghi, firma ed allegati autentici) c’è una forte probabilità che il destinatario possa cadere negli inganni del criminale.
Ulteriori problematiche tecniche e legali
Di recente, però, si sono aggiunte nuove innovazioni tecniche, come gli attacchi omografici.
Questi sfruttano la codifica l’Unicode, che consente di rappresentare caratteri non-ASCII in alcuni browser come se fossero ASCII. Gli attacchi omografici creano nuovi domini che sembrano utilizzare normali caratteri ASCII, a cui siamo abituati, ma in realtà, sono composti da caratteri di lingue diverse.
Per esempio, l’Unicode latino “a” (U+0061 hex) e il cirillico “а” (U+0430 hex) potrebbero apparire identici in un browser. Questo significa che un malintenzionato potrebbe registrare un dominio utilizzando il carattere cirillico “а” al posto del carattere latino “a” in un nome di dominio, e questo nuovo dominio sembrerebbe indistinguibile da uno già esistente.
Tuttavia, questo nuovo dominio sarebbe completamente diverso, aprendo la porta a potenziali attacchi ed attività criminali[4]. In questo caso un consistente aiuto lo possono dare soluzioni di sicurezza informatica che verificano i nomi di dominio, altrimenti all’occhio umano è davvero difficile capire se il dominio è quello giusto[5].
Dato, peraltro, che ogni tecnologia è fallibile, non deve mai mancare la verifica sulla veridicità del messaggio.
A tutto ciò poi si aggiunge l’intelligenza artificiale che è in grado di aiutare i criminali a creare scenari molto realistici con un linguaggio anche specifico pressoché perfetto, che permette più facilmente di superare il vaglio di veridicità da parte della vittima[6].
La stessa intelligenza artificiale può essere un valido aiuto per proteggere i sistemi informatici, perché tramite il machine learning, auto impara le “abitudini” dei membri e dei dispositivi dell’organizzazione interessata, potendo evidenziare situazioni che si discostano dalla normalità notificandole subito (in tempo macchina) ai referenti IT o bloccando preventivamente.
Si tratta, peraltro, di una tecnologia per ora molto costosa ed inoltre è più penetrante di qualunque sistema di videosorveglianza perché registra ogni attività effettuata sulla rete dal personale e dai dispositivi collegati.
A fronte di questa incidenza sulla privacy del personale, è necessario prima di installare tali strumenti, redigere una DPIA (Data Protection Impact Assessment) ex art. 35 ss. regolamento (UE) 2016/679[7], adempimento che manca pressoché sempre nelle organizzazioni[8], nell’erroneo convincimento che essendo una tecnologia che opera senza telecamere visibili non incida sulla privacy dei lavoratori.
NOTE
Un keylogger malware è un tipo di software malevolo progettato per registrare in modo segreto ogni pressione di tasti effettuata su un computer o dispositivo. Questo include informazioni sensibili come password, informazioni personali e dati finanziari degli utenti, senza il loro consenso. Queste registrazioni vengono successivamente inviate a un server remoto o memorizzate localmente per scopi fraudolenti o di monitoraggio non autorizzato. ↑
A volte se non spesso anche questo passaggio viene eseguito con disattenzione. ↑
Email spoofing, è una tecnica di attacco informatico della categoria genericamente nota come spoofing che consiste nella creazione di email con indirizzo del mittente contraffatto. Viene comunemente usata per email spam e phishing al fine di ingannare il destinatario circa l’origine del messaggio. L’esperienza maturata da Stefano Benato nella gestione anche di questo tipo di attacchi, ha dimostrato come questa tattica sia molto efficace proprio perché l’essere umano ha delle innate vulnerabilità, in particolare la necessità di prendere decisioni veloci in date situazioni sulla base di pochi elementi esaminati. Casi di spoofing molto efficaci sono la sostituzione della “m”, con “rn” per cui “mario” diventa “rnario”. È noto l’attacco condotto a Poste Italiane che ha perduto 5 milioni di euro perché ha eseguito il pagamento sul nuovo IBAN comunicato con una email proveniente da un indirizzo avente dominio “@mlcrosoft” e non “@microsoft”, dove l’unica differenza era la I maiuscola. Si tratta di un caso tipico di attacco BEC (Business Email Compromise), condotto inviando un messaggio con una risorsa informatica autentica simulata. ↑
A questa problematica si aggiunge anche la possibilità di registrare domini con estensione .zip o .mov, che possono essere sfruttati per attacchi di phishing, in quanto i file con simili estensioni verranno automaticamente convertiti in URL che puntano a contenuti malevoli su piattaforme e applicazioni degli attaccanti, si veda qui. ↑
Una prima verifica può essere sempre effettuata verificando nel browser, cliccando nel lucchetto posto subito prima dell’indirizzo, quale dominio appare, se il certificato è corrispondente, ma questo prevede sempre una formazione degli utenti. ↑
Gli autori hanno trovato spesso nelle email inviate per condurre attacchi BEC (Business Email Compromise), la richiesta di pagamento tramite bonifico con la parola “Iban” scritta quasi tutta in minuscolo, mentre la prassi italiana è di scrivere “IBAN” tutto in maiuscole. Ebbene provando a far riscrivere la mail dell’attaccante con ChatGPT, la parola “Iban” è stata scritta correttamente in “IBAN”. ↑
Ovviamente nella DPIA vanno vagliate tutte le norme interessate come ad esempio l’art. 4 dello Statuto dei Lavoratori e le ultime disposizioni previste dal D.lgs. 27 giugno 2022, n. 104, relativo a condizioni di lavoro trasparenti e prevedibili per i lavoratori. È indubbio poi che è necessaria una collaborazione tra legali e tecnici data la complessità delle problematiche coinvolte. ↑
Secondo l’esperienza degli autori, nessuna organizzazione che implementa soluzioni di protezione basata sull’AI, ha provveduto a redigere una DPIA, non ponendosi neppure il problema. ↑