Attacchi informatici: come proteggersi dai pericoli della rete

I criminali informatici sfruttano internet con i loro attacchi informatici per arricchirsi o per danneggiare altri utenti. Nel farlo, vengono utilizzate diverse strategie di attacco, che a loro volta si adattano alle diverse motivazioni che stanno dietro ai singoli attacchi. Tuttavia, ci si può proteggere adottando la giusta dose di prudenza e strategie di sicurezza adeguate.

Cos’è un attacco informatico?

Un attacco informatico è un attacco mirato a sistemi o reti informatiche con l’obiettivo di rubare dati, sabotare sistemi o causare danni in altro modo. Con gli attacchi informatici, i criminali prendono di mira individui, aziende, organizzazioni o autorità specifiche. Dietro a ogni attacco c’è quindi anche un motivo, ma questi possono essere di natura molto diversa tra loro:

• Furto: come per molti atti criminali, dietro al crimine informatico si cela spesso il desiderio di arricchirsi. A questo scopo, vengono rubati dei dati che sono poi rivenduti o utilizzati per saccheggiare i conti bancari.
• Ricatto: i criminali infettano il sistema dei singoli individui o delle aziende in modo tale che non possa più essere utilizzato, quantomeno non da chi non è un esperto. Possono quindi estorcere somme considerevoli con la promessa di restituire l’infrastruttura IT intatta.
• Sabotaggio: non si tratta sempre di estorcere soldi alle vittime, spesso dietro agli attacchi ci sono dei committenti, i quali, ad esempio, potrebbero voler danneggiare la concorrenza per avere più successo con la propria azienda.
• Attivismo: l’hacktvismo (dall’unione delle parole inglesi “hacking”, ossia attacco informatico, e “activism”, ossia attivismo politico) è sempre più popolare. In questi casi, i criminali informatici mossi da intenti politici utilizzano le loro abilità per danneggiare personalità sgradevoli o per generare attenzione su questioni politiche.
• Spionaggio: anche lo spionaggio informatico dei governi e delle aziende ai danni di altri Stati avviene sempre più spesso tramite internet. Qui l’obiettivo è l’acquisizione di un vantaggio grazie al possesso di informazioni.

Quali tipi di attacchi informatici esistono?

Così come è diversa la motivazione, altrettanto diversi sono i mezzi con cui vengono perpetrati gli attacchi informatici. Spesso i tipi di attacco vengono anche combinati tra loro per infliggere danni nel modo più efficace e ampio possibile.

Phishing

Nelle e-mail di phishing le persone vengono indotte a ignorare le precauzioni di sicurezza e scaricare malware inconsapevolmente o a fornire informazioni sensibili grazie a tecniche di ingegneria sociale. Tra le sottocategorie di questo metodo rientrano le tecniche di smishing (tramite SMS) o vishing (per telefono).

Man in the middle (MITM)

Nel caso di un attacco man in the middle, l’aggressore si muove tra due utenti di internet, ad esempio tra un client e un server. L’intento dei criminali in questi casi è quello di riuscire a ottenere dati sensibili come le password. Questi attacchi possono essere resi possibili da malware o da connessioni Wi-Fi non sicure. In particolare, vengono utilizzati certificati falsi e varie tecniche di spoofing.

Denial of Service

Se l’obiettivo di un attacco è quello di far chiudere un servizio web, allora è probabile che venga utilizzato l’attacco Denial of Service (DoS), il quale comporta il sovraccarico di un server con così tante richieste da renderlo non funzionale. Gli attacchi più grandi vengono eseguiti tramite attacchi Distributed Denial of Service (DDoS). Per questo tipo di attacchi, i criminali sfruttano spesso le risorse di botnet, reti composte da centinaia di computer infettati da malware. I dispositivi partecipano quindi all’attacco informatico sul server all’insaputa dei proprietari.

SQL Injection

Nel caso di una SQL Injection, gli aggressori utilizzano le interazioni SQL di un’applicazione web in cui l’input dell’utente non è sufficientemente filtrato nelle query (ad esempio, campi di input non sicuri). Utilizzando maschere di ricerca o funzioni di commento, i criminali informatici riescono a manipolare il database SQL in modo tale da poter attingere a dati sensibili, modificarli o cancellarli.

Exploit zero day

Gli exploit zero day sono vulnerabilità di sicurezza in software o hardware che vengono sfruttate dagli aggressori prima che il produttore o la comunità di sviluppatori ne vengano a conoscenza e possano fornire una patch. Il termine “zero day” si riferisce al fatto che non c’è alcun tempo di preavviso. La minaccia rappresentata dagli exploit zero day è particolarmente elevata, poiché le misure di sicurezza convenzionali non sono in grado di rilevarli nella maggior parte dei casi. Gli attacchi possono essere effettuati tramite allegati di posta elettronica infetti, siti web compromessi o direttamente tramite vulnerabilità nei sistemi operativi e nelle applicazioni.

Attacchi informatici noti

I grossi attacchi informatici ad aziende e autorità sono diventati molto più frequenti negli ultimi anni. Ciò è dovuto in parte alla grande copertura mediatica che hanno avuto attacchi informatici di gruppi come il collettivo di hacker Anonymous. Esistono però anche segnalazioni di grossi furti di dati che non interessano solo le aziende colpite, ma che coinvolgono migliaia di utenti.

WannaCry

Un attacco informatico rinomato è avvenuto nel 2017 con il ransomware WannaCry. Anche se gli attacchi in questo caso non erano mirati, sono stati orchestrati in modo tale da infettare centinaia di migliaia di computer in un lasso di tempo molto breve. I criminali informatici per l’occasione avevano utilizzato una backdoor nei vecchi sistemi Windows che era stata originariamente scoperta dall’agenzia di intelligence statunitense NSA, ma l’informazione non era stata divulgata. Sono stati attaccati tutti quei computer che non avevano installato la patch di sicurezza rilasciata poco prima.

Gli aggressori hanno approfittato della backdoor per introdurre di nascosto un malware che ha criptato tutti i dati. Gli utenti, non più in grado di utilizzare i loro computer, hanno ricevuto un messaggio che chiedeva loro di pagare 300 dollari USA in Bitcoin. Nonostante diversi esperti di sicurezza abbiano sconsigliato il pagamento del riscatto, gli aggressori sono comunque riusciti ad accumulare 130.000 dollari USA sotto forma di criptovaluta.

Project Chanology

Il gruppo indipendente di hacker che si identifica con “Anonymous” ha fatto ripetutamente scalpore negli ultimi anni. Uno dei loro attacchi ha colpito Scientology. L’organizzazione aveva cercato di far bandire da internet un’intervista con il famoso membro Tom Cruise. Gli attivisti che hanno dichiarato il loro sostegno ad Anonymous videro nell’azione una forma di censura e annunciarono scioperi di rappresaglia tramite video messaggi.

Quindi gli hacker hanno cominciato a sovraccaricare i server di Scientology con attacchi DDoS, riuscendo a paralizzare il sito web dell’organizzazione per un breve periodo. Hanno anche fatto scherzi telefonici e inviato innumerevoli fax per interrompere l’attività di Scientology. Dopo gli iniziali attacchi digitali illegali, l’attivismo si è spostato sempre più verso proteste legali davanti alle sedi dell’organizzazione.

Attacco SolarWinds

Nel 2020 è stato reso noto uno dei più gravi attacchi informatici degli ultimi anni: il breach SolarWinds ha comportato un attacco alla catena di approvvigionamento in cui è stata compromessa la catena di fornitura del software dell’azienda SolarWinds, un fornitore di software per la gestione delle reti utilizzato da numerose aziende e autorità in tutto il mondo. Gli hacker hanno avuto accesso al sistema interno di SolarWinds e hanno manipolato un aggiornamento del software “Orion”, che è stato poi installato da migliaia di clienti.

Questa backdoor ha permesso ai responsabili dell’attacco di accedere a reti sensibili di autorità statunitensi, aziende IT e grandi società. Tra i soggetti colpiti figurano il Dipartimento del Tesoro degli Stati Uniti, il Dipartimento del Commercio, Microsoft e FireEye. A destare particolare scalpore è stato il fatto che l’attacco è passato inosservato per mesi perché sono state coperte le tracce e ci si è mossi con particolare cautela. È stato solo quando la società di sicurezza informatica FireEye si è accorta di attività sospette nel proprio sistema che la portata dell’attacco è diventata evidente.

Attacco a Yahoo!

Negli anni 2013 e 2014, il gruppo Yahoo! ha dovuto far fronte a diversi attacchi rivolti ai suoi database. Gli aggressori sono stati in grado di ottenere diversi miliardi di dati, tra cui password mal criptate o risposte non cifrate alle domande di sicurezza, per poi metterli in vendita su mercati illegali del dark web. Gli acquirenti speravano che le password fossero state utilizzate anche su altre piattaforme o per l’online banking, di modo da poterne eventualmente trarre profitto.

In risposta agli attacchi, Yahoo! ha invitato gli utenti a scegliere nuove password e a impostare nuove risposte alle domande di sicurezza, criptandole meglio. L’azienda ha anche dovuto risarcire i danni agli utenti danneggiati per un totale di oltre 100 milioni di dollari USA.

Come ci si protegge da un attacco informatico?

I criminali informatici stanno inventando metodi sempre più complessi per decifrare i sistemi e rubare dati. Anche gli esperti e le esperte di sicurezza sono tendenzialmente sempre un passo indietro, ma questo non significa che non esistano difese contro agli attacchi informatici. Seguendo questi consigli sulla sicurezza informatica, sarai ben preparato contro eventuali attacchi.

Che tipo di precauzioni prendere?

Gli aggressori spesso sfruttano falle di sicurezza dei sistemi obsoleti. Pertanto, dovresti assicurarti che sia il tuo sistema operativo che il software che utilizzi siano sempre aggiornati. Informati regolarmente sui nuovi aggiornamenti o patch disponibili e, se necessario, attiva la funzione di aggiornamento automatico. Questo suggerimento vale anche per i programmi antivirus.

I criminali non utilizzano sempre malware per i loro attacchi. Talvolta vengono attaccate direttamente le aree protette da password. Con l’aiuto del metodo forza bruta (tentativi con diverse combinazioni di password), di Rainbow Tables (tabelle con valori di hash) o attacchi a dizionario (raccolta di password tipiche) si possono decifrare rapidamente le password insicure. Perciò una password sicura e l’autenticazione a due fattori sono le misure preventive più efficaci contro gli attacchi informatici.

Come si riconosce un attacco informatico?

Molti attacchi hanno successo perché non vengono riconosciuti come tali. Soprattutto nei casi di phishing, per esempio, è opportuno fare attenzione alle e-mail da mittenti sconosciuti, nelle quali non dovresti mai aprire o scaricare allegati o cliccare sui link. Utilizza le stesse precauzioni quando navighi su internet: anche qui le minacce possono nascondersi su siti web apparentemente innocui. Non scaricare alcun software da siti web di cui non ti fidi. Una buona indicazione per riconoscere siti pericolosi è la mancanza di certificati SSL.

Gli amministratori e le amministratrici di sistema hanno ulteriori opzioni a disposizione per rilevare gli attacchi informatici. I server utilizzano file di log per impostazione predefinita, dove possono essere tracciate anche le attività minacciose. Un grosso numero di inserimenti di password senza successo, per esempio, può indicare un attacco con il metodo forza bruta.

È anche importante monitorare la propria infrastruttura IT. I malware hanno spesso effetti collaterali: se il sistema o la connessione di rete funzionano più lentamente del solito, può essere un’indicazione di un attacco informatico.

Come ci si difende da un attacco?

Specialmente nei casi di attacchi DDoS, esistono diverse opzioni che puoi mettere in atto per mantenere i tuoi siti web online nonostante l’attacco. Se utilizzi una CDN (Content Delivery Network), rendi praticamente impossibile agli aggressori paralizzare completamente i siti web. Anche se il server è sovraccarico, il sito web può comunque rimanere disponibile attraverso la rete di contenuti speculari.

In caso di dubbi, anche le autorità possono aiutarti a difenderti. La Polizia Postale e i dipartimenti nazionali di sicurezza informatica in Italia hanno unità che si concentrano sul crimine informatico e possono eventualmente aiutarti a difenderti da attacchi specifici. Trovi i dettagli di contatto e ulteriori informazioni sul sito ufficiale della Polizia Postale.

Come ci si protegge nel peggiore dei casi?

Non esiste una protezione al 100% contro gli attacchi, per questo è necessario prendere provvedimenti in caso di emergenza. Tra queste, ad esempio, l’utilizzo di processi crittografici efficaci. Assicurati che i dati sensibili siano il più possibile inutilizzabili per le persone non autorizzate, qualora riuscissero a ottenere le informazioni.

Anche una strategia di backup è importante. Gli attacchi ransomware, in particolare, perdono il loro potenziale di minaccia se i dati importanti vengono memorizzati anche in un luogo esterno al computer. Con la regola del backup 3-2-1 ti assicuri che i tuoi dati siano sempre al sicuro.