Il Rapporto Clusit 2019 sulla sicurezza ICT in Italia dimostra che il 2018 è stato l’anno peggiore in termini di evoluzione delle minacce “cyber” (+ 37,7% rispetto all’anno precedente) e dei relativi impatti, evidenziando un’elevata crescita degli attacchi, della loro gravità e dei danni conseguenti come mai registrato fino ad ora. Infatti, negli ultimi due anni il tasso di crescita del numero di attacchi gravi è aumentato di 10 volte rispetto al precedente. Non solo, la Severity media di questi attacchi è contestualmente peggiorata, agendo da moltiplicatore dei danni. Accanto alle grandi aziende, bersaglio di questi attacchi sono sempre più anche le PMI e le PA a causa della complessità dei processi organizzativi e della eterogeneità delle conoscenze informatiche dei dipendenti.

Ciò che è cambiato ulteriormente all’interno di questo scenario sono le modalità con cui i criminali informatici agiscono e le procedure di risposta a questi attacchi.

In precedenza, gli strumenti tecnologici erano posti in prima linea ai fini di una corretta risoluzione di questa problematica: hardware e software di protezione venivano utilizzati per la sicurezza IT delle aziende corazzando i computer con avanzati sistemi di difesa e backup (come, ad esempio, Firewall, Antivirus, Disaster Recovery Plan etc.). I dipendenti erano in grado di riconoscere le eventuali minacce informatiche e, in caso di attacco, di intervenire tempestivamente e correttamente.

I cyber criminali, nel frattempo, hanno modificato la loro strategia di attacco:

si sono probabilmente resi conto che è più facile reperire e carpire informazioni confidenziali ingannando gli utenti o giocando sulla loro poca dimestichezza, piuttosto che attaccare un sistema informatico alla ricerca di bug, ovvero errori commessi dai programmatori nell’elaborazione di software, in grado di aprire la strada ai cracker.

Oggi, infatti, l’arte di manipolare le persone a scopo criminale, definita ingegneria sociale (o Social Engineering) , è la principale minaccia alla sicurezza informatica. . La Social Engineering può essere definita, infatti, come una vera e propria evoluzione della criminalità informatica poiché sfrutta la leggerezza e sensibilità dell’uomo piuttosto che le falle di un sistema informatico.





Le difficoltà delle aziende

Riprendendo alcuni dati statistici si può affermare che già nel 2016 uno studio condotto dalla National Cyber Security Alliance aveva rilevato come le PMI avessero fortemente sottovalutato le evoluzioni del cybercrime:

– Quasi il 50% delle piccole imprese aveva già sperimentato un attacco informatico

– Più del 70% degli attacchi informatici colpiva le piccole imprese

– Quasi il 90% degli attacchi informatici sfruttava la Social Engineering

– Circa il 60% delle piccole e medie imprese che erano state attaccate sono fallite dopo sei mesi

Sono tutti dati che continuano ad essere in forte crescita.

Per un’azienda subire un attacco informatico può essere letale. Il danno causato da un attacco informatico non deve essere valutato solo in termini di tempo e denaro, ma anche come origine di conseguenze civili e penali in merito alla perdita, furto o diffusione illecita di informazioni riservate e confidenziali (come cartelle cliniche di pazienti, documenti legali e fiscali di clienti, dati finanziari di aziende, account personali di dipendenti etc.).

Inoltre, guardando più da vicino il nostro paese, l’Italia risulta tra gli obiettivi più colpiti al mondo: è nella top 10 dei paesi che hanno subito gli attacchi più gravi e il maggior numero di vittime (+1.166% degli attacchi informatici sono stati realizzati con tecniche di Phishing/Social Engineering). Infatti, ” In Italia il costo medio annuo per azienda delle violazioni della sicurezza informatica ha raggiunto gli 8 milioni di dollari (13 milioni di dollari per azienda a livello globale), con un incremento del 19% nel 2018 (12% a livello globale). È quanto emerge dal nono studio annuale di Accenture Security sui costi del cybercrime. Gli attacchi subiti con maggior frequenza dalle aziende italiane, sono rappresentati dal phishing e dal ransomware. “, cosi ne parla un articolo de “Il Sole 24 ore”.

Il Social Engineering non si manifesta in maniera univoca, ma si possono riconoscere 5 diverse tecniche generalmente ricorrenti:





1. PHISHING

Il Phishing è una truffa effettuata su Internet utilizzata al fine di ottenere informazioni confidenziali con l’abbindolo.

Un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale.

Il cyber criminale cerca di ingannare la vittima generalmente inviando una mail o un SMS utilizzando il logo contraffatto di un’azienda o istituto di credito. Il fine è di dare maggiore credibilità al messaggio e invitandola a cliccare su un link o a scaricare un allegato. Mentre l’allegato contiene un malware (ad es. Ransomware, con cui l’hacker blocca il sistema operativo o cripta i dati dell’utente, obbligandolo a pagare un riscatto per tornare in possesso del PC o riportare in chiaro i dati), il link porta l’utente su un sito nel quale viene richiesto, con urgenza, di fornire informazioni riservate (ad es. n. carta di credito, password etc.) per accedere a un determinato servizio, risolvere un problema o riscuotere una vincita. La vittima, perciò, viene convinta a fornire informazioni personali, dati finanziari o codici di accesso, da un malintenzionato che finge di essere un ente affidabile in una comunicazione digitale.





2. PRETEXTING

Il pretexting (‘pretesti’ dall’inglese) ha un funzionamento simile al Phishing. Però, utilizza un mezzo differente come, ad esempio, il telefono, intervista o altro ma sempre utilizzando le tecniche tipiche del social engineering. Anche qui viene simulato il comportamento di un’autorità finanziaria o di polizia, allo scopo di creare con strategie e tecniche mirate un rapporto di fiducia con la vittima e farla cadere in trappola.





3. BAITING

Questa tecnica di attacco informatico utilizza uno strumento per accedere a dati e informazioni presenti all’interno del sistema informatico della vittima: come una chiavetta USB o un hard disk. Il supporto di memorizzazione viene lasciato in giro, solitamente vicino alla postazione di lavoro della vittima. Lo scopo è quello di di sfruttare la sua debolezza e di stimolare la sua curiosità affinchè con una certa probabilità lo apra. Utilizzando la rete locale (LAN), tale tecnica viene adoperata per accedere facilmente ai dati aziendali della preda.





4. QUID PRO QUO

Anche il Quid pro quo ha come scopo ed utilizza come strumento l’arte dell’inganno. Viene offerto un servizio, inesistente, per ottenere, come nelle tecniche precedenti, informazioni di tipo personale. L’ingegnere sociale nella maggior parte dei casi contatta la vittima telefonicamente, fingendo di offrirle supporto tecnico o informatico. Grazie a questa scusa costringe la vittima a rivelare password e dati per accedere al PC.





5. TAILGATING

Con la tecnica del Tailgating, il Social Engineer passa all’attacco vero è proprio. In questo caso l’obiettivo è accedere a un’area riservata, in cui l’accesso è incustodito o controllato dal controllo elettronico degli accessi(come una chiave, un codice o un badge di identificazione personale). Il criminale informatico cerca di accedervi chiedendo una cortesia ad una persona che ha accesso legittimo oppure facendo finta di aver dimenticato il supporto informatico di sicurezza. L’aggressore, inoltre, può avviare conversazioni con i dipendenti e utilizzare questo spettacolo di familiarità per superare con successo la reception. L’obiettivo è quello di ottenere l’accesso fisico al sito con una di queste tecniche. Un altro caso può essere quello in cui l’aggressore, approfittando del rapporto di fiducia instaurato in precedenza con la vittima, chiede in prestito il PC per pochi minuti, rubando dati confidenziali o installando programmi maligni.





Dunque, è dimostrato come sia le piccole che le grandi aziende possono essere vittime di questa criminalità informatica in continua crescita. Riconoscere in tempo ed evitare minacce provenienti dall’ingegneria sociale è una delle nostre specifiche competenze. Contatta subito uno dei nostri esperti di Salviamoituoidati e scopri come combattere la criminalità informatica!













FONTI: https://www.ilsole24ore.com/art/gli-attacchi-informatici-costano-8-miliardi-dollari-aziende-italia-ACjRLsc

https://web.uniroma1.it/infosapienza/sites/default/files/RapportoClusit2019.pdf