Nel 2010, l’FBI ha collaborato a un’operazione a livello mondiale volta a bloccare un atto criminoso che aveva sottratto circa 70 milioni di dollari a banche statunitensi. L’arma scelta dalla gang non era una mitragliatrice o un set di strumenti da scassinatore, si è invece affidata al Trojan ZeuS per accedere illegalmente ai conti correnti dei clienti.
Questo episodio in realtà evidenzia un trend che si sta verificando nel mondo della sicurezza. Sono ormai lontani i giorni in cui gli hacker operavano per puro divertimento: nel mondo del cyber crimine odierno la motivazione risiede nella possibilità di acquisire numeri di carte di credito, credenziali, login per siti di home banking e altre informazioni che possono essere trasformate in denaro sonante.
In questo mercato di informazioni ottenute in modo illecito, è nato un mix di indipendenti e gruppi organizzati guidati dalla fame di denaro e, in alcuni casi, da motivazioni politiche. Sia che sia guidato da hacktivist o cyber gang il cui obiettivo sono le aziende di brokeraggio, due cose sono certe: questi gruppi hanno modificato la realtà della sicurezza per le aziende, e questa consapevolezza è fondamentale per combatterli.
Comprendere la struttura di questi gruppi offre agli esperti di security la possibilità di disturbarli intercettando diversi link nella catena dell’attività degli hacker. Queste azioni possono comprendere dal monitoraggio dei siti in cui vengono vendute le informazioni sulle carte di credito al controllo di Internet Service Provider (ISP) noti per la loro ‘amicizia’ con gruppi criminali.
E’ importante ricordare che gli hacker si presentano in tutte le dimensioni e misure. Alcuni addirittura svolgono operazioni che ci si aspetterebbe di vedere effettuate da aziende legittime. Altri dispongono di membri con competenze di marketing – qui le minacce e le informazioni possono essere facilmente propagate via siti di social media e forum in cui possono promuovere botnet e malware.
Nella maggior parte dei casi, questi diversi team collaborano in maniera indipendente, con figure centrali che sovrintendono alle attività. Ma non tutti i cyber-criminali sono parte di un gruppo: alcuni stanno da soli e affittano porzioni di botnet che hanno assemblato, altri guadagnano facendo quello in cui sono bravi ossia scoprire nuove vulnerabilità software e realizzare strumenti offensivi per altri hacker. Queste vulnerabilità, note nel settore della Sicurezza come zero-day, potrebbero facilmente rendere ricchi coloro che le individuano e le sfruttano. A seconda del software e della sua affidabilità, questi exploit possono fruttare dai 10.000 ai 500.000 dollari sul mercato nero.
Sia gli zero-day che altri exploit spesso vengono inseriti in toolkit di attacco disponibili su forum nel web anche a soli 40 dollari, con versioni più sofisticate che possono arrivare a diverse migliaia di dollari. Questi kit tipicamente si affidano al fatto che molti utenti non dispongono delle più recenti versioni del software, e si avvalgono di note vulnerabilità piuttosto che di zero-day. In alcuni casi, i criminali compromettono siti legittimi e tentano di ridirigere gli utenti verso siti malevoli che integrano l’exploit kit.
In generale, l’obiettivo degli assalitori rimangono i dati di valore. Oggi, tuttavia, i dati delle carte di credito condividono lo spazio nei negozi virtuali degli hacker con i login di Facebook e le credenziali email. Questo è dovuto in parte alle banche che utilizzano diverse forme di autenticazione per verificare le transazioni online, il che impone agli hacker di disporre di maggiori informazioni al fine di compromettere un conto. I cybercriminali hanno quindi fatto evolvere il loro malware, anche con moduli che cercano informazioni quali il numero IMEI (International Mobile Equipment Identity) del cellulare di un individuo di modo che sia possibile contattare il service provider dell’utente e ottenere una nuova SIM (Subscriber Identity Module). Con la SIM card, il criminale può intercettare le comunicazioni tra la banca e il cliente intese a prevenire le frodi.
Non è una sorpresa che maggiori sono le informazioni in mano ai criminali, più mirato sarà l’attacco, e la probabilità di successo. Per esempio, si presta maggiore attenzione a un messaggio indirizzato a noi stessi che non a uno che riporta “all’attenzione di …”. Questa tecnica si chiama spear phishing, ed è correlata ad alcuni dei più gravi breach recenti. La lotta al cybercrime, in parte, richiede la formazione degli utenti circa alcuni dei segnali per identificare mail sospette, a partire da messaggi con richieste inusuali di informazioni o parole chiave che invitano gli utenti a scaricare allegati potenzialmente pericolosi.
Poiché gli hacker sono focalizzati sui dati, è fondamentale che anche le imprese vi si focalizzino. Le aziende devono identificare i dati critici e salvaguardarli in modo appropriato, con firewall, cifratura e tecnologie di monitoraggio. Prendendo in prestito una citazione del noto stratega militare cinese Sun Tzu: “Se non conosci né te stesso né il nemico, sarai sempre in pericolo”.
