Le nuove truffe informatiche nell’era del coronavirus. Il vero risultato di molti degli attacchi che subiamo oggi si vedrà nei prossimi mesi, quando i pirati decideranno di monetizzare il lavoro svolto. l virus Sars-CoV-2, conosciuto in questo periodo come “coronavirus”, ha scatenato un evento di portata mondiale che sta avendo risvolti importanti sulla vita quotidiana e ha costretto milioni di persone a cambiare drasticamente le proprie abitudini, ritrovandosi a doversi arrangiare per molte attività una volta banali. Purtroppo, l’arte di “arrangiarsi” è nemica giurata della sicurezza informatica e i criminali informatici non vedono l’ora di sfruttare ogni evento per massimizzare i proventi.
Come abbiamo visto anche in passato con il verificarsi di eventi di grande portata, tipo l’attacco alle Torri Gemelle o l’epidemia di Ebola, la prima opportunità che hanno cercato di sfruttare è stata quella della fame di informazione: le caselle di posta sono state intasate di false e-mail che promettono cure, riportano annunci allarmanti o recano falsi messaggi da personalità del mondo della sanità. Tutti contengono un allegato o un link in grado di installare software spia, ransomware o programmi di controllo remoto. Una testa di ponte che dà accesso ai nostri sistemi di pagamento, ai nostri documenti e alle risorse che usiamo per lavoro.
Non è un caso che un altro tema caldissimo sia quello del telelavoro. Moltissime aziende hanno dovuto spostare l’operatività dei loro dipendenti dall’ufficio a casa, ma questo non è un processo così semplice da compiere in sicurezza.
Le difese informatiche, infatti, sono ritagliate sulla struttura organizzativa dell’azienda e se c’è una modifica, questa deve essere seguita da un adattamento dei software di sicurezza. Con un cambiamento così grande e improvviso, sono sicuramente rimaste delle falle.
“Il singolo utente – dice Fabio Panada, Senior Security Consultant di Cisco Italia – è sempre l’elemento più esposto e i criminali cercheranno di colpirlo per trarne quanto più vantaggio possibile. Molti degli attacchi mirano a rubare le credenziali che usa per accedere alle risorse aziendali e questo significa che il vero risultato di molti degli attacchi che subiamo oggi si vedrà nei prossimi mesi, quando i pirati decideranno di monetizzare il lavoro svolto”.
Ma cosa succederà nei prossimi mesi? L’ipotesi che l’emergenza sia risolvibile in poche settimane sembra remota e le restrizioni resteranno probabilmente in vigore ancora a lungo.
“Nei prossimi mesi” – risponde Panada – “i criminali si adatteranno ai cambiamenti che caratterizzeranno la nostra società e prenderanno di mira quei servizi che saranno diventati importanti nel frattempo. Una anticipazione la vediamo già oggi: in Croazia, per esempio, è stata attaccata l’infrastruttura che permette le lezioni scolastiche a distanza. Un evento che in un altro momento non sarebbe stato neanche preso in considerazione”.
Un altro assaggio lo abbiamo visto in Germania. La sera del 17 marzo, un attacco DDOS ha colpito il servizio di consegna di cibo a domicilio Lieferando. I criminali chiedevano il pagamento di due Bitcoin per porre fine alla minaccia. Come risultato, molti ordini non sono stati eseguiti e una parte di chi aveva ordinato da mangiare ha dovuto andare a prendere il cibo di persona, limitando l’efficacia delle misure restrittive.
Anche il settore sanitario, ovviamente, finirà nel mirino più di quanto non lo sia oggi. Anche se alcuni gruppi di criminali hanno dichiarato che porranno un freno alle loro iniziative contro ospedali e istituzioni sanitarie, molti altri stanno continuando imperterriti.
“In Italia,” – precisa Panada – “finora siamo stati più fortunati da questo punto di vista. Di solito, gli attacchi portati agli ospedali sono ‘casuali’ e non mirati. Ma in futuro, un gruppo senza scrupoli potrebbe decidere di sfruttare la situazione di emergenza, causando anche gravi perdite”.
È importante, quindi, che si pongano le basi per rendere sicura la nostra vita “più casalinga del solito”. Innanzitutto, serve formazione. Secondo uno studio di Proofpoint, solo il 61% conosce il termine phishing, mentre solo il 31% ha familiarità con il ransomware e la situazione peggiora quando si parla di minacce moderne: solo il 30% conosce la parola smishing e il 25% il vishing. Sorprendentemente, i giovani sembrano essere ancora meno consci delle problematiche di sicurezza rispetto a chi ha qualche anno in più.
“Il modo migliore per evitare problemi nei prossimi mesi” – raccomanda Panada – “è quello di preparare bene la struttura di sicurezza anche in casa. Non farsi tentare dalla pirateria per accedere a software non autorizzato, chiedere ai propri datori di lavoro di fornire gli strumenti giusti e ricordare sempre di aggiornare sistema operativo e software”.
I criminali con una coscienza e quelli senza
In un articolo di questa settimana apparso su Bleeping computer, il giornalista Laurance Abrams ha chiesto ai rappresentanti dei gruppi criminali che gestiscono i ransomware più diffusi se avrebbero fatto qualcosa per limitare le loro azioni in occasione dell’esplosione di coronavirus. Tra i contattati ci sono i gestori dei ransomware Maze, DoppelPaymer, Ryuk, Sodinokibi/REvil, PwndLocker, e Ako. Hanno risposto solo in due. Il gruppo DoppelPaymer ha fatto sapere che loro cercano sempre di evitare ospedali, case di cura e tutto quello che è connesso con la risposta a emergenze. Quando capita di colpirli, è solo per problemi di errata configurazione delle loro reti e se gli criptano dei dati, forniscono gratis il necessario al loro ripristino. I gestori del ransomware Maze hanno dichiarato che invece abbandoneranno ogni attività contro gli ospedali nel periodo del coronavirus, almeno finché la situazione non sarà stabilizzata. Mentre il DopplePaymer sembra aver tenuto finora fede alla condotta dichiara, il gruppo Maze ha portato a termine alcune operazioni contro bersagli del settore sanitario tra cui il più grande ospedale di Brno e una clinica in Texas.
Phishing sempre in prima linea, soprattutto con Covid-19
Il metodo più usato dai criminali per cercare di diffondere i loro malware resta sempre quello del phishing: false e-mail che cercano di convincere gli utenti a cliccare su file infetti o a fornire informazioni riservate su server non sicuri. Questo tipo di attacco segue molto da vicino l’attualità e una conferma viene da Libraesva, società italiana specializzata nella sicurezza della posta elettronica. Recentemente, infatti, hanno rilasciato un interessante documento in cui si vede come il tema del Coronavirus sia diventato man mano più importante nei messaggi scambiati e come i criminiali abbiano cercato di approfittarne. Nell’ultima settimana, tra i messaggi “legittimi” (cioè senza malware) che circolavano in rete, uno su sei parlava in un modo o in un altro.
I nodi dello smartworking
Come metto al sicuro il telelavoro e rimedio ai problemi di questi giorni. I veri effetti degli attacchi di questi giorni verranno visti dalle aziende solo tra qualche settimana. Abbiamo quindi un po’ di tempo per rimediare alle eventuali intrusioni di questi giorni. Innanzitutto, bisogna mettere in sicurezza i terminali remoti, assegnando ai dipendenti dei pc dedicati al lavoro, ben protetti, e non lasciandogli usare quelli personali. Poi bisogna fare in modo da avere sempre il software delle postazioni remote ben aggiornato, come deve avvenire anche in azienda. Il terzo passo è quello di fornire delle VPN o altri punti di connessione sicura ai dipendenti che devono accedere alle risorse aziendali mentre sono al lavoro da casa e, infine, attivare l’autenticazione a due fattori per tutti i servizi che la prevedono, spingendo i dipendenti a farlo anche per gli account personali. Una ulteriore, saggia, precauzione è quella di prevedere un sistema di backup efficace e ‘aggressivo’ anche per i computer in uso ai dipendenti. Se qualcosa va storto, da un punto di vista hardware o software, devono essere in grado di tornare operativi in fretta e senza il vostro aiuto diretto.
Lascia un commento