Furti e ricatti, i file pirata svuotano le aziende italia

10 .Primo Piano
STAMPA
.LA
DOMENICA 12 FEBBRAIO 2017
ATTACCHI INFORMATICI,
ITALIA IN PRIMA LINEA
COSA PENSANO LE AZIENDE
Attacchi da malware
Paese
Il re
delle
truffe
2016
Nella mappa
gli attacchi web
dai cybercriminali
nel III trim. 2016
mediante l’utilizzo
di programmi
malevoli
Fonte: Kaspersky
UTENTI SOTTOPOSTI AD ATTACCO
%
2-10
10,1-15
15,1-20
20,1-25
25,1-30
L’esplosione
Il Ransomware
si è guadagnato il titolo di re
dei malware
del 2016.
Secondo
una stima
di Sonic Wall
nel 2015
le vittime
di Ransomware erano 3,8 milioni, cifra
che nel 2016
è salita
a 638 milioni
Perché
Sono quattro
i motivi che spiegano l’esplosione
dei Ransomware
1) Accesso facile al mercato nero di internet
2) Costi bassi
3) Semplicità tecnica richiesta per portare
un attacco
4) Diffusione
dei Bitcoin
che impedisce
il tracciamento della valuta
Ai lettori
Assieme all’Italia che funziona c’è anche un’Italia che non va. Segnalateci tutto ciò su cui a vo­
stro avviso vale la pena di inda­
gare scrivendo a:
inchieste@
lastampa.it
30,02
29,49
29,30
29,21
28,18
28,15
27,83
27,06
26,95
26,42
Slovenia
Bulgaria
Armenia
ITALIA
Ucraina
Spagna
Brasile
Bielorussia
Algeria
Qatar
DIFFUSIONE DELLE CYBER ESTORSIONI
Solo il 50%
di aziende dichiara
di avere oggi
le capacità per rilevare
un attacco informatico
sofisticato
Città
UTENTI SOTTOPOSTI AD ATTACCO
%
<1
1,1-2
2,1-3
3,1-4
4,1-5
1
2
3
4
5
dichiara di avere una
funzione di cybersecurity
non pienamente
in linea con le
proprie
esigenze
Hacktivismo
Principali minacce
secondo
le aziende
italiane:
14,2%
69% di aziende
dichiara di aver
subito un incidente
informatico
rilevante
ma solo
nel 28%
dei casi
è stato
rilevato
internamente
Paese
Istanbul
Turchia
Ankara
Italia
Roma
Ungheria
Budapest
Germania
Sxeged (Ungheria)
Francia
72,1%
97% di aziende
Roma (e Italia),
caput bot
Nella mappa
i tentativi di
infezione compiuti
d ransomware,
che cifrano i file e
chiedono un riscatto,
nel III trim. 2016
Cybercrimine
In Italia
Fonte: dati Norton
Symantec
Ransomware
Questo genere
di software malevoli infetta
il computer
(o il cellulare)
e blocca
il sistema o cifra
i file chiedendo alla vittima
di pagare
un riscatto
per sbloccarli. All’inizio diffusi in Russia sono ora un fenomeno planetario
1
2
3
4
5
6
7
8
9
10
A livello globale
% di utenti
LA NATURA
DEGLI
ATTACCHI
GLOBALI
NEL 2016
69%: attacchi interni
65%: malware
56%: defacement
(sito defacciato)
Cyberspionaggio
9,2%
Cyberguerriglia
4,3%
Fonte: dati Paolo Passeri
Hackmageddon.com
55%: zero-day
(attacco attraverso
vulnerabilità sconosciuta)
Fonte: Indagine EY Global
Information Security Survey)
Furti e ricatti, i file pirata svuotano le Nel 2016 il nostro Paese è stato il quarto al mondo per utenti colpiti (il 29%). Le più CAROLA FREDIANI
ROMA
L
sicurezza degli obiettivi
istituzionali è «aumentata» dopo che la Farnesina
è stata hackerata l’anno scorso,
assicura oggi il ministero degli
Esteri dopo le rivelazioni sugli
attacchi informatici. Ma cosa
succede se l’attacco colpisce
aziende private?
Proviamo a raccontarlo. All’inizio quella strana coppia di
file apparsi in alcune cartelle
sembravano solo il residuo innocuo di qualche vecchio programma. Ma quando quasi
tutti gli altri documenti sul
computer hanno iniziato, sotto i suoi occhi, a diventare
inaccessibili, Giuseppe ha intuito che aveva un problema.
Quanto grosso lo avrebbe capito solo più tardi. Giuseppe
Doto aveva appena finito le vacanze, rientrando all’agenzia
di comunicazione New Erredi
di cui è co-titolare, in un luminoso appartamento nel centro
di Torino. Quando ha visto che
i documenti salvati sul server
aziendale non si aprivano più
perché cifrati, è andato a
guardarsi quei due misteriosi
file aggiuntivi.
«Ho la chiave per decifrarli»,
diceva uno dei due, in inglese,
dando un indirizzo mail. Giuseppe ancora non lo sapeva ma
la sua azienda aveva appena incrociato una delle ultime novità
in materia di ransomware, i virus che infettano un computer,
ne cifrano i file e chiedono dei
soldi per farti accedere di nuovo ai tuoi dati. Per incontrarlo
non aveva dovuto nemmeno
scaricare, per errore, un allegato malevolo, come succede di
solito, perché quel malware (di
nome Parisher) buca i server.
«Si tratta di una gang che
sfrutta una porta di connessione di un software Microsoft e
compie un attacco a forza bruta, ovvero tenta molte password finché non trova quella
giusta - spiega Paolo Dal Checco, esperto di informatica forense -. Parisher entra nel server, cancella le copie, cifra i file
e chiede 5 bitcoin di riscatto,
circa 5mila euro». Come avrebbe poi compreso Giuseppe, iniziando un tortuoso giro di tele-
fonate ad aziende e consulenti
di sicurezza, diversamente da
altri ransomware diffusi in quel
momento, non c’era modo di
aggirarlo. L’unica era farsi dare
la chiave dal ricattatore. A meno di avere una copia, un
backup dei dati da qualche parte. Il problema era che proprio
prima delle ferie, alla New Erredi avevano riversato molti file su quel server, eliminandoli
da hard disk esterni per recuperare spazio di archiviazione.
«L’attaccante si era premurato
di cancellare pure le copie fatte
dal server», precisa Giuseppe,
che ora passa in rassegna i fatti
in modo analitico. Mentre in
quei momenti, «quando pensi
che potresti aver perso anni di
lavoro, subito vai in panico».
Alla New Erredi però non vogliono pagare. «Non era la cosa
giusta da fare, e anzi abbiamo
fatto denuncia». Poi hanno fatto mente locale, hanno iniziato
a scartabellare fra i pc sparsi
nelle stanze dello studio, le
mail, altri hard disk, i server in
disuso dove erano rimasti dei
documenti e sono riusciti a recuperare quasi tutto. Alla fine il
danno vero è stato soprattutto
il mese di lavoro dedicato a ripristinare sistemi e materiali,
tolto ovviamente lo stress.
«Da allora controllo ogni
giorno che sia fatto il backup.
Anzi, fammi verificare», scherza ora Giuseppe. Gli è andata
anche bene, ma la verità è che,
specie tra professionisti e piccole imprese, sono in molti a
pagare.
I ransomware
Alla fine del 2016 l’Italia era
nella rosa dei Paesi con la più
alta percentuale di utenti colpiti da programmi malevoli (29
per cento, quarto posto nel
mondo); tra i Paesi occidentali
più colpiti da ransomware e tra
quelli con più computer infettati da botnet. Eppure, nel Belpaese, ad avere visibilità sono
ancora solo gli attacchi di natura istituzionale. Nel 2016 sono
diventati di dominio pubblico
una cinquantina di azioni contro obiettivi italiani, perlopiù di
matrice hacktivista (dati analizzati da Paolo Passeri/Hackmageddon.com per La Stampa). Ma invece le grandi azien-
de, e soprattutto le piccole e
medie imprese, i professionisti? Tutto tace. Scarseggiano
numeri ufficiali, mentre le vittime non parlano, spesso non
denunciano. «Il nuovo regolamento europeo sulla protezione dei dati fornirà qualche elemento in più sulla situazione»,
commenta l’avvocato Giuseppe Vaciago. Ma certo oggi è ancora nebbia fitta. «Chi ha avuto
problemi non ha intenzione di
dirlo», spiega Alvise Biffi, vicepresidente di Piccola Industria
Confindustria. «Di ransomware ce ne sono quantità enormi e
il 90% di quelli che non hanno
backup tendono ad assecondare il ricatto».
Aiutare qualcuno a pagare
l’estorsione potrebbe far rischiare il favoreggiamento, avvisa un appartenente alle forze
dell’ordine attivo su questi temi, che preferisce restare anonimo. «Comunque pagare è
sbagliato, si finanzia la criminalità organizzata». Anche se
pure tra i tutori della legge c’è
chi consiglia di versare i soldi.
La punta dell’iceberg
I ransomware sono solo la punta dell’iceberg. Se guardiamo ai
procedimenti del pool reati informatici della Procura di Milano (tra le poche a pubblicare
dati sul suo bilancio) questi sono raddoppiati fra il 2013 e il
2014, e da allora hanno continuato a crescere. Ma il numero
di reati è in realtà più alto dei
procedimenti registrati (circa
6400 nel 2015) perché quelli
contro ignoti finiscono raggruppati in fascicoli. Più in generale sui reati informatici in
Italia c’è ancora la difficoltà a
raccogliere dati in modo omogeneo, fa notare Walter Vannini, criminologo del Comune di
Milano che ha lavorato insieme
alla Procura sul cybercrimine,
sviluppando progetti di formazione poi presentati al Consiglio d’Europa.
Eppure, malgrado la scarsità
di informazioni affidabili, La
Stampa - dopo aver sentito decine di consulenti (o vittime)
del settore - ha rilevato la crescita in Italia di uno specifico ti-
LA STAMPA
DOMENICA 12 FEBBRAIO 2017
Primo Piano .11
.
L’ INCHIESTA
IL DIROTTAMENTO
DEL CONTO CORRENTE
AZIENDALE
LO SCHEMA
DELLA TRUFFA
DEL CAMBIO
DI IBAN
NOTO COME BEC
(Business Email Compromise)
22 mila vittime
globali fra 2014
e metà 2016
Oltre 3 miliardi
di dollari: stima
di danni
Più 1.300%:
numeri di casi
registrati dal
gennaio 2015
FASE 2
Studio del tipo
di azienda, di chi
sono i dipendenti
amministrativi
e dei suoi fornitori
FASE 1
Attacco informatico
mediante malware (trojan)
e controllo di un pc
e/o mail
dell’azienda
79:
i Paesi dove sono
inviati i soldi
rubati
FASE 3
Sostituzione
di persona;
ad esempio
si invia
una mail
al cliente
dell’azienda
fingendosi
l’amministrativo
Fonte: FBI
100:
i Paesi
vittima
Ogni 5
secondi un
utente accede
a un sito
malevolo
Ogni 81
secondi
un utente
scarica
un malwar e
FASE 5
Il conto
è intestato
a un «mulo»
che provvede
a girare i soldi
altrove,
spesso via
moneytransfer
FASE 4
Si chiede di pagare
su un Iban diverso
Fonte: Check Point Software Technologies
PROCEDIMENTI DEL POOL
REATI INFORMATICI DELLA
PROCURA DI MILANO
2012-2013
2013-2014
2.855
Fonte: Bilancio di responsabilità sociale Procura di Milano
2014-2015
5.629
Task force
6.448
Gli attacchi portati ai computer dell’Europa occidentale attraverso Citadel Botnets
LA STAMPA
aziende italiane
indifese sono le piccole e medie imprese
po di frode, particolarmente insidiosa: quella del cambio di
Iban (detto anche compromissione dell’email aziendale).
I truffatori, dopo aver violato
il pc o la mail di un dipendente,
si inseriscono nella corrispondenza di un’azienda coi suoi debitori/creditori e, impersonando una delle parti, avvisano chi
deve pagare di un cambio di
conto corrente. Che però è in
mano a dei «muli», dei prestanome, che poi girano i soldi via
money transfer a chi tira le fila
dell’organizzazione. Un colpo
che può svuotare i conti di una
piccola realtà. «Qui su Milano
ho visto duecento casi nell’ultimo anno, anche aziende grandi,
che hanno perso in media tra i
20 e i 600mila euro», spiega
un’altra fonte investigativa che
chiede l’anonimato. «Spesso sono aziende con clienti in Cina,
nel Sudest asiatico o in Nord
Africa. Il problema in questi casi è che noi arriviamo tardi:
tempo che la vittima si accorga
della truffa, che vada alla polizia, che si apra un fascicolo… il
Cambio
di Iban
Questo tipo
di attacco
è in forte crescita.
Gli hacker, dopo essersi impossessati della mailing list di fornitori
e creditori, inviano finte lettere con
un cambio
di Iban dell’azienda, quindi svuotano
il nuovo conto prima che la società vittima
si accorga
di quel che
è successo
conto estero su cui sono finiti i
soldi è stato già svuotato».
Ci vorrebbero tavoli sovranazionali con magistrati che
possano ottenere provvedimenti immediati. «L’impatto
delle violazioni di cybersicurezza sull’economia aziendale
è tanto reale quanto sconosciuto. Le piccole e medie imprese
restano più indifese delle grandi o degli enti istituzionali, e
non sanno neanche bene a chi
rivolgersi», commenta Corrado Giustozzi, membro dell’Enisa, l’Agenzia europea per la sicurezza delle reti e dell’informazione. «Sono tanti i privati
colpiti, ma la maggior parte
non denuncia per pudore, e
perché a volte il danno non giustifica le spese», spiega la penalista Alessandra Bersino.
«Per questo, con l’ordine degli
avvocati, abbiamo aperto uno
spazio di consulenza allo sportello del cittadino del tribunale
di Milano per aiutare le vittime
di simili reati».
Nelle aziende minori manca
la cultura della cybersicurezza,
in quelle più grandi la volontà di
investire. Eppure il 44% delle
piccole medie imprese avrebbe
rilevato almeno un attacco informatico, con perdita economica, nell’ultimo anno, secondo
un’indagine Yoroi. È stato un
test a mettere in allerta Coop
Italia, centrale d’acquisto del
consorzio di cooperative. Nel
corso di una prova di una nuova
tecnologia si è accorta che la
macchina di un loro fornitore
era stata infettata da un
malware, si agganciava a una
botnet e si collegava a un centro
di comando in Romania. Non
solo: il malware stava registrando le attività della macchina e stava trasferendo informazioni. Subito staccata, anche se
non accedeva a dati sensibili.
«Abbiamo capito che non bastano antivirus e firewall: abbiamo aggiunto al sistema di difesa tecnologie di analisi del
traffico della rete, per individuare anomalie», dice Andrea
Favati, responsabile della sicurezza informatica.
La difesa
Chi ha provato a prendere di
petto almeno il rischio di truffe,
specie il phishing, è stata Carel,
azienda padovana specializzata
nel settore del condizionamento e della refrigerazione. Manifattura italiana, con 1200 dipendenti, 19 filiali, 7 siti produttivi, e
pagamenti internazionali. Insomma, il target ideale di chi
punta a dirottare bonifici. «Nel
2015 avevamo ricevuto via mail
diversi tentativi di frode, in cui
gli attaccanti impersonavano
alcuni nostri manager, dando
indicazioni ad altri dipendenti
di effettuare dei pagamenti»,
spiega Gianluca Nardin, responsabile della sicurezza informatica. Almeno in un caso la
truffa è particolarmente elaborata: alla mail segue addirittura
una telefonata. Alla Carel decidono di stare al gioco per individuare la fonte dell’attacco.
«La telefonata proveniva da
un call center di Londra che poi
rimandava a un contatto di un
sedicente avvocato che stava in
Svizzera. Il tizio cercava di convincere il nostro direttore della
filiale spagnola a spostare
150mila dollari in una banca
dell’Europa dell’Est e addirittura aveva mandato un’approvazione scritta dell’operazione
da parte di un membro del Cda
(ovviamente era tutto finto)».
Arrivati a quel punto alla Carel
hanno numeri di telefono e altri
elementi utili per identificare la
banda di truffatori e fanno la
denuncia.
Altro problema: i furti di insider. Il 69% delle minacce per le
aziende italiane, spesso ricche
di proprietà intellettuale, secondo un’indagine Ey. Il furto di
proprietà intellettuale da parte
di ex-dipendenti è una minaccia
diffusa che può portare a vicende giudiziarie complicate. È
quello che è capitato a V., imprenditore del Centro Italia con
un’azienda di software. «Dopo
aver terminato i rapporti lavorativi con alcuni dipendenti, ci
siamo accorti che questi, da fuori, usando le loro credenziali che
ci eravamo dimenticati di cambiare, avevano effettuato accessi abusivi alla nostra rete aziendale. Hanno prelevato il database dei nostri contatti commerciali e molto altro know-how. Poi
sono andati alla concorrenza»,
racconta. L’episodio è del 2011,
inizia ora il processo.
c BY NC ND ALCUNI DIRITTI RISERVATI
“I link sconosciuti
non vanno aperti
Ci frega la curiosità”
L’esperimento della ricercatrice tedesca
il caso
ROMA
L
a frontiera cybercriminale ha già inventato sistemi di malware (software dannosi) come servizio
in cui gang specializzate vendono o affittano infrastrutture
e kit di attacco ad altri. Ma
Fake Game è probabilmente la
prima piattaforma che permette di imbastire un attacco
di phishing (truffa attraverso
cui malintenzionati si fingono
enti affidabili convincendo le
vittime a fornire loro informazioni personali, dati finanziari
o codici di accesso) appoggiandosi a un servizio esterno. La
Stampa l’ha provata: si può
imitare una pagina di login di
Gmail, Facebook e altri siti.
Iscrizione è gratuita, le funzioni extra a pagamento. A limitare la diffusione di questo servizio, per ora, è solo il fatto che
sia in russo e orientato soprattutto a quell’area geografica.
«Oltre a Fake Game nascono piattaforme simili di tanto
in tanto, ma poi chiudono velocemente, anche perché chi
svolge questa attività di professione preferisce progettarsi
tutto in casa», commenta Andrea Draghetti, ricercatore di
D3Lab, società che offre servizi
per il rilevamento e il contrasto
al phishing.
Il problema è che con questo
tipo di attacco ci si scontra con
il «fattore umano». Zinaida Benenson, ricercatrice dell’università tedesca di ErlangenNuremberg, ha sottoposto a un
test 1600 suoi studenti, inviando loro un messaggio (via mail
o Facebook) che arrivava in realtà da una persona inesistente
e che diceva di avere le foto di
una festa, da vedere via link.
Tranelli
Quando
il messaggio si rivolge
al destinata­
rio usando
il suo nome, clicca il 56% di chi ha ricevuto l’email
e il 38%
di chi è stato raggiunto
via Facebook. E ciò malgra­
do ben il 78% degli utenti
di Internet sappia che seguire un collegamento sbagliato
può portare
a conseguen­
ze negative
Molte aziende fanno ricorso a simulazioni di attacchi
di phishing per analizzare le reazioni
del personale
Poi, ha registrato i clic. Quando il
messaggio si rivolgeva al destinatario usando il suo nome, il
56% di chi aveva ricevuto l’email
e il 38% di chi era stato raggiunto
via Facebook cliccava. E questo
malgrado ben il 78% avesse consapevolezza del fatto che seguire
un collegamento sbagliato potesse portare a conseguenze negative. La ragione principale dietro a
quei clic, successivamente addotta dai giovani dell’esperimento, è molto banale: la curiosità.
Benenson è piuttosto scettica
sul fatto che i consigli di sicurezza informatica possano incidere
sui comportamenti. «Anche perché è facile dire: non cliccate su
link e allegati. Ma che impatto ha
questo monito sulla vita lavorativa delle persone? Specie chi deve
gestire flussi di fatture, ricevute
e via dicendo che arrivano via
mail?», di domanda Benenson.
Negli ultimi tempi sono cresciute le realtà - come PhishMe,
Phisd o Wombat - che offrono
delle simulazioni di phishing alle
aziende, in modo da testare il livello di consapevolezza dei propri dipendenti. In Italia c’è ancora un po’ di ritrosia su questo genere di analisi proattiva. «Al momento le aziende hanno ancora
timori al riguardo, anche perché
non sanno bene come gestire
eventuali dubbi o ricadute sulla
privacy», commenta Denis Frati,
Ceo di D3Lab. Alla Carel, azienda manifatturiera di Padova,
hanno messo in piedi un gruppo
dedicato alle frodi informatiche.
Hanno mappato i processi di
lavoro, i flussi delle mail e tutti i
domini del gruppo, individuando
le criticità. Hanno migliorato i sistemi di sicurezza interni, ad
esempio fornendo ai dipendenti
con ruoli più esposti chiavette
per fare l’autenticazione a due
fattori (un po’ come quelle che
danno le banche). E infine hanno
iniziato una serie di attività di
formazione interna, comprese
simulazioni di attacchi phishing
per analizzare le reazioni del
personale.
[CAR. FRE.]
c BY NC ND ALCUNI DIRITTI RISERVATI