Virus informatici e pericoli per gli acquisti online. Nello scorso mese di maggio un attacco senza precedenti ha coinvolto migliaia di aziende nel mondo. L’emergenza riguarda anche il VendingÈ di alcuni mesi fa (maggio 2017) la notizia di un massiccio attacco da parte di hacker che per alcune ore hanno tenuto sotto scacco aziende multinazionali, Enti governativi, ospedali e strutture pubbliche di ogni genere con un ransomware salito alla ribalta con il nome di WannaCry. Media e televisioni di tutto il mondo ne hanno parlato con accenti drammatici ma forse non tutti hanno capito bene di cosa si tratta. Vediamo allora di fare chiarezza su un argomento che sembra ormai entrato di prepotenza nella nostra quotidianità di utenti internet ma soprattutto di imprenditori che ormai utilizzano la rete come strumento essenziale e quotidiano per la gestione del proprio business.
La tecnica di utilizzo di virus e malware per “tenere in ostaggio” un computer e chiedere un riscatto, è vecchia ormai di oltre 30 anni (il primo attacco certificato si può far risalire, infatti, al 1989) ma è solo tra il 2016 e 2017 che i ransomware (letteralmente “virus del riscatto”) messi in rete dagli hackers sono diventati un problema di dimensioni e interesse mondiale. “Merito” o “colpa” di virus come WannaCry, che nel maggio 2017 è stato capace di infettare centinaia di migliaia di computer (si stima tra i 200 e i 300 mila) nel giro di poche ore. È stato considerato come il peggior attacco informatico di tutti i tempi per velocità di contaminazione e portata dell’attacco.
In un nostro precedente articolo apparso su VM (ottobre 2016) già avevamo affrontato l’argomento e oggi, vista la portata dell’evento e la vastità delle aree aziendali (pubbliche e private) interessate, riproponiamo un approfondimento delle definizioni, dei metodi e dei comportamenti virtuosi che un’azienda deve assolutamente acquisire quale proprio patrimonio culturale.
La traduzione letterale dall’inglese è “virus del riscatto”, definizione che in qualche modo ci aiuta già a capirne il funzionamento. Questa famiglia di malware (non esiste infatti un solo tipo di virus del riscatto), è in grado di bloccare il funzionamento del computer, facendo sì che l’utente non riesca a effettuare il login nel suo profilo utente (spesso mostrando un avviso dell’FBI o della Polizia di Stato) o utilizzando la crittografia per rendere illeggibili i file presenti all’interno del disco rigido. Questi ransomware sono chiamati cryptolocker in quanto utilizzano la crittografia per bloccare i file (WannaCry ne è un esempio tipico).
La posta elettronica è il più canale più utilizzato dagli hacker. In particolare, i cyber criminali mettono in atto campagne di phishing sempre più elaborate per ingannare gli utenti “forzandoli” a scaricare il virus del riscatto e a installarlo sul loro computer dove, come ogni altra campagna di phishing, il malware si auto-replica e si diffonde nel web sfruttando la rubrica email del computer infettato.
Diverso è il funzionamento del virus del riscatto in funzione di quale famiglia di malware appartiene. Per tutti comunque il risultato è lo stesso: il blocco totale del computer. Nel caso di quello che viene definito “virus della Polizia”, il ransomware blocca l’accesso al sistema informatico mostrando un falso avviso della Polizia Postale o dell’FBI, chiedendo una somma, solitamente abbastanza contenuta, per sbloccare l’accesso al dispositivo.
Nel caso, invece, dei cryptolocker come WannaCry, l’utente potrà ancora accedere al suo computer, ma tutti i suoi file saranno crittografati e quindi inutilizzabili. Come per il caso precedente, l’elemento comune sarà la richiesta del pagamento di un riscatto per l’ottenimento della chiave di sblocco dell’algoritmo crittografico con tempi a disposizione per provvedervi di meno di una settimana. La minaccia, se uno si rifiuta di pagare, sarà la mancata consegna della chiave di sblocco con l’unica soluzione rimasta in mano all’utente frodato tentativo di ripristinare i dati da un backup precedente.
Cosa succede nel caso del mancato pagamento? Diciamo, innanzitutto, che, pur sembrando la soluzione più semplice e indolore – come già accennato la somma del riscatto è volutamente determinata in una cifra “accettabile” considerando il danno alternativo e il blocco totale delle attività aziendali – pagare il riscatto non è mai la soluzione migliore, perché non c’è nessuna assicurazione di effettivo ottenimento della chiave di sblocco visto che con grande frequenza gli hacker, una volta ottenuto il riscatto, lasciano l’utente ricattato senza la disponibilità dei propri file e del proprio denaro inutilmente speso. Il pagamento del riscatto spesso non è altro che un’ottima fonte di finanziamento per la rete degli hacker.
Sarà banale ma evitare i ransomware è piuttosto semplice: basta non scaricarli dalla posta elettronica e, quindi, non permetterne l’installazione silente all’interno del computer, facendo attenzione durante la “navigazione” ed evitando di scaricare file da mittenti o siti sconosciuti.
Altra importante azione preventiva per difendersi dai ransomware è il costante aggiornamento del sistema operativo del computer e l’installazione di un antivirus che riesca a individuare i malware prima che infettino il dispositivo.
Assolutamente fondamentale è il backup periodico dei dati con il quale ripristinare il PC nel caso in cui non si riesca a bloccare preventivamente l’infezione del ransomware. Ciò permetterà di avere una copia di tutti i file presenti sul disco rigido senza che sia necessario pagare il riscatto.
In occasione della recente inaugurazione della nuova sede di Euro Group a Peschiera del Garda, ho avuto l’opportunità di confrontarmi con alcuni imprenditori ai quali – molto preoccupati per le notizie che circolano nel mondo del Vending relativamente a (veri o presunti) attacchi da parte di hacker – ho suggerito un piccolo ma efficacie accorgimento: durante il back-up periodico dei dati, nel caso di utilizzo di un hard disk esterno, scollegate i computer dalla rete per evitare pericolose “infezioni” proprio nel momento topico. Meglio ancora, eseguire il back-up su un sistema esterno con regolarità e frequenza.
Ingaggiare (facilmente) in rete un hacker per svaligiare il server di un’azienda può costare 500 Euro, impossessarsi di un account Facebook 100 Euro. Non importa se credete sicura la password del vostro account Facebook o quali documenti importanti abbiate a disposizione nella vostra casella di posta Gmail. Nel mercato “nero” dell’hacking i vostri dati valgono pochi euro. Per un gruppo di pirati informatici che svaligia 1 miliardo di dollari alle banche di tutto il mondo, come è successo lo scorso anno, o per una coppia di hacker che vende per milioni di dollari all’F.B.I. il segreto per sbloccare gli iPhone dei terroristi, ci sono migliaia di criminali digitali che si limitano ad offrire sul dark web piccole prestazioni a prezzi molto contenuti (e sempre più stracciati), perché in questo mercato, l’offerta supera ampiamente la domanda. In questo mondo c’è, infatti, un vero e proprio listino prezzi: creazione di falsi account su Paypal, riciclaggio di denaro di provenienza illecita, truffe, ecc. Si va appunto da un centinaio di Euro fino a percentuali anche del 30% sulle transazioni finanziarie che scendono al 10% quando si parla di grandi capitali.
Il dark web è ricco di opzioni relativamente alle prestazioni offerte dagli hacker. Per raggiungerle ormai bastano un motore di ricerca e un browser gratuito come Tor: gli hackers si vendono al migliore offerente su siti come Silk Road 3.0 (l’ultima incarnazione del primo e più famoso “mercato nero” online) o AlphaBay, con annunci rassicuranti e invitanti, indicando la disponibilità oraria su turni settimanali oppure offrendo prove gratuite, il servizio “soddisfatti o rimborsati”, gli sconti per i clienti più regolari o i pagamenti alla consegna. E se comunque l’utente non si dovesse ancora sentire sicuro, è nata una nuova (incredibile) figura, il garante dei servizi: una terza parte che assicura il corretto svolgimento della transazione, facendo da tramite per il passaggio di denari e di dati.
La maggior parte di questi “manovali dell’hacking” sono russi. In quel Paese, infatti, in tanti coltivano il sogno di entrare a far parte di quei grandi gruppi organizzati, di recente protagonisti delle intrusioni ai server della Wada (Agenzia mondiale Antidoping) o della Convention democratica statunitense. Anche perché l’alternativa legale è ben poco invitante: un programmatore in Russia guadagna in media 300 dollari al mese. Con tutte le conseguenze del caso per le imprese di Mosca e dintorni, ormai rassegnate allo spionaggio industriale: un dossier completo su una azienda, dal portafoglio clienti agli ordini ai fornitori, costa infatti tra i 500 e gli 800 dollari. E ricordiamoci che per arrivare sul mercato europeo, agli hacker russi non serve certo l’aereo…
Spendiamo ancora qualche riga per parlare di frodi in rete perché è proprio qui che si verificano la maggior parte degli eventi. In questo caso, i criminali riescono a circuire le vittime con mail fasulle in cui si chiedono le coordinate bancarie oppure riescono a carpirle infilandosi nel sistema o intercettando le transazioni.
Oggi molte banche o società che emettono le carte di credito adottano doppi livelli di sicurezza, come il securcode o il token fisico, ossia un codice da utilizzare per una sola transazione che viene inviato sul numero di cellulare. Il consiglio è sempre di fare acquisti su siti e che usano dati criptati: nella URL appare “https” e non “http”. Negli http infatti i dati sensibili sono in chiaro, quindi accessibili anche ai malintenzionati”.
Sono alcune delle tecniche più comuni usate per carpire i dati delle carte di credito in rete.
Nel primo caso gli hacker intercettano le coordinate di pagamenti fatti con carte di credito, utilizzando poi le stesse tracce per fare nuovi acquisti all’insaputa del vero proprietario, mentre nel secondo caso all’indirizzo di posta elettronica di un qualsiasi utente potrebbe arrivare una mail che, attraverso qualche stratagemma (per esempio simulando nella formula e nel layout grafico una comunicazione ufficiale della banca), porti a inserire i dati personali e quelli relativi alla carta di credito. Esistono poi Trojan banking, virus informatici, non sempre rilevati dai software antivirus, che carpiscono le credenziali di accesso ai servizi bancari online, sfruttano i “buchi” del sistema di protezione, si auto installano riproducendosi e diffondendosi fino a minare il corretto funzionamento del sistema, inclusa la fuoriuscita incontrollata dei dati personali.
Ecco allora per concludere alcuni consigli per proteggere i propri acquisti online:
Se si riceve un’email simile a una comunicazione ufficiale della banca personale che suggerisce di inserire i dati personali e quelli relativi alla carta, non rispondere e avvertire subito la banca e le forze dell’ordine, stando attenti a non eliminare la mail.
Verificare sempre che sul sito sia riportato un indirizzo fisico e telefonico attraverso cui sia possibile contattare l’azienda.
Assicurarsi sempre che i siti utilizzino protocolli di sicurezza per la protezione dei dati e che la pagina in cui vengano inseriti i dati sia criptata con la dicitura “https” in corrispondenza dell’indirizzo della pagina.
Utilizzare sempre, se possibile, carte prepagate non direttamente collegabili al conto corrente.
Stampare e conservare con cura le ricevute di pagamento.
Se nonostante tutte le attenzioni si rimane comunque vittime di criminali informatici cosa bisogna fare? Appena ci si accorge che sono stati effettuati acquisti di cui si è ignari, è necessario comunicare immediatamente l’accaduto all’istituto o la società che ha emesso la carta che provvederà al blocco della carta aprendo così la pratica di rimborso con la banca. In ogni caso è bene denunciare l’accaduto alle forze dell’ordine. Una volta dimostrato, con ricevute alla mano, che non c’è stato l’uso fraudolento della carta, si verrà completamente rimborsati, ma se invece l’utente ha usato impropriamente la carta, senza dolo o colpa grave ma solamente con disattenzione e superficialità, potrebbe essere chiamato a pagare una franchigia di 150 Euro, come previsto dal decreto legislativo 11/2010.
Bruno Scacchi
S.A.I. CONSULTING S.a.s.
Sicurezza Lavoro & Ambiente
Sicurezza informatica
