Pmi cyber-distratte: così criminali e spie straniere rubano i segreti

di Umberto Rapetto
Generale Gdf – già comandante
Nucleo Speciale Frodi Telematiche

Chi pensa alla piccola e media impresa immaginando Lilliput si sbaglia. È il tessuto connettivo della produttività nazionale e nulla – anzi – ha da invidiare a multinazionali e colossi industriali.

Lo sanno bene i criminali informatici, un po’ meno gli imprenditori che magari si sono lasciati convincere da erronee altrui opinioni di non essere così importanti e al contempo esposti ad azioni delittuose e ad interferenze “futuristiche”.

L’universo delle Pmi è, invece, una delle realtà maggiormente appetibili per chi delinque in Rete ed è da sempre nel mirino dei malfattori di turno. La storia della botte piccola e del vino buono trova fertile terreno tra i briganti a caccia di prede succulente.

A prescindere dalla “libera iniziativa” dei professionisti del crimine, esiste un campo di battaglia popolato da schieramenti di malintenzionati che sono agevolati o controllati da Governi stranieri. Non a caso da anni in questo contesto si parla di azioni “State sponsored” e “State controlled”, perché l’economia di un Paese è un mosaico le cui tessere sono aziende con dimensioni ridotte ma ruolo ed importanza straordinariamente vitali.

La mancata consapevolezza di questa criticità innesca un train de vie pericolosissimo. Pur nel sovrabbondare di dispositivi informatici di utilizzo quotidiano, sono proprio pochi quelli che hanno coscienza della computer-dipendenza e della diuturna subordinazione alle reti di telecomunicazioni.

Una Pmi ha – di norma – dotazioni numericamente inferiori a quelle degli “arsenali” tecnologici di organizzazioni più strutturate e complesse ma non è la “grandezza” a caratterizzare il livello di vulnerabilità.

Il punto debole è l’impreparazione o, forse, il disinteressamento e la scarsa volontà a farsi trovare pronti a contrastare una minaccia incombente. Il vero problema è culturale e la mancata sensibilità induce a non riconoscere le priorità assolute. Ci si trincera dietro le urgenze quotidiane e l’inconfutabile esigenza di dover “fare” senza perder tempo con pericoli di là da venire…

È questo l’habitat per chi – direttamente o su input esterno – vuole aggredire una realtà produttiva. Il terreno, reso fecondo dall’indifferenza e dall’incoscienza, è così pronto per essere arato dai vomeri dei criminali virtuali che – a differenza dei diretti interessati – riconoscono nelle dotazioni informatiche delle Pmi il ruolo di sistema nervoso per chi se ne serve e soprattutto individuano la presenza di veri e propri tesori.

Non è difficile dare spiegazioni a chi si domanda come e perché una minuscola impresa di provincia debba mai finire nei pasticci in questa maniera. Se il vandalismo non fa differenze di bersaglio, le attività estorsive e di spionaggio possono dare i loro frutti in qualunque ambito.

Le orde barbariche che si sollazzano nel devastare archivi elettronici e documentazione hanno capito ormai da tempo che la sconsiderata distruzione può palesare significativa redditività. Cancellare database e file può essere divertente, ma la preventiva copia del patrimonio informativo perfettamente integro può garantire “argomentazioni” davvero proficue.

In tempi recenti va di moda il cosiddetto “ransomware”, ossia una sorta di virus che scombina il contenuto di computer, server e dispositivi di memorizzazione e che unisce l’utile al dilettevole. La vittima di un attacco di quel genere nel giro di pochi minuti si ritrova in mutande: si ferma tutto quel che per funzionare aveva bisogno di dati e di macchine capace di elaborarli. Non si bloccano solo gli uffici amministrativi (e basterebbe già questa seccatura), ma rimangono inchiodate le linee di produzione, si impediscono le spedizioni, si ostruiscono i flussi di approvvigionamento…

I briganti – mandato a segno il loro colpo – entrano in contatto con l’azienda martoriata e lo fanno con una banale mail in cui si legge che a tutto c’è rimedio. Non è certo una paterna missiva consolatoria, ma la secca richiesta di denaro che consentirebbe a chi è tramortito di rientrare in possesso dei file indispensabili per “resuscitare” le normali attività.

Il termine “ransom” significa infatti riscatto. E i delinquenti ne pretendono il pagamento attraverso criptovalute che garantiscono il “ritiro” immediato della somma e in particolare la totale invisibilità di chi ne sia il percettore.

Qualcuno sarebbe portato a ritenere di poter spendere la cifra pretesa e magari pensa di ammortizzarne l’importo con il non aver mai investito in “sicurezza”. Il “quel che non ho speso negli anni, posso tirarlo fuori adesso e magari mi è costato pure meno” è la superficiale conclusione di molti che riducono ad operazione contabile un disastro dai contorni sempre poco definiti.

Chi pensa che il versamento dell’obolo chiuda in modo tombale la disavventura sbaglia. E sbaglia due volte.

In primo luogo nessuno ha la garanzia di vedersi consegnare un esemplare intonso della propria “roba” o di ricevere le chiavi crittografiche che permettono di decifrare quel che è stato reso illeggibile dal “ransomware”. Sono purtroppo numerosi i casi di tramortiti imprenditori che – dopo aver proceduto diligentemente a corrispondere l’importo preteso – non hanno avuto nulla in cambio sommando il danno alla beffa.

Punto numero due? I banditi sono in possesso di tutte le informazioni che tenevano in vita la Pmi appena trafitta. Segreti industriali, accordi commerciali riservati e tante altre cose coperte dal massimo riserbo sono finiti nelle mani sbagliate. Il “malloppo” è pronto ad essere rivenduto ad una vasta platea bramosa di entrarne in possesso: ad essere potenzialmente interessati non sono solo i concorrenti desiderosi di acquisire un vantaggio competitivo, ma anche investitori stranieri senza scrupoli che sanno di poter avviare una attività sfruttando ricerca e sviluppo produttivo e target di vendita che il malcapitato ha costruito in anni di sacrificio.

Superfluo a questo punto parlare dei costi di interruzione di servizio o dell’incomparabile danno di immagine…

Forse è giunto il momento per una piccola ma sensata riflessione. Il “non ci avevo pensato” potrebbe essere il miglior incipit. Non devono spaventare le poche risorse a disposizione: si può trovare rimedio nella cooperazione, nella mutua assistenza, nel supporto delle associazioni di categoria. L’importante è cominciare, magari guidati da qualcuno che conosca sul serio la strada da percorrere.

Virus, Qr code e algoritmi: i grimaldelli dei predatori

Malware

Si tratta di un programma che viene installato su un computer, all’insaputa dell’utente, per renderlo vulnerabile ad altri attacchi. Classico il caso del  “clickjacking”: l’utente viene convinto a cliccare su un elemento che ritiene sicuro ma in realtà sta interagendo con un elemento nascosto controllato dall’hacker (o dall’organizzazione cyber criminale).

Ransomware

E’ una particolare tipologia di malware: una volta installato, il ransomware blocca completamente il sistema operativo dell’utente, mostrando una schermata in cui viene richiesto il pagamento di un “riscatto”. Ma anche in caso di pagamento, non si ha mai la certezza che l’hacker responsabile rimetta a posto le cose e si rischia quindi di perdere i dati personali.

Adware

Molti servizi online e programmi gratuiti, contengono delle pubblicità che di solito vengono visualizzate in automatico sullo schermo e possono reindirizzare a siti esterni nel caso l’utente clicchi al loro interno. In caso di pubblicità legittime, si tratta perlopiù di una perdita di tempo; ma alcune di queste portano a siti sospetti o all’installazione inconsapevole di malware e virus.

DDoS

Con Distributed Denial of Service (DDos) si intende un attacco che provoca l’interruzione di un servizio. Le vittime sono i fornitori e non i singoli utenti, che vengono comunque coinvolti nell’attacco: gli hacker sfruttano vulnerabilità presenti nei dispositivi degli utenti per installarvi dei programmi che inviano un numero molto alto di richieste ai server, che vengono così intasati e quindi devono essere spenti, interrompendo così il servizio.

Phishing e Smishing

E’ una truffa a danno di un utente per impossessarsi delle credenziali di accesso ad account di servizi online (e-mail e conti bancari): gli hacker preparano pagine Web che replicano i portali a cui l’utente è iscritto e, tramite un link inviato per messaggio o per e-mail, richiedono l’inserimento di nome utente e password. Un utente poco attento non si accorge della differenza e fornisce informazioni, mettendole così in mano ai malintenzionati. Lo smishing è una forma di phishing che utilizza i telefoni cellulari come piattaforma di attacco. C’è poi la versione vishing: una telefonata di un falso operatore bancario.

QRishing

L’obiettivo è sottrarre dati sensibili attraverso i codici “QR-Code”, le immagini quadrate con moduli neri su fondo bianco sempre più diffuse su riviste e giornali e non solo: inquadrati attraverso lo schermo di uno smartphone, permettono di aprire le porte a siti web, a contenuti multimediali, ma anche di effettuare pagamenti tramite app della banca. I cyber criminali modificano o sostituiscono un QR-Code e l’utente che scansiona il codice viene diretto verso un indirizzo internet differente, dove tramite link malevoli o contraffatti viene “aggredito” senza saperlo.

Sniffing

Malintenzionati esperti possono inserirsi in una rete locale per catturarne il traffico: è questo che si intende quando si parla di sniffing. Se, ad esempio, la rete WiFi casalinga non è ben protetta, un hacker può collegarsi e, da lì, avere poi accesso ai vari dispositivi connessi.

Doxing e attacchi personali

E’ un sistema poco sofisticato ma efficace per impossessarsi di informazioni: sfrutta la disponibilità pubblica di dati personali. Quando si condividono contenuti online, a volte si rivelano anche indizi sulla propria persona (come date del compleanno e luoghi di residenza); un malintenzionato può risalire a quei dati e utilizzarli per impossessarsi degli account associati, ad esempio effettuando il recupero di password con la domanda segreta.

Attacco “brute force”

L’attacco brute force è cresciuto esponenzialmente negli ultimi anni: il malintenzionato accede all’account di soggetto, e appropriarsi dei dati sensibili memorizzati, dopo aver scoperto i dati di accesso – quindi password e nome utente – avvalendosi di software e hardware molto potenti che utilizzano tutte le combinazioni possibili di lettere, numeri e caratteri.