Furti e ricatti, i file pirata svuotano le aziende italia
Transcript
Furti e ricatti, i file pirata svuotano le aziende italia
10 .Primo Piano STAMPA .LA DOMENICA 12 FEBBRAIO 2017 ATTACCHI INFORMATICI, ITALIA IN PRIMA LINEA COSA PENSANO LE AZIENDE Attacchi da malware Paese Il re delle truffe 2016 Nella mappa gli attacchi web dai cybercriminali nel III trim. 2016 mediante l’utilizzo di programmi malevoli Fonte: Kaspersky UTENTI SOTTOPOSTI AD ATTACCO % 2-10 10,1-15 15,1-20 20,1-25 25,1-30 L’esplosione Il Ransomware si è guadagnato il titolo di re dei malware del 2016. Secondo una stima di Sonic Wall nel 2015 le vittime di Ransomware erano 3,8 milioni, cifra che nel 2016 è salita a 638 milioni Perché Sono quattro i motivi che spiegano l’esplosione dei Ransomware 1) Accesso facile al mercato nero di internet 2) Costi bassi 3) Semplicità tecnica richiesta per portare un attacco 4) Diffusione dei Bitcoin che impedisce il tracciamento della valuta Ai lettori Assieme all’Italia che funziona c’è anche un’Italia che non va. Segnalateci tutto ciò su cui a vo stro avviso vale la pena di inda gare scrivendo a: inchieste@ lastampa.it 30,02 29,49 29,30 29,21 28,18 28,15 27,83 27,06 26,95 26,42 Slovenia Bulgaria Armenia ITALIA Ucraina Spagna Brasile Bielorussia Algeria Qatar DIFFUSIONE DELLE CYBER ESTORSIONI Solo il 50% di aziende dichiara di avere oggi le capacità per rilevare un attacco informatico sofisticato Città UTENTI SOTTOPOSTI AD ATTACCO % <1 1,1-2 2,1-3 3,1-4 4,1-5 1 2 3 4 5 dichiara di avere una funzione di cybersecurity non pienamente in linea con le proprie esigenze Hacktivismo Principali minacce secondo le aziende italiane: 14,2% 69% di aziende dichiara di aver subito un incidente informatico rilevante ma solo nel 28% dei casi è stato rilevato internamente Paese Istanbul Turchia Ankara Italia Roma Ungheria Budapest Germania Sxeged (Ungheria) Francia 72,1% 97% di aziende Roma (e Italia), caput bot Nella mappa i tentativi di infezione compiuti d ransomware, che cifrano i file e chiedono un riscatto, nel III trim. 2016 Cybercrimine In Italia Fonte: dati Norton Symantec Ransomware Questo genere di software malevoli infetta il computer (o il cellulare) e blocca il sistema o cifra i file chiedendo alla vittima di pagare un riscatto per sbloccarli. All’inizio diffusi in Russia sono ora un fenomeno planetario 1 2 3 4 5 6 7 8 9 10 A livello globale % di utenti LA NATURA DEGLI ATTACCHI GLOBALI NEL 2016 69%: attacchi interni 65%: malware 56%: defacement (sito defacciato) Cyberspionaggio 9,2% Cyberguerriglia 4,3% Fonte: dati Paolo Passeri Hackmageddon.com 55%: zero-day (attacco attraverso vulnerabilità sconosciuta) Fonte: Indagine EY Global Information Security Survey) Furti e ricatti, i file pirata svuotano le Nel 2016 il nostro Paese è stato il quarto al mondo per utenti colpiti (il 29%). Le più CAROLA FREDIANI ROMA L sicurezza degli obiettivi istituzionali è «aumentata» dopo che la Farnesina è stata hackerata l’anno scorso, assicura oggi il ministero degli Esteri dopo le rivelazioni sugli attacchi informatici. Ma cosa succede se l’attacco colpisce aziende private? Proviamo a raccontarlo. All’inizio quella strana coppia di file apparsi in alcune cartelle sembravano solo il residuo innocuo di qualche vecchio programma. Ma quando quasi tutti gli altri documenti sul computer hanno iniziato, sotto i suoi occhi, a diventare inaccessibili, Giuseppe ha intuito che aveva un problema. Quanto grosso lo avrebbe capito solo più tardi. Giuseppe Doto aveva appena finito le vacanze, rientrando all’agenzia di comunicazione New Erredi di cui è co-titolare, in un luminoso appartamento nel centro di Torino. Quando ha visto che i documenti salvati sul server aziendale non si aprivano più perché cifrati, è andato a guardarsi quei due misteriosi file aggiuntivi. «Ho la chiave per decifrarli», diceva uno dei due, in inglese, dando un indirizzo mail. Giuseppe ancora non lo sapeva ma la sua azienda aveva appena incrociato una delle ultime novità in materia di ransomware, i virus che infettano un computer, ne cifrano i file e chiedono dei soldi per farti accedere di nuovo ai tuoi dati. Per incontrarlo non aveva dovuto nemmeno scaricare, per errore, un allegato malevolo, come succede di solito, perché quel malware (di nome Parisher) buca i server. «Si tratta di una gang che sfrutta una porta di connessione di un software Microsoft e compie un attacco a forza bruta, ovvero tenta molte password finché non trova quella giusta - spiega Paolo Dal Checco, esperto di informatica forense -. Parisher entra nel server, cancella le copie, cifra i file e chiede 5 bitcoin di riscatto, circa 5mila euro». Come avrebbe poi compreso Giuseppe, iniziando un tortuoso giro di tele- fonate ad aziende e consulenti di sicurezza, diversamente da altri ransomware diffusi in quel momento, non c’era modo di aggirarlo. L’unica era farsi dare la chiave dal ricattatore. A meno di avere una copia, un backup dei dati da qualche parte. Il problema era che proprio prima delle ferie, alla New Erredi avevano riversato molti file su quel server, eliminandoli da hard disk esterni per recuperare spazio di archiviazione. «L’attaccante si era premurato di cancellare pure le copie fatte dal server», precisa Giuseppe, che ora passa in rassegna i fatti in modo analitico. Mentre in quei momenti, «quando pensi che potresti aver perso anni di lavoro, subito vai in panico». Alla New Erredi però non vogliono pagare. «Non era la cosa giusta da fare, e anzi abbiamo fatto denuncia». Poi hanno fatto mente locale, hanno iniziato a scartabellare fra i pc sparsi nelle stanze dello studio, le mail, altri hard disk, i server in disuso dove erano rimasti dei documenti e sono riusciti a recuperare quasi tutto. Alla fine il danno vero è stato soprattutto il mese di lavoro dedicato a ripristinare sistemi e materiali, tolto ovviamente lo stress. «Da allora controllo ogni giorno che sia fatto il backup. Anzi, fammi verificare», scherza ora Giuseppe. Gli è andata anche bene, ma la verità è che, specie tra professionisti e piccole imprese, sono in molti a pagare. I ransomware Alla fine del 2016 l’Italia era nella rosa dei Paesi con la più alta percentuale di utenti colpiti da programmi malevoli (29 per cento, quarto posto nel mondo); tra i Paesi occidentali più colpiti da ransomware e tra quelli con più computer infettati da botnet. Eppure, nel Belpaese, ad avere visibilità sono ancora solo gli attacchi di natura istituzionale. Nel 2016 sono diventati di dominio pubblico una cinquantina di azioni contro obiettivi italiani, perlopiù di matrice hacktivista (dati analizzati da Paolo Passeri/Hackmageddon.com per La Stampa). Ma invece le grandi azien- de, e soprattutto le piccole e medie imprese, i professionisti? Tutto tace. Scarseggiano numeri ufficiali, mentre le vittime non parlano, spesso non denunciano. «Il nuovo regolamento europeo sulla protezione dei dati fornirà qualche elemento in più sulla situazione», commenta l’avvocato Giuseppe Vaciago. Ma certo oggi è ancora nebbia fitta. «Chi ha avuto problemi non ha intenzione di dirlo», spiega Alvise Biffi, vicepresidente di Piccola Industria Confindustria. «Di ransomware ce ne sono quantità enormi e il 90% di quelli che non hanno backup tendono ad assecondare il ricatto». Aiutare qualcuno a pagare l’estorsione potrebbe far rischiare il favoreggiamento, avvisa un appartenente alle forze dell’ordine attivo su questi temi, che preferisce restare anonimo. «Comunque pagare è sbagliato, si finanzia la criminalità organizzata». Anche se pure tra i tutori della legge c’è chi consiglia di versare i soldi. La punta dell’iceberg I ransomware sono solo la punta dell’iceberg. Se guardiamo ai procedimenti del pool reati informatici della Procura di Milano (tra le poche a pubblicare dati sul suo bilancio) questi sono raddoppiati fra il 2013 e il 2014, e da allora hanno continuato a crescere. Ma il numero di reati è in realtà più alto dei procedimenti registrati (circa 6400 nel 2015) perché quelli contro ignoti finiscono raggruppati in fascicoli. Più in generale sui reati informatici in Italia c’è ancora la difficoltà a raccogliere dati in modo omogeneo, fa notare Walter Vannini, criminologo del Comune di Milano che ha lavorato insieme alla Procura sul cybercrimine, sviluppando progetti di formazione poi presentati al Consiglio d’Europa. Eppure, malgrado la scarsità di informazioni affidabili, La Stampa - dopo aver sentito decine di consulenti (o vittime) del settore - ha rilevato la crescita in Italia di uno specifico ti- LA STAMPA DOMENICA 12 FEBBRAIO 2017 Primo Piano .11 . L’ INCHIESTA IL DIROTTAMENTO DEL CONTO CORRENTE AZIENDALE LO SCHEMA DELLA TRUFFA DEL CAMBIO DI IBAN NOTO COME BEC (Business Email Compromise) 22 mila vittime globali fra 2014 e metà 2016 Oltre 3 miliardi di dollari: stima di danni Più 1.300%: numeri di casi registrati dal gennaio 2015 FASE 2 Studio del tipo di azienda, di chi sono i dipendenti amministrativi e dei suoi fornitori FASE 1 Attacco informatico mediante malware (trojan) e controllo di un pc e/o mail dell’azienda 79: i Paesi dove sono inviati i soldi rubati FASE 3 Sostituzione di persona; ad esempio si invia una mail al cliente dell’azienda fingendosi l’amministrativo Fonte: FBI 100: i Paesi vittima Ogni 5 secondi un utente accede a un sito malevolo Ogni 81 secondi un utente scarica un malwar e FASE 5 Il conto è intestato a un «mulo» che provvede a girare i soldi altrove, spesso via moneytransfer FASE 4 Si chiede di pagare su un Iban diverso Fonte: Check Point Software Technologies PROCEDIMENTI DEL POOL REATI INFORMATICI DELLA PROCURA DI MILANO 2012-2013 2013-2014 2.855 Fonte: Bilancio di responsabilità sociale Procura di Milano 2014-2015 5.629 Task force 6.448 Gli attacchi portati ai computer dell’Europa occidentale attraverso Citadel Botnets LA STAMPA aziende italiane indifese sono le piccole e medie imprese po di frode, particolarmente insidiosa: quella del cambio di Iban (detto anche compromissione dell’email aziendale). I truffatori, dopo aver violato il pc o la mail di un dipendente, si inseriscono nella corrispondenza di un’azienda coi suoi debitori/creditori e, impersonando una delle parti, avvisano chi deve pagare di un cambio di conto corrente. Che però è in mano a dei «muli», dei prestanome, che poi girano i soldi via money transfer a chi tira le fila dell’organizzazione. Un colpo che può svuotare i conti di una piccola realtà. «Qui su Milano ho visto duecento casi nell’ultimo anno, anche aziende grandi, che hanno perso in media tra i 20 e i 600mila euro», spiega un’altra fonte investigativa che chiede l’anonimato. «Spesso sono aziende con clienti in Cina, nel Sudest asiatico o in Nord Africa. Il problema in questi casi è che noi arriviamo tardi: tempo che la vittima si accorga della truffa, che vada alla polizia, che si apra un fascicolo… il Cambio di Iban Questo tipo di attacco è in forte crescita. Gli hacker, dopo essersi impossessati della mailing list di fornitori e creditori, inviano finte lettere con un cambio di Iban dell’azienda, quindi svuotano il nuovo conto prima che la società vittima si accorga di quel che è successo conto estero su cui sono finiti i soldi è stato già svuotato». Ci vorrebbero tavoli sovranazionali con magistrati che possano ottenere provvedimenti immediati. «L’impatto delle violazioni di cybersicurezza sull’economia aziendale è tanto reale quanto sconosciuto. Le piccole e medie imprese restano più indifese delle grandi o degli enti istituzionali, e non sanno neanche bene a chi rivolgersi», commenta Corrado Giustozzi, membro dell’Enisa, l’Agenzia europea per la sicurezza delle reti e dell’informazione. «Sono tanti i privati colpiti, ma la maggior parte non denuncia per pudore, e perché a volte il danno non giustifica le spese», spiega la penalista Alessandra Bersino. «Per questo, con l’ordine degli avvocati, abbiamo aperto uno spazio di consulenza allo sportello del cittadino del tribunale di Milano per aiutare le vittime di simili reati». Nelle aziende minori manca la cultura della cybersicurezza, in quelle più grandi la volontà di investire. Eppure il 44% delle piccole medie imprese avrebbe rilevato almeno un attacco informatico, con perdita economica, nell’ultimo anno, secondo un’indagine Yoroi. È stato un test a mettere in allerta Coop Italia, centrale d’acquisto del consorzio di cooperative. Nel corso di una prova di una nuova tecnologia si è accorta che la macchina di un loro fornitore era stata infettata da un malware, si agganciava a una botnet e si collegava a un centro di comando in Romania. Non solo: il malware stava registrando le attività della macchina e stava trasferendo informazioni. Subito staccata, anche se non accedeva a dati sensibili. «Abbiamo capito che non bastano antivirus e firewall: abbiamo aggiunto al sistema di difesa tecnologie di analisi del traffico della rete, per individuare anomalie», dice Andrea Favati, responsabile della sicurezza informatica. La difesa Chi ha provato a prendere di petto almeno il rischio di truffe, specie il phishing, è stata Carel, azienda padovana specializzata nel settore del condizionamento e della refrigerazione. Manifattura italiana, con 1200 dipendenti, 19 filiali, 7 siti produttivi, e pagamenti internazionali. Insomma, il target ideale di chi punta a dirottare bonifici. «Nel 2015 avevamo ricevuto via mail diversi tentativi di frode, in cui gli attaccanti impersonavano alcuni nostri manager, dando indicazioni ad altri dipendenti di effettuare dei pagamenti», spiega Gianluca Nardin, responsabile della sicurezza informatica. Almeno in un caso la truffa è particolarmente elaborata: alla mail segue addirittura una telefonata. Alla Carel decidono di stare al gioco per individuare la fonte dell’attacco. «La telefonata proveniva da un call center di Londra che poi rimandava a un contatto di un sedicente avvocato che stava in Svizzera. Il tizio cercava di convincere il nostro direttore della filiale spagnola a spostare 150mila dollari in una banca dell’Europa dell’Est e addirittura aveva mandato un’approvazione scritta dell’operazione da parte di un membro del Cda (ovviamente era tutto finto)». Arrivati a quel punto alla Carel hanno numeri di telefono e altri elementi utili per identificare la banda di truffatori e fanno la denuncia. Altro problema: i furti di insider. Il 69% delle minacce per le aziende italiane, spesso ricche di proprietà intellettuale, secondo un’indagine Ey. Il furto di proprietà intellettuale da parte di ex-dipendenti è una minaccia diffusa che può portare a vicende giudiziarie complicate. È quello che è capitato a V., imprenditore del Centro Italia con un’azienda di software. «Dopo aver terminato i rapporti lavorativi con alcuni dipendenti, ci siamo accorti che questi, da fuori, usando le loro credenziali che ci eravamo dimenticati di cambiare, avevano effettuato accessi abusivi alla nostra rete aziendale. Hanno prelevato il database dei nostri contatti commerciali e molto altro know-how. Poi sono andati alla concorrenza», racconta. L’episodio è del 2011, inizia ora il processo. c BY NC ND ALCUNI DIRITTI RISERVATI “I link sconosciuti non vanno aperti Ci frega la curiosità” L’esperimento della ricercatrice tedesca il caso ROMA L a frontiera cybercriminale ha già inventato sistemi di malware (software dannosi) come servizio in cui gang specializzate vendono o affittano infrastrutture e kit di attacco ad altri. Ma Fake Game è probabilmente la prima piattaforma che permette di imbastire un attacco di phishing (truffa attraverso cui malintenzionati si fingono enti affidabili convincendo le vittime a fornire loro informazioni personali, dati finanziari o codici di accesso) appoggiandosi a un servizio esterno. La Stampa l’ha provata: si può imitare una pagina di login di Gmail, Facebook e altri siti. Iscrizione è gratuita, le funzioni extra a pagamento. A limitare la diffusione di questo servizio, per ora, è solo il fatto che sia in russo e orientato soprattutto a quell’area geografica. «Oltre a Fake Game nascono piattaforme simili di tanto in tanto, ma poi chiudono velocemente, anche perché chi svolge questa attività di professione preferisce progettarsi tutto in casa», commenta Andrea Draghetti, ricercatore di D3Lab, società che offre servizi per il rilevamento e il contrasto al phishing. Il problema è che con questo tipo di attacco ci si scontra con il «fattore umano». Zinaida Benenson, ricercatrice dell’università tedesca di ErlangenNuremberg, ha sottoposto a un test 1600 suoi studenti, inviando loro un messaggio (via mail o Facebook) che arrivava in realtà da una persona inesistente e che diceva di avere le foto di una festa, da vedere via link. Tranelli Quando il messaggio si rivolge al destinata rio usando il suo nome, clicca il 56% di chi ha ricevuto l’email e il 38% di chi è stato raggiunto via Facebook. E ciò malgra do ben il 78% degli utenti di Internet sappia che seguire un collegamento sbagliato può portare a conseguen ze negative Molte aziende fanno ricorso a simulazioni di attacchi di phishing per analizzare le reazioni del personale Poi, ha registrato i clic. Quando il messaggio si rivolgeva al destinatario usando il suo nome, il 56% di chi aveva ricevuto l’email e il 38% di chi era stato raggiunto via Facebook cliccava. E questo malgrado ben il 78% avesse consapevolezza del fatto che seguire un collegamento sbagliato potesse portare a conseguenze negative. La ragione principale dietro a quei clic, successivamente addotta dai giovani dell’esperimento, è molto banale: la curiosità. Benenson è piuttosto scettica sul fatto che i consigli di sicurezza informatica possano incidere sui comportamenti. «Anche perché è facile dire: non cliccate su link e allegati. Ma che impatto ha questo monito sulla vita lavorativa delle persone? Specie chi deve gestire flussi di fatture, ricevute e via dicendo che arrivano via mail?», di domanda Benenson. Negli ultimi tempi sono cresciute le realtà - come PhishMe, Phisd o Wombat - che offrono delle simulazioni di phishing alle aziende, in modo da testare il livello di consapevolezza dei propri dipendenti. In Italia c’è ancora un po’ di ritrosia su questo genere di analisi proattiva. «Al momento le aziende hanno ancora timori al riguardo, anche perché non sanno bene come gestire eventuali dubbi o ricadute sulla privacy», commenta Denis Frati, Ceo di D3Lab. Alla Carel, azienda manifatturiera di Padova, hanno messo in piedi un gruppo dedicato alle frodi informatiche. Hanno mappato i processi di lavoro, i flussi delle mail e tutti i domini del gruppo, individuando le criticità. Hanno migliorato i sistemi di sicurezza interni, ad esempio fornendo ai dipendenti con ruoli più esposti chiavette per fare l’autenticazione a due fattori (un po’ come quelle che danno le banche). E infine hanno iniziato una serie di attività di formazione interna, comprese simulazioni di attacchi phishing per analizzare le reazioni del personale. [CAR. FRE.] c BY NC ND ALCUNI DIRITTI RISERVATI