L’anno prossimo i vostri colleghi entreranno in contatto con email e video fasulli che sembrano veri, una nuova generazione del ransomware, apparecchiature bacate fin dalla fabbrica e, forse, un attacco da parte di una potenza straniera.

Molte delle minacce emergenti e potenzialmente devastanti che usano la tecnologia informatica non si possono neutralizzare del tutto con strumenti più potenti. Serve una visione più “olistica” della cyber security, che coinvolga le procedure aziendali, l’affidabilità delle informazioni e la formazione di tutto il personale. Serve soprattutto conoscere il proprio nemico.

Ecco quindi sei tra le minacce più rilevanti ma spesso poco conosciute o sottovalutate, che è importante conoscere e far conoscere a tutti i colleghi.

Il ransomware cala, ma alza la posta

Il ransomware, che aveva preso in ostaggio di dati di milioni di PC nel 2017, ha subito una forte flessione in termini quantitativi nel 2018. Merito di una maggior presa di coscienza degli utenti e della creazione o miglioramento di antivirus e degli strumenti specifici anti ransomware. Se il numero di pc colpiti è diminuito (del trenta percento, secondo Kaspersky Labs), però, abbiamo assistito a un miglioramento qualitativo: i ransomware si stanno evolvendo per evitare i metodi di rilevazione fin qui adottati (per esempio, rallentando la velocità di cifratura dei file per passare sotto la soglia di rilevamento degli antivirus), e invece di “pescare a strascico” con campagne di spam, stanno attaccando in modo mirato aziende e organizzazioni specifiche e di dimensioni più grandi. Gli autori del malware SamSam, per esempio, si stanno focalizzando principalmente su municipi americani e aziende che si occupano di sanità. Organizzazioni, insomma, in cui una interruzione del servizio o la cancellazione di dati possono creare danni concreti e sostanziali nel giro di pochissimo tempo.

Email truffaldine sempre più sofisticate

Passato è il tempo delle campagne di phishing piene di errori di traduzione, indirizzate a tappeto anche a chi non utilizzava i servizi che facevano da esca. Come nel caso del ransomware, il phishing e altri tipi di attacco basati sull’ingegneria sociale si stanno evolvendo per raggiungere la vittima con email che – per tempistica, mittente, formato e oggetto della comunicazione – hanno tutte le caratteristiche di messaggi legittimi. Oggi i cyber criminali violano le email di un dipendente particolarmente interessante (assistenti dei dirigenti, personale dell’ufficio acquisti o fatturazione passiva) e si limitano a osservare i messaggi ricevuti e inviati per qualche settimana o qualche mese alla ricerca di possibili truffe da mettere in atto. Per esempio, un dipendente dell’amministrazione potrebbe ricevere una mail apparentemente proveniente da un fornitore abituale che comunica il cambio di coordinate bancarie per il pagamenti. Successivamente, il criminale invia il giorno abituale una fattura per le prestazioni effettuate, dall’aspetto identico a quelle abituali e dell’importo corretto, ma che riporta le nuove coordinate bancarie per il pagamento. Coordinate che puntano però al conto del malvivente. Allo stesso modo, il personale dell’azienda potrebbe ricevere email truffaldine apparentemente provenienti dal top management o dall’amministratore delegato stesso, che li spingono a effettuare pagamento o inviare documenti riservati. In questi casi non c’è firewall o antivirus che tenga: a essere attaccato è l’elemento umano, e servono formazione e strumenti di tipo diverso.

Cryptomining: per chi stanno lavorando i pc aziendali?

Tra le cause della decrescita del ransomware, soprattutto sulla fascia più bassa, c’è anche il fatto che i criminali hanno preferito – invece di chiedere un riscatto – sfruttare i pc infettati come macchine da calcolo per generare (“minare”) Bitcoin e altre cripto valute. Convincendo gli utenti e installare script permanenti o a visitare siti web infetti per esempio dal malware Coinhive, riescono a guadagnare da qualche centesimo a qualche dollaro per ogni pc sfruttato. I dipendenti soffrono quindi rallentamenti e in generale viene pregiudicata la sicurezza della rete aziendale.

Quando a essere attaccati sono i server, la posta si alza: il carico di lavoro può interrompere l’erogazione di alcuni servizi importanti. Sono anche stati riportati casi in cui dipendenti infedeli o criminali che sono riusciti a controllare l’infrastruttura cloud dell’azienda hanno attivato macchine virtuali potenti e costose allo scopo di minare cripto valute. Facendo pagare il conto delle risorse all’azienda.

Se il prodotto nuovo è già bacato

Il Governo americano è sempre più esplicito nel diffidare aziende, organizzazioni governative e paesi alleati dall’utilizzare computer e apparecchiature di rete di alcuni fornitori, in particolar modo provenienti dalla Cina. Secondo le agenzie americane, questi sarebbero alterati in modo da permettere il controllo illegittimo da parte del fornitore o intercettare dati e conversazioni.

In alcuni casi, sono i produttori hardware a essere attaccati da terze parti, che inseriscono malware e tool di accesso remoto direttamente in fabbrica o nel corso della spedizione dei prodotti. Molto più spesso, accade che prodotti a basso costo – in particolare nella sfera della Internet of Things – abbiano misure di sicurezza così obsolete o banali che non è possibile considerarle minimamente sicure e adatte all’impiego in azienda o anche solo domestico.

Il fatto che la sicurezza possa essere già compromessa nel momento in cui si effettua l’ordine di un prodotto dal fornitore, è una cosa relativamente nuova ma da tenere sempre più in considerazione. E potrebbe esserci un caso peggiore: che accadrebbe se backdoor e vulnerabilità nascoste divenissero improvvisamente note, permettendo dall’oggi al domani a migliaia di criminali di entrare liberamente nei router delle aziende e negli apparati di telecomunicazione pubblici?

Attacchi di stato e vittime collaterali

Il coinvolgimento di apparati degli stati in attacchi informatici ha smesso di riguardare solo episodi di alto profilo, dalla dubbia attribuzione. Strumenti utilizzati e modus operandi hanno permesso di identificare decine di gruppi che costituiscono una minaccia “avanzata e persistente” (Advanced Persistent Threat) che non si limitano ad agire in modo mirato contro infrastrutture strategiche di paesi rivali, ma prendono di mira la proprietà intellettuale delle aziende, creano disordini sociali e alterano il risultato delle libere elezioni, producendo sconvolgimenti che intaccano la sfera economica (pensate a quante multinazionali stanno considerando di trasferire le proprie sedi fuori dalla Gran Bretagna a in seguito al referendum sulla Brexit).

Se ritenete che gli attacchi di stato non riguardino la vostra azienda, perché non eroga servizi strategici, considerate che spesso gli attacchi coinvolgono tutta la filiera dei fornitori. Anche l’impresa di pulizie dell’azienda che eroga servizi informatici a un ente governativo potrebbe rientrare tra i bersagli di un attacco strutturato.

Deepfake: non crederemo ai nostri occhi

Ho già accennato all’impatto che le fake news possono avere sull’andamento delle aziende. Due aspetti sono destinati a innalzare grandemente l’asticella del rischio. Ora che è noto il giochino delle fake news targettizzate su individui profilati come “facilmente condizionabili” (il metodo usato da Cambridge Analytica), è relativamente facile per aziende spregiudicate od organizzazioni più piccole applicarne il modello, magari su scala ridotta, per prendere di mira aziende od organizzazioni rivali.

Tutto ciò rischia di essere portato su una scala devastante per via dei cosiddetti “deep fake”: si tratta di video che, grazie all’uso di algoritmi di intelligenza artificiale, possono essere alterati in modo da mostrare ignare persone dire o fare cose che non hanno mai detto né fatto. Bastano poche fotografie del viso di una persona da diverse angolazioni per “appiccicare digitalmente la sua faccia” a un attore che compie in video un’azione riprovevole (esistono diversi filmati pornografici in cui il volto di alcune celebrità è stato sostituito a quello delle attrici). Con un po’ di copia e incolla di spezzoni audio e la complicità di un doppiatore, è poi possibile far pronunciare a chiunque discorsi a proprio piacimento. Qui un esempio applicato a un discorso di Barack Obama il cui contenuto è stato completamente sostituito

I software necessari sono disponibili e open source, e la potenza di calcolo necessaria per l’elaborazione è ormai alla portata di chiunque. Siete preparati a rispondere a campagne di fake news che riguardano i vostri prodotti o video fasulli in cui i vostri dirigenti sembrano accusarsi delle peggiori nefandezze, in modo che si danneggi l’immagine dell’azienda o li si esponga a possibili ricatti?