L’uso del digitale in ogni campo della vita lavorativa e personale non è un fenomeno estemporaneo, ma anzi una svolta epocale che diventerà sempre più strutturale con la transizione digitale, sostenuta in Europa dal PNRR. La digitalizzazione è stata un’importante ancora di salvezza a livello globale durante la pandemia di COVID, perché ha permesso di mantenere la continuità lavorativa nonostante i periodi di lockdown.
Come sempre, però, c’è il rovescio della medaglia, che in questo caso si chiama cyber risk, ovvero il rischio di perdita finanziaria, interruzione o danno alla reputazione di un’organizzazione, derivante da eventi accidentali (ad esempio: spegnimento del server) o dolosi (ad esempio: furto dei dati sensibili) ai danni del sistema informatico1.
Nel 2021, secondo l’ultimo rapporto dell’Associazione Italiana per la Sicurezza Informatica2, gli attacchi nel mondo sono aumentati del 10% rispetto al 2020, con una presenza sempre più rilevante anche nel mobile. Preoccupa, soprattutto, la sempre maggiore gravità: ben il 79% degli attacchi rilevati ha avuto un impatto “elevato”, contro il 50% del 2020.
Anche l’Allianz Risk Barometer 20223 ha evidenziato che il cyber risk è tornato al primo posto nella classifica globale dei rischi più sentiti. Secondo l’indagine realizzata da Allianz Global Corporate & Specialty (AGCS) sulla base delle risposte di 2650 esperti tra CEO, manager, risk manager, broker e consulenti assicurativi provenienti da 89 Paesi diversi, i rischi informatici rappresentano ormai la principale preoccupazione delle imprese, anche di quelle più orientate verso gli investimenti ESG – realtà che spesso hanno investito in digitalizzazione proprio in ottica di sostenibilità, e sono quindi più esposte al cyber risk. Il rischio informatico è anche una delle più temute cause di Business Interruption, fattore che si trova al secondo posto dell’Allianz Risk Barometer.
Comportamenti individuali: i punti deboli
Le tecniche di cyber attack si sono affinate negli anni, diventando sempre più subdole e difficili da intercettare. Un elemento rimane però costante: chi si introduce nei sistemi informatici sfrutta i punti di ingresso più deboli, che spesso sono i comportamenti individuali degli utenti.
Un dato su tutti può far capire quanto contino i comportamenti individuali nel favorire il cyber risk: il 90% delle violazioni rilevate in ambito aziendale riguarda le e-mail, sia che si tratti di download di file dannoso, sia che si tratti di accesso a dati privati tramite link inseriti nei messaggi di posta elettronica.
Spesso gli hacker giocano sulle emozioni come la preoccupazione o la paura. Ad esempio, subito dopo lo scoppio della pandemia in Italia, il 10% delle organizzazioni italiane ha ricevuto un’e-mail che chiedeva di scaricare un documento dell’OMS sulle precauzioni necessarie contro l’infezione da coronavirus. In realtà, il documento allegato era veicolo del trojan bancario TrickBot che, in due anni, ha infettato più di 140.000 dispositivi, inclusi quelli di clienti di aziende di primissimo piano come Microsoft, Amazon, Google e Paypal4.
Una delle truffe più famose che da anni imperversa a livello globale, è quella nota come “CEO fraud” che fa leva su informazioni personali per convincere l’utente a fornire dati o fare versamenti di denaro. Ricavando informazioni attraverso tecniche di social engineering, gli hacker rubano l’identità virtuale di figure appartenenti alla divisione finanziaria delle aziende o autorizzate a effettuare pagamenti. Con questi dati, inviano mail ai dipendenti, sollecitando pagamenti urgenti che molto spesso vengono eseguiti, poiché i dipendenti sono convinti che il messaggio sia autentico, ingannati dai nomi di dominio usati nell’indirizzo mail, simili al vero dominio aziendale.
Come difendersi dagli attacchi informatici
A livello aziendale, dotarsi di protocolli e sistemi di difesa è fondamentale per arginare la crescita degli attacchi cyber. Tuttavia, è altrettanto importante che chiunque sia collegato alla rete con il proprio computer o smartphone conosca i potenziali rischi, e adotti accorgimenti per evitare di favorire l’accesso degli hacker ai dispositivi.
Il primo passo è conoscere il nemico, ovvero saper riconoscere le caratteristiche degli attacchi cyber più diffusi, riconducibili a due macro-categorie: i malware (come il trojan bot) e il phishing (come la “CEO fraud”).
I malware
Sono i “software malevoli” che cercano di invadere, danneggiare o disattivare computer, sistemi, reti, tablet e dispositivi mobili, spesso assumendo il controllo parziale delle operazioni del dispositivo per rubare, criptare o eliminare i dati, alterare o compromettere le funzioni fondamentali di un computer e spiare le attività degli utenti.
Esistono diversi tipi di malware. I più famosi sono i virus, che si riproducono per diffondersi sugli altri computer di una rete e danneggiarli, di solito, mediante la distruzione di dati e file. Ci sono poi gli adware, software indesiderati progettati per presentare messaggi pubblicitari sullo schermo, e gli spyware, che osservano segretamente le attività dell’utente sul computer per poi segnalarle al creatore del software. Tra i malware più pericolosi ci sono i trojan, che sfruttano il principio del “cavallo di Troia”, infiltrandosi nel dispositivo per rubare dati finanziari o installare altre minacce. I ransomware, invece, sono malware che impediscono all’utente di accedere al proprio dispositivo o che criptano i suoi file, obbligandolo a pagare un riscatto in criptovalute.
A unire tutte queste minacce è la modalità con cui riescono ad arrivare al computer. In genere, infatti, i malware si nascondono in siti legittimi, che lasciano inconsapevolmente penetrare contenuti dannosi provenienti da siti web nocivi: a volte, basta visitare un sito al momento sbagliato per essere infettati da un malware. In altri casi, è l’utente stesso a scaricare inavvertitamente il malware aprendo il file di una mail o dando l’assenso al download di un’estensione mentre sta scaricando un programma legittimo.
Non è sempre facile accorgersi che un malware è stato installato, anche se ci sono degli indizi: il rallentamento del computer, ad esempio, o la presenza di pop-up imprevisti che inondano lo schermo di annunci pubblicitari o annunciano la vittoria di qualche concorso o lotteria, ma anche la perdita improvvisa di spazio di memoria sul disco, il cambio della homepage del browser senza alcuna autorizzazione, la comparsa di toolbar, estensioni o plugin sospetti.
Come difendersi? Per evitare queste situazioni, è sempre meglio installare solo app note, scaricandole direttamente dal sito del fornitore, senza mai utilizzare altri canali. Inoltre, è sempre bene fare attenzione ai siti che terminano con domini “strani” e inconsueti, diversi dai più utilizzati (.it, .eu., .com…): già questo, nella sua semplicità, è un segnale che può essere utile a valutare la pericolosità di un sito web.
Un’altra accortezza da non sottovalutare è quella di leggere sempre con attenzione le richieste di autorizzazione per l’installazione di un nuovo programma: a volte viene proposta l’installazione simultanea di estensioni e software complementari che in realtà possono nascondere malware.
Infine, ricordiamo che dotarsi di un buon programma anti-malware consente di rilevare le minacce ed eliminarle prima che possano far danni, infettando non solo il dispositivo, ma anche la rete a cui è collegato.
Il phishing
Il nome rimanda all’azione del pescare, del “buttare l’amo” sperando che qualcuno abbocchi. Si tratta di un crimine informatico che consiste nell’ingannare le vittime inducendole a condividere informazioni sensibili quali password e numeri di carte di credito. Come nella “CEO fraud”, la vittima riceve un’e-mail o un messaggio di testo che imita una persona o un’organizzazione di cui si fida, in genere con informazioni volte a spaventare la vittima e a indurla a intraprendere azioni immediate per evitare conseguenze negative.
Se l’utente “abbocca” finisce con il fornire propri dati consentendo al criminale di rubargli l’identità, intercettare accessi a conti bancari e vendere informazioni personali sul mercato nero.
Chiunque può cadere nella trappola. Il gruppo di spionaggio informatico Fancy Bear5, associato all’agenzia dell’intelligence militare russa, GRU, ha fatto vittime illustri negli ultimi anni: nel 2016, il responsabile della campagna per le presidenziali del 2016 di Hillary Clinton, John Podesta6, rispose ad una mail in cui si sosteneva che la sua password di posta elettronica era stata compromessa. Ne derivò una campagna di phishing ai danni degli indirizzi e-mail collegati al Comitato nazionale democratico statunitense nel primo trimestre del 2016.
Ma è proprio impossibile riconoscere i tentativi di phishing? Per quanto gli hacker abbiano perfezionato i messaggi, ci sono dei segnali da valutare prima di cliccare su un link o fornire i propri dati personali.
Sono sospette, ad esempio, le mail da mittenti noti ma con cui si hanno pochi contatti, specialmente se in “cc” ci sono persone sconosciute. Anche i toni allarmanti devono far sospettare, così come la richiesta di dati personali: le realtà affidabili non chiedono, infatti, informazioni di questo genere via mail. Attenzione anche agli errori ortografici nel testo della mail o nell’url contenuta nel messaggio: una lettura attenta può essere utile a individuare errori che sono indice di phishing.
Sempre meglio dubitare, insomma, e verificare l’autenticità di qualsiasi richiesta che possa sembrare anche solo vagamente insolita. A volte basta cercare su Google una frase del messaggio per scoprire che sono già stati segnalati attacchi che si avvalgono dello stesso metodo. In altri casi, prima di cliccare su un link o procedere con un’operazione, è una buona idea contattare direttamente la persona o la realtà che sembra essere il mittente del messaggio: se si tratta effettivamente di phishing, saprà che la sicurezza dei suoi sistemi è stata violata e potrà correre ai ripari.
1. “Cyber risk”, www.theirm.org
2. “Rapporto Clusit 2022 – Edizione di marzo 2022”, clusit.it
3. Comunicato stampa su www.allianz.com
4. “Trickbot, che cos’è il malware che infetta 1 azienda ogni 45 nel mondo e come proteggersi”, 19 febbraio 2022, www.corriere.it
5. Andy Greenberg, “Russia’s Fancy Bear Hackers Are Hitting US Campaign Targets Again”, 10 settembre 2020, www.wired.com
6. “The phishing email that hacked the account of John Podesta”, 28 ottobre 2016, www.cbsnews.com