Il punto di partenza è un recente rapporto della Polizia Postale, che traccia una situazione tutt’altro che rosea per chi si deve difendere da cyber crime e minacce digitali di vario tipo. Abbiamo intervistato, per l’occasione, Ivano Gabrielli, Direttore Servizio Polizia Postale e Telecomunicazioni, che ha offerto una panoramica esaustiva del fenomeno e dispensato utili consigli per limitare i danni e agevolare, nel caso, il lavoro degli agenti.
Indice degli argomenti
I dati peggiorano: ecco i principali motivi
Stando al recente rapporto di Polizia Postale, aumento del 98% degli arresti rispetto al 2020 e del 17% per il numero di persone denunciate: su dati così allarmanti e peggiorativi ha influito lo stato pandemico, ma ci sono altri motivi più sommersi?
Si assiste, specie negli ultimi anni, ad un aumento esponenziale di attacchi cibernetici, attestati in tutto il mondo nell’ordine di decine di milioni ogni giorno, che si risolvono in violazioni di spazi e dei sistemi informatici appartenenti a istituzioni, imprese e singoli cittadini, considerato che qualsiasi attività umana, e dunque, nel suo risvolto patologico, ogni attività criminale, assume oggi profili “cibernetici”.
Nell’anno 2021, il dilagare della pandemia da Covid-19 ha sensibilmente inciso sullo scenario complessivo del cyber crime, costituendo un importante terreno di azione, per attori virtuali ostili di ogni genere, per dirigere attacchi informatici di natura estorsiva a Governi ed infrastrutture sanitarie, realizzare frodi informatiche milionarie violando trattative commerciali volte all’acquisto di apparecchiature mediche e dispositivi di protezione, condurre campagne di phishing su larga scala utilizzando il tema del contagio come chiave per l’ingresso nei sistemi di cittadini ed istituzioni, installare mercati abusivi virtuali attraverso domini registrati a tema-covid per la messa in vendita di presidi medici e falsi vaccini e terapie, dirigere campagne di disinformazione virale, aggredire la libertà personale dei minori online in conseguenza del maggior utilizzo di spazi social e piattaforme informatiche.
Nel delineare l’identità degli autori del reato, il trend legato all’andamento degli attacchi ai danni delle infrastrutture critiche fa registrare, nel complesso, l’emersione di una matrice criminale di natura puramente economica, orientata al conseguimento di profitti illeciti, che si pone in misura oggi prevalente rispetto alle condotte ispirate da ragioni di cyber-hacktivism, ideologicamente o politicamente orientato.
Nel complesso considerata infatti, la minaccia cyber conserva una matrice ancora largamente criminale, se si considera che oltre il 70% degli attacchi cibernetici nel mondo risulta perpetrato per finalità di realizzazione di profitti illeciti.
Mentre pressoché ogni altra voce di reato inevitabilmente è retrocessa dinanzi all’avanzare della pandemia, il cybercrime è invece ulteriormente aumentato, nel numero dei reati e, se possibile, nella dirompenza degli effetti.
Procedure di investigazione e analisi
Nei vostri dati si parla di oltre 29.000 siti analizzati: quali sono le procedure che utilizzate per analizzare un sito web?
L’azione svolta dalla Polizia Postale e delle Comunicazioni, Specialità della Polizia di Stato e principale forza di polizia cibernetica nazionale, con particolare riguardo, soprattutto, secondo quanto previsto dal Decreto del Ministro dell’interno sui comparti di Specialità, alla protezione delle reti e delle infrastrutture critiche, sin dal 2005, opera attraverso il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC).
All’interno del Ministero dell’Interno – Servizio Polizia Postale e delle Comunicazioni, il C.N.A.I.P.I.C. è in via esclusiva incaricato della prevenzione e della repressione dei crimini informatici, di matrice comune, organizzata o terroristica, che hanno per obiettivo le infrastrutture informatizzate di natura critica e di rilevanza nazionale.
Il Centro, attraverso la Sala Operativa attiva 24 ore su 24 – 7 giorni su 7 deputata al monitoraggio della rete ed alla prima risposta in caso di attacchi cyber verso i sistemi informatizzati istituzionali e afferenti alle infrastrutture critiche, assicura un costante e continuativo monitoraggio della rete (con riferimento a specifici contesti informativi in materia di sicurezza informatica, hacking ed in ambienti ideologicamente caratterizzati) così come la raccolta di dati e informazioni attinenti ai temi della sicurezza informatica e della minaccia criminale/terroristica, in qualsiasi modo e da qualsiasi fonte acquisibili.
In particolare, per le analisi di un sito web si utilizzano, a seconda dei casi, strumenti passivi in grado di reperire informazioni sulla registrazione dei domini, sui certificati ssl utilizzati, sui componenti software presenti sui server web, sui javascript, e su eventuali vulnerabilità presenti. Anche la disamina del codice sorgente delle pagine web, spesso consente l’individuazione di informazioni preziose.
Le tipologie di frodi
Ben 126 attacchi informatici a sistemi finanziari di grandi e medie imprese, per un totale di 36 milioni di euro sottratti tramite complesse frodi telematiche: quali sono le principali tipologie di frodi con cui vi imbattete?
Le principali condotte delittuose delle quali sono vittime le aziende medio grandi sono il BEC (Business Email Compromise) ed il CEO Fraud (frode del CEO). I dati captati e utilizzati dai rei sono frutto di attività di social engineering, quali phishing, attacchi brute force o acquistate sul Dark Web in seguito a data breach.
La Business e-mail compromise rappresenta una delle tecniche di frode cibernetiche attualmente più diffuse. Il truffatore, tramite accessi abusivi, si intromette nello scambio di e-mail tra due partner commerciali, carpendo le informazioni sulle trattative economiche in corso. Una volta acquisite tutte le informazioni utili a perfezionare la frode, il malvivente, utilizzando un indirizzo e-mail simile o identico a quello in uso al fornitore (spoofing), confeziona una comunicazione commerciale con la quale chiede all’ignaro cliente di effettuare il pagamento su un IBAN diverso da quello del reale fornitore ed in uso all’autore della frode. Nel caso in cui il truffatore abbia utilizzato la reale casella di posta elettronica del venditore, avrà la premura di cancellare dalla cartella “posta inviata” la missiva elettronica truffaldina.
Nella “CEO Fraud”, invece, i frodatori, individuata una società, utilizzando particolari tecniche di social engineering individuano l’anello debole che ha la possibilità di operare sui conti aziendali. Successivamente, sostituendosi all’amministratore delegato (Chief Executive Officer), utilizzando un indirizzo e-mail simile o identico a quello del reale CEO (spoofing) oppure accedendo abusivamente alla casella di posta elettronica dell’amministratore delegato, contattano per email la persona precedentemente individuata, scrivendole di mantenere il massimo riserbo in quanto è in corso una trattativa riservata per l’acquisizione di un’azienda, per la quale verranno poi contattati da un avvocato svizzero. Nella corso della corrispondenza tra il CEO e l’impiegato dell’Ufficio contabile, a quest’ultimo viene chiesto, per le predette ragioni, di effettuare un pagamento su un IBAN poi rivelatosi essere nella disponibilità dei cyber criminali.
Il problema dei ransomware
Anche i ransomware rappresentano un sistema di attacco molto diffuso: che ruolo gioca la Polizia Postal nella gestione di un attacco di questo tipo? Quale supporto viene dato all’azienda colpita?
Nell’ambito della galassia del cyber crime, quale catalogo di reati informatici costantemente in crescita per numero di attacchi perpetrati nonché in continua metamorfosi nelle modalità di offesa alle vittime, merita l’elaborazione di una nuova, dedicata e potenziata strategia di contrasto il ransomware quale fenomeno criminale informatico dilagante e insidioso sia per il primato statistico del numero di azioni malevoli sferrate sia per il livello di minaccia, capace di colpire non solo le grande infrastrutture informatiche di interi comparti economici/industriali ma anche, in modo diffuso, i singoli utenti.
Sul piano degli attacchi al sistema produttivo del Paese, si è registrato un generale aumento delle minacce legato all’adozione su larga scala dei modelli di lavoro a distanza, c.d. “smart working”, modelli che se da un lato hanno consentito la prosecuzione di attività essenziali, hanno d’altro canto prodotto una considerevole estensione del perimetro informatico delle aziende, con una conseguente maggior esposizione ad azioni ostili esterne.
In questo contesto, la strategia di contrasto risiede elettivamente nell’assicurare quindi interventi di tipo preventivo e di protezione, incentrati sulla capacità di analisi e di allerta precoce finalizzata alla diffusione, in tempo reale, degli IoC relativi alle minacce in corso, a beneficio dell’interno panorama delle infrastrutture critiche nazionali.
Nella prevenzione e nel contrasto al cybercrime, anche la cooperazione internazionale assume un ruolo assolutamente strategico, atteso che la transnazionalità delle condotte illecite connota costantemente l’indagine giudiziaria di specifico settore.
Ordinariamente, infatti, è all’estero che si consuma, almeno parzialmente, la condotta criminosa e, tanto le tracce informatiche (sovente abilmente manipolate attraverso i più vari strumenti di anonimizzazione), quanto le tracce finanziarie (conti correnti e strumenti finanziari, sistemi di pagamento elettronico, corrieri di denaro, cryptovalute ecc.), frequentemente, riconducono fuori dal territorio nazionale.
Inoltre la Polizia Postale, tramite il proprio punto di contatto internazionale, richiede riscontri alle altre forze di polizia presenti in Europol e/o Interpol al fine di verificare se vi siano altre indagini in corso sulla campagna malevola indentificata e se vi siano, a livello internazionale, eventuali informazioni utili alla mitigazione del danno come, ad esempio, eventuali software in grado di decifrare i dati.
In definitiva, la Polizia Postale attiva l’Autorità Giudiziaria competente e, sotto la direzione di quest’ultima, avvia le indagini al fine di identificare gli autori del reato utilizzando tutti gli strumenti normativi che consentono l’acquisizione di informazioni utili e inibire le attività criminali (es: sequestro di server utilizzati dai criminali, inibizione di pagine di phishing ecc.).
Questione di tempismo
Quanto è importante il tempismo con cui si notifica un attacco ransomware anche alla Polizia Postale?
La tempestività della notifica è importante per consentire alla Polizia di attivare le procedure di congelamento dati presso società nazionali e/o internazionali al fine di preservare le evidenze investigative presenti su server di C&C (Comando e Controllo), siti web di phishing, dropzone ecc. utilizzati dagli attaccanti.
Negli attacchi informatici infatti, spesso i server utilizzati dagli attori ostili durante una campagna malevola vengono “ripuliti” o dismessi dopo pochi giorni al fine di cancellare eventuali tracce utili ai fini investigativi delle autorità.
Come agevolare il lavoro della Polizia Postale
Quale aiuto possono dare le aziende alla Polizia Postale, nel contrasto alla cybercriminalità? Insomma, quali sono i “desiderata” che potrebbero agevolarvi nel vostro lavoro?
La tempestiva condivisione di informazioni tecniche relative agli attacchi informatici subiti, c.d. Indicatori di Compromissione (IoC), che una volta epurate dalle informazioni sensibili riconducibili alle società vittime, potranno essere condivisi in una consolidata rete di info-sharing nazionale al fine di arginare il diffondersi delle campagne malevoli e preservare altri enti o aziende italiane dalla medesima compromissione.
Combattere il social engineering
Spesso è il social engineering a giocare un ruolo chiave negli attacchi: quali sono i consigli che potete dare per ridurre le possibilità di incappare in simili trappole?
Il consiglio principale che si può dare in tali casi è quello di investire e quindi dotarsi di strumenti nonché figure esperte del settore della sicurezza informatica che pongano in essere tutti quegli accorgimenti di natura tecnica che prevengano il verificarsi di tali eventi, nonché formare il personale a riconoscere potenziali condotte di phishing.
Consigli utili
Quali consigli potete dare alle aziende per limitare le possibilità di essere vittime di attacchi?
Per limitare le possibilità di essere vittime di tali attacchi è buona norma accertarsi dell’identità del soggetto col quale si sta intrattenendo la conversazione e all’atto di una disposizione di pagamento, effettuare un cross check (ad es. contattare telefonicamente il fornitore ed accertarsi che sia effettivamente colui col quale si sta intrattenendo la conversazione e richiedere un’ulteriore conferma dei dati di pagamento).
