Frequenti casi di sottrazione illecita di dati

Ogni giorno i media riportano notizie che riguardano data breach e furto di credenziali o dati sensibili che finiscono nel Dark Web.

La raccolta e la vendita di informazioni personali su Internet è talmente cresciuta nell’ultimo decennio, da diventare un’industria a sé stante.

Ricordiamo alcuni casi di sottrazione illecita di dati in Italia:  

• 2.500.000 profili clienti sottratti a Ho Mobile (operatore telefonico di Vodafone Italia) nel 2020;
• 165.000 account sottratti dal portale di trasporto pubblico locale Unico Campania nel 2020;
• 42.000 profili sottratti all’Ordine degli Avvocati di Roma (con relativi messaggi email) nel 2019;
• 14.600 profili sottratti alla SIAE nel 2018.

Ricordiamo, poi, altri casi di sottrazione dati nel resto del mondo:

• 500.000.000 (o più) account personali sottratti a Facebook nel 2021;
• 5.000.000 di record personali sottratti al fisco bulgaro nel 2019;
• 780.000 record di clienti sottratti a Sephora nel 2017;  
• 164.000.000 account LinkedIn violati nel 2012 e messi in vendita nel 2016;  
• 4.500.000 account sottratti a Snapchat nel 2014;  
• 152.000.000 di account Adobe violati nel 2013;  
• 68.000.000 di account Dropbox violati nel 2012;  

E l’elenco potrebbe proseguire a lungo.  

Tutte queste informazioni non sono destinate a restare chiuse nel computer di chi le ha raccolte, ma prima o poi finiscono in vendita sul mercato nero del cybercrimine che si trova all’interno del famigerato Dark Web: un vero e proprio web alternativo a quello che sei abituato a navigare, basato su tecnologie orientate alla privacy e inaccessibile ai browser tradizionali come Google Chrome o Mozilla Firefox. 

 

Cosa è il Dark Web?

Il Dark Web è un vero e proprio mercato nero o illecito dei cybercriminali, un universo nascosto all’interno del “Deep Web”, un sottoinsieme di Internet non accessibile mediante i normali motori di ricerca.

Secondo le stime, il Dark Web risulta essere 550 volte più grande rispetto al web in cui navighiamo tutti.

Dal momento che è possibile muoversi al suo interno in modo del tutto anonimo, il Dark Web è il contenitore di un’enormità di dati rubati e teatro di attività illecite.

Tra le varie attività illecite, frequenti sono la compravendita di documenti top secret, di documenti falsi, di password e credenziali di accesso, di armi e droga, di numeri di carte di credito.

Anche le transazioni commerciali restano anonime, dato che per i pagamenti vengono utilizzate criptovalute (come Bitcoin), che garantiscono l’anonimato degli utilizzatori mediante servizi di anonimizzazione. Servizi acquistabili sempre sul Dark Web, che spezzettano la moneta digitale in piccolissimi importi, in una lunga serie di transazioni: una sorta di “frullatore” il cui scopo è quello di far perdere le tracce del denaro.

 

Cosa accadrebbe se nel Dark Web fossero in vendita tue credenziali o altri dati personali?

Sono lontanissimi i tempi in cui potevi concederti il lusso di ignorare le questioni legate a sicurezza informatica e disseminazione delle informazioni personali “perché tanto sono problemi che riguardano le aziende grandi, ricche e famose”.  

Il rischio è ormai comune a tutti, anche perché il cybercrimine si avvale in gran parte di processi automatizzati che non guardano in faccia nessuno: dalla multinazionale al pensionato, oggi siamo tutti potenziali bersagli.  

Una volta che i tuoi dati vengono messi in vendita nel Dark Web, le informazioni sono rapidamente copiate e distribuite (rivendute o scambiate) a un grande numero di cybercriminali, entro un intervallo di tempo molto breve.

Ciò significa che la presenza dei tuoi dati nel Dark Web potrà essere sfruttata da più di un criminale, ciascuno per i propri scopi.  

Come nella vita reale, anche qui la varietà di truffe che possono essere perpetrate online è vastissima e in costante evoluzione. In genere però lo schema sottostante tende a essere sempre lo stesso: acquisire le informazioni digitali relative a una persona e assumerne l’identità per colpirla direttamente oppure per risultare convincenti agli occhi di una terza vittima.  

Quest’ultimo caso è molto in auge negli ultimi tempi, grazie alla diffusione del cosiddetto spear phishing, una tecnica che si avvale di messaggi email accuratamente personalizzati, per spingere qualcuno a compiere una determinata azione.

In genere si tratta di fare click su un allegato o un link, un’azione che scatena l’installazione di codice pericoloso (il famigerato malware) sul computer o dispositivo del malcapitato.  

Lo spear phishing registra percentuali di successo maggiori quando il messaggio che lo accompagna appare legittimo agli occhi del destinatario. Le informazioni contenute devono essere realistiche o credibili, e la mail deve preferibilmente provenire da un indirizzo conosciuto ed essere firmata da una conoscenza  effettiva.

Altra truffa online molto diffusa, anche grazie alle informazioni presenti nel Dark Web, è il phishing.

Senza il phishing non avremmo probabilmente assistito alla capillare diffusione del fenomeno del ransomware, un particolare tipo di malware che crittografa dati e documenti presenti sul computer colpito (a volte, sfruttando le reti interne, su tutti i computer di un’organizzazione) rendendoli di fatto inutilizzabili fintanto che non venga pagato un riscatto, generalmente in Bitcoin.  

Avrai letto molte volte sui giornali i casi di aziende, scuole o enti pubblici le cui attività sono state bloccate da non meglio precisati “attacchi informatici”.  

Ebbene, nella maggior parte dei casi si tratta esattamente di attacchi ransomware, che tra l’altro hanno spesso un carattere definitivo, dal momento che non sempre i cybercriminali forniscono la chiave di decifrazione una volta versato il riscatto – senza contare che agli enti pubblici e a molte aziende è proibito, per legge o per policy interna, pagare qualsiasi somma in casi come questi.  

Una variante maggiormente sofisticata del phishing, realizzata su misura della vittima specifica, è poi la  cosiddetta Email del boss o BEC, Business Email Compromise: in questo caso si prende di mira una persona che ricopre un determinato ruolo all’interno di un’azienda, per convincerla a effettuare un bonifico a un fornitore fasullo oppure a modificare l’IBAN di un beneficiario legittimo.  

Una truffa del genere, che richiede una preparazione degna di un servizio di intelligence, si articola in un periodo di tempo sufficiente per imparare le abitudini della vittima, risalire alla sua rete di contatti e frequentazioni e, magari, assumere anche il controllo dei profili social o delle caselle email degli interlocutori ritenuti maggiormente funzionali al successo dell’iniziativa, allo scopo di rendere più credibile la storia che viene propinata. 

Tanto lavoro viene fatto pagare a caro prezzo: gli importi sottratti sono solitamente elevati (nel 2019 il gruppo italiano Maire Tecnimont è stato truffato di 17 milioni di euro, per fare un esempio) e, addirittura, potrebbero essere condotte azioni di spionaggio industriale o di sabotaggio una tantum o ripetute nel tempo.

 

Il ruolo attivo delle vittime nella diffusione delle truffe online (o cyber truffe)

L’aumento del ricorso a cyber-truffe di ingegneria sociale, è proprio la conseguenza del rafforzamento tecnico contro virus e attacchi algoritmici, cui sono state generalmente sottoposte in questi anni le infrastrutture IT.

Abbiamo oggi un’informatica più solida e affidabile dal punto di vista tecnico,  il che ha costretto i criminali a trovare un nuovo anello debole della catena – l’utente, la persona.

Banche, enti pubblici, operatori telefonici e grandi organizzazioni in genere, stanno già modificando i propri processi operativi in modo da rendere più difficile che la disattenzione di un dipendente possa creare una vulnerabilità interna o nei confronti di un cliente.

Le piccole aziende e i privati sono invece ancora in grande ritardo, in termini sia di sensibilizzazione che di contrasto al problema.  

È qui che tu stesso puoi iniziare a fare la differenza, innanzitutto informandoti (il fatto che tu stia leggendo questo articolo, è già un passo utile) e poi, responsabilizzando le persone che ti sono vicine, sia nella vita privata che in quella lavorativa. 

Per evitare truffe online, segui e fai seguire queste semplici regole.

• non fidarti mai di email, sms, messaggi WhatsApp e simili: non sempre chi ti contatta è davvero chi dice di essere. Lo stesso vale per i numeri telefonici di chi ti chiama, che possono essere facilmente falsificati;  
• non aprire mai allegati e non seguire link che ti vengono proposti in un messaggio, se non ne hai prima verificato la legittimità;  
• chiedi sempre conferma, usando un canale diverso da quello del contatto iniziale: ad esempio, manda una email per verificare un SMS o un messaggio WhatsApp. Se ti contattano da un numero mobile, richiama al numero fisso;  
• sospetta in modo particolare in caso di richieste di denaro, di dati personali (tuoi o di altri), di numeri di carte di credito o di qualunque richiesta diversa dal consueto;  
• mai, mai, mai fornire password e credenziali a chiunque, qualunque sia il motivo;  
• non esistono sconosciuti che fanno regali. Se ti contattano perché vogliono donarti soldi, perché hai vinto concorsi a cui non hai mai partecipato, perché sei il fortunato milionesimo visitatore di un sito o perché c’è un superpremio che ti aspetta per aver risposto esattamente a tre domande stupide, non crederci, è una truffa;  
• infine, la regola d’oro: se è troppo bello per essere vero, quasi certamente non lo è.

 

Come prevenire ed evitare che i tuoi dati circolino sul Dark Web?

Ecco alcune soluzioni per prevenire ed evitare che i tuoi dati circolino sul Dark Web.

Passo #1 – Consapevolezza della situazione  

Per prima cosa dovresti andare a controllare se i tuoi dati – e quali – stiano già circolando nel Dark Web.

A questo scopo ti consigliamo di contattarci. Disponiamo dei migliori sistemi di monitoraggio del Dark Web, in grado di monitorare costantemente cosa accade nel Dark Web e di avvertirti prontamente nel caso in cui le tue credenziali dovessero comparirvi in qualche modo.  

Questi sistemi di monitoraggio, possono essere molto utili per:

• scongiurare un disastro, intercettando il losco traffico di dati sul Dark Web, prima che possa arrecare danni alla tua azienda;
• proporti la migliore soluzione di cybersecurity, per evitare che in futuro possano esserci nuove violazioni di dati nella tua azienda.

Passo #2 – Aggiornamento e formazione  

Come abbiamo detto, l’anello più debole della catena “sicurezza informatica” è l’utente, la persona umana.

Per questo è importante che tu e chi lavora nella tua organizzazione siate sempre informati e formati sulle tecniche più recenti e sulle tipologie di attacchi in atto.

Tieni alta l’attenzione di chi ti circonda, magari invitando degli esperti a tenere degli incontri periodici di aggiornamento: il tema si presta bene a conversazioni vivaci, costellate di interessanti aneddoti ed esempi concreti. Fastlane potrà darti una mano al riguardo.  

E per verificare che tutti abbiano memorizzato la formazione, ti consigliamo di organizzare delle campagne di spear phishing simulato. Anche in questo, Fastlane è a tua disposizione.  

Si tratta di ideare e diffondere all’interno della tua azienda, delle finte mail di phishing.

Quanti ci sono cascati? Quanti hanno ignorato il messaggio? Quanti lo hanno segnalato al reparto IT e ai colleghi?

Mettere alla prova l’organizzazione è il modo migliore per verificarne concretamente l’effettiva preparazione e, nel caso, adottare le opportune contromisure.

Passo #3 – Procedure contro il cybercrime

Restare aggiornati sulle tendenze cybercriminali ti aiuterà anche a capire quali siano i punti deboli sui quali spingono i truffatori.

Per rendere più solida e resistente la tua azienda, puoi definire qualche semplice procedura allo scopo di evitare che la disattenzione di un singolo possa mettere a repentaglio l’azienda e i suoi asset.  

Considera per esempio la variazione degli IBAN, una situazione che accade legittimamente quando un’azienda cambia banca o quando avviene una fusione tra istituti di credito – ma che viene cavalcata a fini illeciti dagli specialisti in truffe BEC.

In questo caso puoi definire due procedure:  

• protezione degli incassi: aggiungi nelle tue comunicazioni formali ai clienti (fatture comprese) una dicitura standard che li inviti a contattarti telefonicamente qualora ricevessero una richiesta di modificare il tuo IBAN;  
• protezione degli esborsi: stabilisci la prassi di verificare telefonicamente o di persona le richieste di modifica dell’IBAN che ricevi dai tuoi fornitori. Tieni traccia delle persone coinvolte dalle verifiche (sia dal tuo lato, che da quello del fornitore).  

Ancora, predisponi degli accorgimenti formali per gestire richieste insolite o sensibili provenienti da dirigenti o dipendenti che si trovano in viaggio per una trasferta di lavoro o una vacanza.  

I cybercriminali sono soliti seguire i profili social dei loro potenziali obiettivi, per conoscerne gli spostamenti e approfittare della distanza fisica per allentare le verifiche interne delle aziende: questo ha favorito la diffusione di richieste illecite di denaro, conosciute come le truffe “del capo in vacanza”.  

Passo #4 – Sicurezza a strati

Poiché è oggettivamente difficile riuscire a tenere il ritmo forsennato delle tecniche dei cybercriminali, una buona soluzione per te e per la tua azienda è quella di proteggerti con delle soluzioni di sicurezza a strati, una serie di difese in grado di coordinarsi reciprocamente grazie a capacità di analisi e correlazione degli eventi.

Contattaci, per conoscere le nostre soluzioni di sicurezza a strati.

L’obiettivo della sicurezza a strati è quello di ottenere ciò che viene chiamata “visione olistica” della difesa informatica, ovvero la capacità di percepire l’insieme di segnali differenti che presi singolarmente non sarebbero fonte di preoccupazione ma che, messi in fila e inquadrati nel giusto contesto, possono far scattare tutti gli allarmi e le contromisure del caso, salvaguardando i tuoi dati.  

Il punto forte di una sicurezza a strati è, quindi, che ogni suo elemento – da quello per la protezione degli endpoint, a quello che tiene sotto controllo il traffico di rete – collabora con tutti gli altri, rafforzando la protezione complessiva.  

I malintenzionati si accorgono subito se una potenziale vittima dispone di adeguate contromisure o meno e, in genere, scelgono quella che offre la minor resistenza possibile.   

Affidati a tecnici specializzati in sicurezza IT

La sicurezza della tua azienda deve essere garantita da tecnici professionisti sempre aggiornati sui nuovi pericoli e in grado di attuare tutte le procedure corrette per mantenere protetti i punti più a rischio della tua infrastruttura IT.

Un partner affidabile come Fastlane può eseguire sia la parte consulenziale di analisi valutativa per determinare gli interventi utili, sia fornire il servizio Security dell’area IT che si occuperà della completa gestione del problema in modalità Managed Service Provider (MSP).

L’outsourcing dell’intera area IT, oppure anche di una parte di essa, è uno strumento affidabile ed economicamente vantaggioso per la gestione degli aspetti informatici aziendali.

Pagine correlate

• Servizi di progettazione
• Servizi di sicurezza IT
• Analisi delle vulnerabilità
• Come navigare in sicurezza su internet
• Wireless e Mobilità
• Uso risorse informatiche non approvate dall’azienda (Shadow IT): rischi a sicurezza dati e consigli per evitarli
• Progettazione di soluzioni per data center
• Consulenza architetturale wireless
• Distribuzione e Adozione
• Consulenza strategica