Secondo gli esperti di sicurezza, la criminalità informatica rischia di trasformarsi in una vera emergenza che coinvolge tutto il settore produttivo. I dati lo confermano: le aziende, ormai, si trovano a fronteggiare cyber attacchi sempre più complessi, attentamente pianificati e spesso in grado di aggirare i tradizionali sistemi di protezione, come nel caso delle truffe online. Per farvi fronte è necessario utilizzare strumenti specifici, che richiedono l’uso di tecnologie e risorse che non sono alla portata di tutte le aziende. La soluzione? Adottare la filosofia della security as a service. Una formula in cui i servizi di sicurezza sono erogati dal cloud, configurati e gestiti da personale certificato.
«L’evoluzione e la pervasività del cybercrime, insieme alla regolamentazione delle autorità competenti, ha determinato una crescente attenzione delle aziende ai temi di sicurezza delle informazioni, a partire dalla valutazione del rischio connesso al business fino alla definizione di una ‘security strategy’ efficace», spiega Cristiano Alborè, Responsabile Offerta TLC & Security – Enterprise Market di TIM.
Who's Who
Cristiano Alborè
Responsabile Offerta TLC & Security - Enterprise Market di TIM
«In questo contesto il servizio TIM Safe Web Enterprise, basato sulla tecnologia Cisco Umbrella ed erogato in modalità “as a Service”, offre alle aziende una efficace linea di contenimento verso le minacce più diffuse, come phishing, malware e attacchi zero-day, che di fatto rappresentano le tecniche più utilizzate nel furto dei dati e delle informazioni personali e aziendali, così come nelle truffe online ai danni delle imprese».
Truffe online alle aziende: un esempio attuale
In gergo vengono chiamate BEC (Business Email Compromise) o CEO Fraud e, secondo i dati dell’FBI, nei soli Stati Uniti hanno colpito quasi 20.000 aziende nel corso dell’ultimo anno. Lo schema, con poche varianti, prevede un attacco in due fasi. Il primo passo prevede un classico attacco di phishing ai danni di un alto dirigente attraverso un messaggio di posta elettronica (ma i pirati non disdegnano l’uso di SMS o messaggi su altre piattaforme come Skype e Whatsapp) che dirotta la vittima su un sito malevolo. In alcuni casi il collegamento viene presentato come un passaggio necessario per autenticarsi e visualizzare il messaggio o il documento allegato. In questa fase i pirati non usano alcun malware e i normali antivirus, di conseguenza, non possono bloccare l’attacco. L’unico elemento “sospetto” è il collegamento al sito Internet. Quest’ultimo è realizzato con molta cura e appare del tutto simile alla schermata di accesso dell’account di posta elettronica del destinatario. Quando la vittima inserisce username e password, però, queste finiscono nelle mani dei pirati informatici, che in questo modo ottengono l’accesso alla casella di posta elettronica. Grazie alla compromissione dell’account email, i pirati informatici hanno la possibilità di leggere tutti i messaggi in arrivo e, se lo desiderano, inviare email spacciandosi per il legittimo proprietario. Questo, però, lo faranno solo in un secondo momento.
Dallo studio della vittima alla “stangata”
Alla compromissione della casella di posta elettronica segue una fase di studio in cui i cyber criminali analizzano le procedure aziendali e le comunicazioni interne per preparare la truffa vera e propria. Questa viene messa in atto solo quando hanno sufficienti informazioni per garantirsi le massime probabilità di successo. Uno degli elementi fondamentali è scegliere il momento adatto, che di solito coincide con un viaggio o un momento in cui le comunicazioni tradizionali sono difficili. La mossa decisiva è rappresentata dall’invio di un messaggio, diretto al responsabile amministrativo, in cui viene ordinato un pagamento urgente verso un fornitore o un partner commerciale. Nei dati di pagamento, però, vengono indicate delle coordinate bancarie diverse da quelle originali, che “puntano” a un conto corrente controllato dai cyber criminali. Insomma: impersonando la vittima dell’hacking, i pirati informatici puntano a “convincere” l’impiegato addetto ai pagamenti a versare una somma (di solito con importi considerevoli) direttamente nelle loro tasche. Lo schema può subire delle varianti che aggiungono elementi di complessità, come la trasmissione di un’accurata documentazione che giustifica la transazione, e in alcuni casi vengono utilizzate anche delle “società fantasma” create ad hoc per trarre in inganno le vittime. Le percentuali di successo di questo tipo di truffe sono sorprendentemente alte e, secondo gli esperti dell’FBI, solo negli ultimi 5 anni avrebbero fruttato ai pirati informatici più di 2 miliardi di dollari. Un fenomeno in crescita anche in Italia, che mette a rischio centinaia di realtà produttive.
Le strategie di difesa
La chiave per prevenire attacchi come quello descritto è rappresentata, in primo luogo, da un monitoraggio costante dei collegamenti a Internet tale da prevenire la connessione a pagine di phishing. Un compito non facile, dal momento che i pirati informatici modificano continuamente i domini da cui portano gli attacchi per superare filtri e controlli tradizionali. La predisposizione di un sistema di protezione efficace, di conseguenza, richiede la capacità di tenere il passo dei cyber criminali e riuscire ad aggiornare costantemente gli strumenti di analisi in modo che riescano a bloccare i link malevoli nel momento stesso in cui la potenziale vittima prova ad aprirli. Un ruolo di primo piano, in questo senso, lo gioca l’attività di threat intelligence, cioè il costante monitoraggio delle attività sospette in rete (e nel Dark Web) che consente di individuare tempestivamente le nuove minacce in modo da prevenire l’attacco. In sintesi, per contrastare le strategie dei cyber truffatori, è indispensabile avere alle spalle risorse e competenze che consentano di avere un quadro completo e aggiornato delle minacce online. Un’attività che difficilmente può essere gestita dalle risorse interne all’azienda, per quanto queste possano essere competenti. «TIM Safe Web Enterprise, che si avvale del ‘motore’ di Cisco Umbrella Threat Intelligence, rileva immediatamente i siti potenzialmente pericolosi e impedisce il collegamento, evitando l’hacking delle credenziali informatiche e proteggendo così l’azienda. Spesso senza che gli utilizzatori del servizio ne abbiano nemmeno la consapevolezza», spiega Alborè. «È quindi evidente come l’adozione di una strategia basata sulla filosofia della “Security as a service” consenta di disporre di avanzati sistemi di protezione che, normalmente, sarebbero fuori dalla portata dell’azienda».