Hai installato l’antivirus, messo dei filtri alla posta elettronica, aggiornato il sistema operativo ma sei lo stesso diventato preda di un cybercriminale. Forse sei stato convinto ad usare un’app o ad accedere a un sito truffaldino, e così qualcuno ha preso il controllo del tuo account, qualcuno che non vuole infettarti il computer o rubarti il numero della carta di credito ma solo introdursi all’interno della tua organizzazione, e rimanerci il più a lungo possibile. E l’unica cosa che gli preme è evitare di essere individuato. Sarebbe un bel guaio, visto che gli attacchi distruttivi e le frodi prima o poi finiscono sui giornali mentre un account compromesso lo rimane per mesi o anni.
A dispetto del fatto che stiamo attenti a non cliccare su allegati sospetti e che usiamo buoni antivirus per la posta elettronica, gli attaccanti usano tecniche sempre più sofisticate e gli attacchi sono oggi così ingegnosi che queste attenzioni non bastano più, anche perché molte organizzazioni abbandonano l’e-mail per coordinarsi e gli preferiscono Slack e altre piattaforme per la collaborazione interna. Chi non cliccherebbe sul messaggio di un utente “fidato” nella chat interna dell’ufficio? Ma questi strumenti non hanno in genere nessuna protezione da phishing e malware.
E poi, pensiamoci. Sebbene i messaggi di phishing siano il modo più comune per i malfattori di accedere a un account, non sono l’unico strumento. I dataleak degli ultimi mesi hanno creato un mercato fiorente per scambiarsi o vendere password rubate. Anche la violazione di un database che non include nome utente e password email, potrebbe offrire informazioni personali (indirizzo, scuola, nome da nubile della madre) che consentono agli aggressori di ottenere un accesso temporaneo richiedendo una modifica della password.
Di fronte a un dataleak si consiglia sempre di cambiare la password se il tuo account è stato compromesso ma il primo passo nella maggior parte degli attacchi include la creazione di una “backdoor” secondaria che non utilizza l’accesso principale. Ad esempio, gli attaccanti possono usare applicazioni cloud malevole e token, profili di accesso permanenti e non revocati, o regole di posta elettronica per inoltrare e reindirizzare i messaggi dell’account violato senza la necessità di accedervi nuovamente.
Questo è un grosso pericolo perché oggi gli hacker pagati dagli stati non solo attaccano le infrastrutture critiche, rubano tecnologia militare e seminano discordia con notizie false ma attaccano obiettivi “civili” come scuole, università, assicurazioni e ospedali, attraverso i loro dipendenti.
L’obiettivo degli attaccanti è utilizzare i dati raccolti come punto di partenza per la raccolta di informazioni ancora più importanti: un progetto governativo, una fusione aziendale, un nuovo prodotto commerciale. E attaccano i singoli perché è più facile di hackerare un’università o un’agenzia governativa. Un account compromesso oggi potrà essere usato domani per raccogliere informazioni strategiche in campo economico, militare e di sicurezza nazionale.
Perciò è tanto importante proteggere i dati privati e i database che li contengono e sviluppare una cultura della sicurezza trasversale a ogni settore della società.
Si è detto tante volte che l’unico computer sicuro è un computer spento. Forse per questo al Ministero dell’Ambiente hanno tenuto offline il proprio sito dopo l’ultima incursione di Anonymous che durante l’operazione GreenRights avrebbe sottratto importanti dati su TAP e Aeroporto di Firenze. Non ci sembra la strada giusta.