Nei primi sei mesi del 2023, il numero di alert inviati sul Dark Web ha registrato un aumento del +17,9% rispetto al secondo semestre del 2022. Questi alert indicano l’identificazione di dati personali circolanti in ambienti oscuri e illegali su Internet, segnalando un aumento significativo delle minacce informatiche.
Questa tendenza preoccupante è stata recentemente evidenziata nell’ultima edizione dell’Osservatorio Cyber di CRIF, che analizza la vulnerabilità delle persone e delle aziende agli attacchi informatici e i trend emergenti nel mondo del cybercrime.
Le tipologie di dati più a rischio
Dai dati raccolti nel primo semestre del 2023 emerge chiaramente che gli hacker mirano principalmente a determinate tipologie di informazioni. Tra le categorie più vulnerabili e frequentemente bersagliate figurano:
- Indirizzi email: rappresentano un obiettivo primario per gli hacker, consentendo loro di accedere a ulteriori dati personali e di completare il profilo della vittima.
- Password e username: le credenziali di accesso sono frequentemente oggetto di attacchi, poiché consentono l’accesso non autorizzato a vari servizi online.
- Indirizzi postali: spesso oggetto di furto in combinazione con altri dati, possono essere utilizzati per scopi fraudolenti, ad esempio rendendo un attacco di phishing più mirato e credibile (possono essere utilizzate anche tecniche di social engineering).
- Numeri di telefono: se associati ad altre informazioni, possono essere utilizzati per truffe di tipo smishing (phishing via SMS) e altre forme di attacchi (ad esempio SIM swapping).
Sempre a caccia della loro prossima vittima, i criminali informatici attaccano le persone comuni per ottenere l’accesso ai loro conti e alle loro credenziali finanziarie. Potrebbero cercare di ricattare, estorcere, vendere i nostri dati ad altri criminali o esfiltrare loro stessi i fondi dai nostri conti.
Le probabilità di venire attaccati
Se utilizziamo frequentemente lo smartphone o un PC per accedere a Internet o utilizzare servizi online, è possibile che le nostre informazioni personali siano già entrate in contatto con ambienti a rischio. Questo può derivare da una serie di fattori, tra cui la compromissione delle credenziali, esperienze passate di hacking o, purtroppo, essere caduti vittima di furti d’identità o frodi. Inoltre, va notato che le aziende, a cui potremmo aver affidato dati personali come indirizzi e-mail, password, dettagli di carte di credito e altre informazioni, potrebbero essere state colpite da attacchi informatici, con la conseguente divulgazione dei dati forniti.
Nel primo semestre 2023, l’Osservatorio Cyber di CRIF mostra che il 92,3% di tutti gli indirizzi e-mail viene trovato in combinazione con una password, e la stragrande maggioranza di questi dati viene scambiata tra i criminali sul dark web. Queste combinazioni di e-mail e password provengono da una moltitudine di fonti, come phishing, malware e violazioni di dati che possono risalire anche a diversi anni fa, ma anche oggi queste informazioni possono essere utilizzate da malintenzionati per accedere ai nostri account online.
Per quanto riguarda in particolare le combinazioni e-mail e password, queste vengono scambiate sul dark web sotto forma di elenchi che possono variare da centinaia di righe a centinaia di milioni. Per i malintenzionati, è semplice testare ogni e-mail e password su una moltitudine di siti web diversi per verificare se qualcuna funziona. Per questo motivo è sempre raccomandabile cambiare regolarmente la password, stabilire un’autenticazione a più fattori e utilizzare password uniche per ogni sito web che si utilizza.
Gli obiettivi di un attacco brute-force
Gli obiettivi di un attacco brute-force possono essere diversificati e, in alcuni casi, mirati. Gli attacchi possono sembrare indiscriminati, con i malintenzionati che cercano semplicemente di ottenere l’accesso a qualsiasi account disponibile.
Le vittime potenziali di attacchi brute-force possono variare ampiamente, ma tendono a includere coloro che sono stati precedentemente colpiti da violazioni di dati e possono essere maggiormente esposti in base a criteri geografici o a informazioni aziendali disponibili pubblicamente.
Dal Phishing…
Il phishing è una tecnica utilizzata dai malintenzionati che si manifesta in diversi modi. La forma più comune, e quella con cui le persone hanno maggiore familiarità, è lo spam via e-mail. In questo caso, i malintenzionati inviano in massa messaggi di posta elettronica a milioni di persone alla volta, che possono includere un allegato dannoso o un link fraudolento. Lo scopo di queste e-mail è quello di indurre l’utente a divulgare le proprie informazioni al mittente, che spesso si traveste da enti rispettabili come banche, organizzazioni nazionali o grandi aziende. Questo tipo di phishing può avvenire anche tramite messaggi di testo, posta o telefono.
Da dove i malintenzionati ottengono le nostre e-mail? Anche in questo caso possono ottenerle dagli elenchi descritti in precedenza, ma oltre a questi elenchi, alcune aziende di dubbia reputazione possono decidere di vendere il vostro indirizzo e-mail. Gli indirizzi e-mail attivi sono preziosi per i malintenzionati, poiché molte delle e-mail provenienti dalle liste sopra citate possono essere inattive, quindi alcuni criminali pagheranno per avere accesso a una mailing list di alta qualità da bombardare con e-mail di phishing.
Questa tecnica può sembrare relativamente indiscriminata, ma può essere adattata per essere molto più efficace contro individui selezionati. Si tratta del cosiddetto spear phishing.
…allo Spear Phishing
Il modo in cui lo spear phishing si differenzia dalle altre forme di phishing è che gli attacchi sono molto più mirati verso individui specifici o piccoli gruppi. A causa di questo restringimento del campo di applicazione dell’attacco, i malintenzionati sono in grado di aumentare in modo massiccio la sofisticazione di questi attacchi, rendendoli molto più efficaci. Ciò può includere impersonificazioni molto accurate di altre persone, come il personale di un’azienda, conoscenze approfondite sulle operazioni di un’impresa, e-mail false, profili sui social media, siti web e così via, tutti progettati in modo molto specifico per ingannare una piccola manciata di individui.
Facciamo un esempio: ricevete un’e-mail urgente dalle risorse umane in cui si dice che il tempo per rispondere al sondaggio sulla soddisfazione del personale è scaduto e vi invita a completarlo immediatamente. Pensate che sia abbastanza innocuo, quindi cliccate sul link fornito che vi porta a una pagina che assomiglia esattamente al portale delle risorse umane della vostra azienda. Vi viene chiesto di inserire l’e-mail e la password, cosa che fate, ma vi informa che avete inserito informazioni errate. Provate ancora un paio di volte, con password diverse, ma non riuscite ad accedere.
Forse non avete notato che, pur simulando una e-mail delle risorse umane, quell’e-mail non proveniva dal loro indirizzo abituale. Inoltre, il link fornito non vi ha indirizzato al sito web della vostra azienda, ma a una sua copia quasi esatta. Ogni volta che avete provato ad accedere, ogni combinazione di e-mail e password è stata inviata a un malintenzionato che ora può accedere al vostro account di lavoro e alla rete aziendale.
Con l’accesso alla rete aziendale, i malintenzionati possono infettare i sistemi con ransomware e altre minacce informatiche o estrarre informazioni aziendali critiche per estorcere denaro alla vostra azienda. È sufficiente dire che, anche interagendo con quella che sembrava un’e-mail relativamente innocua, le conseguenze possono essere gravi.
Chi sono gli obiettivi di questo tipo di attacchi
Analogamente al brute-forcing degli account con credenziali riutilizzate, gli autori degli attacchi di phishing possono applicare le loro tecniche in modo indiscriminato. Tuttavia, quando si tratta di spear phishing, questi attacchi possono essere molto sofisticati, tanto che anche professionisti preparati possono caderne vittima.
Il rischio di spear phishing è maggiore per chi occupa una posizione di responsabilità all’interno dell’azienda o ha accesso a sistemi rilevanti, come un professionista dell’IT o della sicurezza. Per chi ricopre queste posizioni è necessario prendere ulteriori precauzioni quando si aprono allegati, si accede a link esterni e persino quando si risponde al telefono. Ci sono stati casi in cui l’intelligenza artificiale è stata utilizzata per imitare lo stile di scrittura di qualcuno e persino per impersonare la sua voce in tempo reale durante le telefonate. È quindi importante controllare e ricontrollare l’autenticità di ogni singolo contatto.
Cosa fare per proteggersi
I malintenzionati dispongono di una serie di tecniche che possono utilizzare per ottenere l’accesso a informazioni personali o sensibili. Ad esempio, le tecniche illustrate mostrano bene come i criminali possano mettere a punto i loro approcci per colpire indiscriminatamente un grande gruppo di persone o per lanciare campagne di phishing pericolose e altamente sofisticate contro singoli individui o piccoli gruppi di persone.
Conclusioni
Di fronte a queste minacce in aumento, è fondamentale prestare attenzione alle e-mail e ai messaggi ricevuti quotidianamente, imparando a riconoscere tentativi di truffe e phishing. È importante non cliccare su link sospetti e non condividere dati personali con mittenti dubbi. Le aziende e i consumatori devono adottare misure di sicurezza rigorose, compresi strumenti di protezione dei dispositivi e monitoraggio costante dei dati, oltre ad assicurare la continua vigilanza e formazione delle persone in materia di sicurezza.
