Cyber security, come difendersi dentro la rete

C’è Cristina, quarantenne bolognese, che sta provando a pagare una valigia in un negozio ma scopre che la carta di credito è vuota. Il conto a cui è «ancorata» la carta era più che attivo un attimo prima. Chiama il numero verde e le dicono che qualcosa non va. Il back office della banca le blocca tutto, le chiedono di recarsi in sede. Il suo conto è stato svuotato di 10 mila euro.

E c’è E.P., sessantenne maestro, che riceve dalla banca una mail con un allegato per pagare una cartella esattoriale, inserisce il codice di accesso personale ma il pc si blocca per qualche minuto. Così spegne e riaccende. In pochi secondi sono partiti due bonifici. Non era la banca ma un hacker. Non è stato possibile revocare i versamenti. Ha perso in un colpo 8 mila euro. Soldi volatilizzati e che nessuno gli risarcirà.

«Succede ogni giorno» racconta Carlo Garofolini, presidente dell’Associazione difesa consumatori Adico. «Anni fa ne è capitata una incredibile. Un uomo vuole comprare online un camper. Il venditore viene chiamato al telefono ma per affrontare il viaggio vuole almeno vedere una fotocopia dell’assegno di pagamento. Viene inviata. L’assegno resta in mano al compratore. Per motivi di sicurezza, è corretto procedere così. Ricevuta la fotocopia, il venditore sparisce. Il compratore ha un sospetto e denuncia il fatto a polizia e banca. Ma è troppo tardi: ha perso 34 mila euro».

Benvenuti nel feroce mondo degli hacker bancari, di istituti assicurativi e finanziari. Nessuno è al sicuro. È una realtà a cui tutti siamo esposti, fatto di tali falle di sistema da rendere inadeguati i pur ingenti investimenti in sicurezza degli istituti.

«Le banche scoprono che l’utente è stato truffato solo quando il conto corrente è a zero» racconta un hacker che si firma MD. «Vale un unico principio, come spiegavano i ladruncoli di biciclette di una volta aprendo i lucchetti: ogni cosa che si chiude si può sempre riaprire».

Lo scorso marzo a San Francisco è stato presentato alla RSA Security, una delle principali società statunitensi di sicurezza informatica, il rapporto Carbon Black sui principali attacchi alle aziende finanziarie con tecniche di phishing, malware e trojan bancari. Sistemi per i quali è difficilissimo ottenere un risarcimento. Gli hacker come appaiono, così scompaiono, non lasciando traccia del proprio passaggio sul web. Secondo il rapporto, il 67 per cento delle istituzioni finanziarie intervistate ha segnalato un aumento degli attacchi informatici negli ultimi 12 mesi, mentre il 26 per cento ha dichiarato di essere stata vittima di un attacco distruttivo che ha avuto come obiettivo la cancellazione totale dei dati.

Le imprese rischiano ogni giorno di vedersi massacrare al suolo perché in molti casi i dati degli utenti sono diventati il loro principale valore aggiunto. Quelle europee sono le più esposte per un gap informatico del Vecchio continente rispetto alle Tigri asiatiche e agli Usa. Secondo il progetto CyRim (Cyber risk management), iniziativa pubblico-privata con sede a Singapore, un attacco ransomware globale potrebbe costare alle imprese europee fino a 76 miliardi di dollari. Un «ransomware» è un tipo di aggressione che infetta i dispositivi limitandone l’accesso e chiedendo un riscatto (ransom in inglese) per ripristinare la condizione iniziali.

Secondo il Lloyd’s City risk index, gli attacchi cyber sono la seconda maggiore minaccia in Europa, non a caso lo studio rivela che nel Vecchio continente c’è il numero più elevato di società colpite da attacchi cyber. «E uno Stato canaglia, un dipendente insoddisfatto o un’azienda concorrente si trovano sempre» racconta MD. Sono questi i terreni fertili per fare soldi, infiltrarsi o anche solo per offrire i propri servigi. La maggior parte delle persone non prende in considerazione i protocolli minimi di sicurezza e si accorge di essere stata «violata» solo quando è troppo tardi e il conto è sparito.

Fare sicurezza costa e dà fastidio, fa perdere tempo. In pochi sembrano in grado di difenderci dagli attacchi. I back office degli istituti di credito usano sistemi di intelligenza artificiali per supervisionare le anomalie nei conti, ma la maggioranza dei servizi di sicurezza offerti sono a pagamento. Paghiamo anche l’aria, persino gli sms che avvertono di una spesa atipica o lanciano segnali di allerta. E l’utente è poco consapevole dell’importanza della sicurezza digitale.

Gli smartphone, per esempio, dovrebbero avere istallati degli antivirus ma nessuno lo fa. Un quadro drammatico che diventa ancora più minaccioso oggi che gli istituti di credito cercano di rendere agli utenti più facile l’accesso online. Così viene semplificata ogni apertura e controllo dei conti, fatti con applicazioni o usando sms generati dagli smartphone o con l’utilizzo di impronte digitali e profili biometrici. «Noi cerchiamo di inserirci dentro i cellulari o negli altri device (nei dispositivi elettronici, ndr) per rubare i dati perché tutto ciò che è on line è vulnerabile» spiega MD. Il criminale informatico cerca di intercettare l’applicazione per impossessarsi di ciò che facciamo sul telefono. «Anche i token per la sicurezza (le classiche chiavette che si usano sempre meno, ndr)» dice MD «erano più sicuri perché operavano su doppie autenticazioni e non sull’utilizzo di un unico device. Se accentri su un unico sistema è tutto più semplice da hackerare».

Per accedere al cellulare è comodissimo usare l’impronta digitale, così come aprire la porta della propria banca o farsi scannerizzare l’iride per accedere alla propria cassetta di sicurezza. Negli ultimi anni sono letteralmente esplosi lettori del genere, principalmente utilizzati per accedere agli smartphone. Ma siamo davvero sicuri che una parte del nostro corpo, che non possiamo modificare o cancellare come una password scritta, ed esposta a ogni tipo di riproduzione, sia il modo migliore per difendere la nostra sicurezza?

Da qualche tempo, sui mercati criminali si vendono proprio impronte digitali e scansioni dell’iride, raccolti per profili digitali memorizzati in archivi e per migliaia e migliaia di utenti. L’Est Europa è una tana ideale per i gruppi di cyber criminali organizzati per trafugare dati, vista anche la bassa capacità repressiva di quegli Stati. Poi con un’identità digitale si può fare di tutto. Anche presentarsi in banca con una carta d’identità o una patente perfettamente falsificata e svuotare il conto di chiunque. I cassieri agli sportelli non ci conoscono, non ci hanno mai visto in faccia. Sarà poi difficile recuperare il denaro sottratto.

Negli ultimi anni banche, assicurazioni e istituti finanziari hanno investito ingenti capitali in sicurezza, alzando gli standard, ma nella maggioranza dei casi riescono a intervenire solo quando il furto è già consumato. In questa epidemia difficile da contrastare è esploso il caso di un’importante azienda del Nord Italia, a gestione familiare, che si è rivolta a esperti di sicurezza perché è stata attaccata da un virus ransomware. Tutti i dati dei clienti, oltre quelli dei familiari, erano digitalizzati. Hanno condiviso in archivio le specifiche personali, anagrafiche e sanitarie. L’azienda è finita ostaggio di un gruppo di criminali informatici che ha criptato, in modo profondo, i loro archivi. E sembra tardi per intervenire. L’azienda è sola. I cyber criminali chiedono un riscatto in bitcoin (criptovaluta difficilmente tracciabile) per una cifra tra 250 mila e 500 mila euro. Ora la famiglia è di fronte a un dilemma: denunciare e rischiare di perdere tutto comunicandolo anche al Garante per la privacy, o trattare con gli hacker senza rendere pubbliche le proprie falle?

Gli esperti in sicurezza hanno spiegato che nessun professionista, neanche la Nasa, può recuperare i loro dati così criptati. L’unica strada sarebbe negoziare, ma facendo attenzione ai pericoli che si corrono e ricordandosi di non muovere ingenti quantità di denaro che attrarrebbero troppe attenzioni. Perché una cosa è la realtà, un’altra i sistemi di sicurezza che qualcuno aveva disegnato per loro. Sulla carta.

© riproduzione riservata