Foto: Anja Schori

Ammettiamolo: sono stati perseveranti! A settembre persone ignote hanno cercato per dieci giorni di rubare dati personali dal sito di vendite online ricardo.ch. L’unica stupidità è stata non conoscere affatto il territorio: il motivo della mail di phishing era infatti il mancato pagamento di una fattura da 1.27 franchi.

Naturalmente su Internet ci sono truffatori più svegli. Come chi, sfruttando le lacune nella sicurezza, si è specializzato in sistemi aziendali, browser o formati di file molto diffusi. I colpevoli infettano con malware i siti web apprezzati e penetrano nei computer di quei visitatori che non hanno installato le patch per la sicurezza forniti da Google, Apple, Microsoft e simili.

Che siano approssimativi o intelligenti, questi attacchi di massa non sono più da lungo tempo il principale pericolo di Internet. Il buon senso e update regolari permettono di difendersi con relativa semplicità.

Attacchi sempre più mirati

Ciò che inquieta maggiormente gli esperti della polizia e della giustizia sono gli attacchi mirati a singole autorità, istituzioni o aziende. I colpevoli paralizzano siti web malvisti o rilevano tramite un trojan il controllo dell’infrastruttura informatica delle proprie vittime.

Di solito i trojan vengono inseriti attraverso il principale punto debole delle organizzazioni: le persone davanti allo schermo. Chi commette questi reati si presenta come fornitore, cliente o addirittura superiore e cerca di far attivare ai collaboratori il malware. «La fantasia dei criminali non ha limiti», aggiunge Stephan Walder, responsabile per il pubblico ministero del centro di competenza dedicato alla cybercriminalità del Cantone di Zurigo. Conosce ad esempio dei casi in cui i colpevoli si sono presentati come collaboratori gioviali di hotline che si esprimevano in un dialetto privo di accento.

«La fantasia dei criminali non ha limiti.»

Stephan Walder, procuratore capo del centro di competenza dedicato alla cybercriminalità.

Per lungo tempo sembravano essere in pericolo soltanto le grandi aziende. Ma anche questo aspetto è cambiato. Nell’ultimo report annuale, il Servizio nazionale di coordinazione per la lotta contro la criminalità su Internet (SCOCI) riferisce infatti che ormai sono entrate «nel mirino dei truffatori sempre più PMI». Il motivo? Rispetto alle grandi aziende, le PMI dispongono soltanto raramente di una sorveglianza dell’infrastruttura informatica 7 giorni su 7 e 24 ore su 24. Inoltre, diversamente dai privati, la loro esistenza dipende dal funzionamento di tale infrastruttura.

Minaccia molto maligna

Il doppio trojan Dridex Carbanak, ad esempio, si inserisce in sistemi sensibili come Enterprise Resource Planning. Il malware si insinua in un documento di Office. Quando il documento viene aperto, Dridex Carbanak si annida ed effettua tramite l’E-Banking bonifici verso conti di terzi, senza che la ditta in questione noti nulla nell’attività quotidiana.

Un rappresentante del dipartimento di giustizia statunitense ha recentemente definito i trojan Dridex come «una delle minacce malware più maligne al mondo». Il malware è anche sugli schermi del ministero pubblico di Zurigo. Tuttavia Stephan Walder non può pronunciarsi sullo stato delle indagini: «Non vogliamo dare dei suggerimenti ai colpevoli». Walder conosce la propria clientela. Dal 2007, infatti, si occupa di perseguire reati via Internet.

Il team che dirige, composto da 14 persone, comprende anche due assistenti procuratrici, poliziotti e informatici. Dal 2013 collaborano tutti in un’ala laterale della vecchia caserma nel quartiere Kreis 4 di Zurigo. «La vicinanza fisica è importante», dichiara Walder, «perché a volte si deve agire in fretta.»

Mittente russo. Cosa fare?

CCome per la notifica del giorno precedente: in una PMI del settore high-tech dell’area di Zurigo sono stati criptati da un virus tutti i dati aziendali. Gli inquirenti della polizia cantonale di Zurigo hanno cercato casi simili. Ma presto è stato chiaro che il caso in questione non poteva essere gestito seguendo lo schema classico. Infatti i responsabili non hanno chiesto denaro e hanno lasciato un indirizzo e-mail russo. Ci si è chiesti cosa significasse. Forse, si è pensato, il responsabile cercava di depistare le forze dell’ordine. Ma a che scopo? Per nascondere un altro reato? Le ipotesi sono tante.

«Le nostre indagini vanno sempre in tutte le direzioni», spiega il procuratore e in meno di 24 ore dalla notifica parte un’indagine su Internet in incognito. Un poliziotto cantonale zurighese deve rivolgersi a chi ha commesso il reato, presentandosi come assistente IT della ditta attaccata: «Il colpevole deve svelarci dove si trova.»

Minuziosi criminologi

Nel gergo delle autorità penali si parla di localizzazione. Il passo successivo è l’identificazione. Il reato deve essere collegato a una persona in carne e ossa. Poiché Internet offre innumerevoli possibilità di anonimato, questa seconda fase è fortemente legata a ciò che Walder chiama il «lavoro da certosino della tattica investigativa».

Nel caso concreto dell’attacco di criptazione, la traccia ha portato a un utente di Internet russo, che potrebbe eventualmente anche essere arrestato dalla polizia locale. Ma questa persona è il vero autore? Si tratta di un’azione compiuta in proprio o per conto di terzi con i quali è collegato eventualmente soltanto da questo incarico?

I criminologi parlano in tale contesto di «crime as a service». Un committente sonda il mercato e predispone un pacchetto idoneo. Ad esempio ordina un trojan nuovo di zecca o un conveniente attacco Distributed Denial of Service (DDoS) e alla fine contatta un intermediario – un cosiddetto «money mule» − per il trasferimento dei riscatti.

Proprio come droghe, armi o pedopornografia, i servizi di questo tipo vengono offerti nella cosiddetta darknet, dove gli sponsor hanno la possibilità di incontrare gli imprenditori generali e i fornitori di software gli specialisti del reclutamento. «Il 2015 è stato caratterizzato da una professionalizzazione dei reati cibernetici», aggiunge nell’ultimo rapporto annuale l’Ufficio federale di polizia (Fedpol).

Numero di segnalazioni raddoppiato

Con l’offerta cresce anche la domanda. Secondo Fedpol, un quinto degli 11 575 messaggi era penalmente rilevante e un decimo riguardava un software di estorsione, come quello che ha colpito la PMI high-tech zurighese.

I danni economici che ne risultano sono notevoli. La Svizzera non ha una statistica ufficiale, per questo si usano come riferimento gli studi internazionali, come quelli del Center for Strategic and International Studies (CSIS) di Londra.

Secondo il CSIS, i danni che derivano dalla cybercriminalità ammontavano nel 2014 a ben 400 miliardi di dollari USA in tutto il mondo. Se si riporta il calcolo alla situazione della Svizzera, che contribuisce al risultato economico globale con un buon punto percentuale, si giunge a un importo di 4 miliardi di dollari USA.

Una persona che ha a che fare per lavoro con le conseguenze economiche della criminalità su Internet è Erich Herzog, esperto di cybercriminalità presso Economiesuisse, l’associazione mantello dell’economia svizzera. Quando gli si chiede di fornire delle cifre concrete, però, fa cenno di no con la testa: «Speculare su danni e cifre di difficile comprensione sposta l’ottica sull’effettiva dinamica con cui dobbiamo confrontarci.»

Digitalizzazione oscura

Per i giuristi che dispongono di un’esperienza professionale nel settore informatico, un aspetto è chiaro: ogni nuovo sistema che colleghiamo a Internet – dalle auto aziendali alle fresatrici – amplifica le superfici di attacco per i criminali che operano su Internet. «E chi vuole aumentare la produttività e la comodità deve anche essere consapevole dei rischi alla sicurezza che ne conseguono», sottolinea Herzog.

La crescente criminalità su Internet è il prezzo da pagare per la trasformazione digitale? Secondo il procuratore Walder queste riflessioni sono tuttavia secondarie. Il suo lavoro consiste nel perseguire gli autori dei reati e ammette chiaramente che la quota di reati cibernetici risolti deve ancora aumentare.

Per lui e i suoi colleghi risulta problematica soprattutto la disponibilità, praticamente illimitata, di tecnologie che consentono l’anonimato e di servizi criminali. «Questi possono infatti trasformare anche i profani in criminali su Internet altamente raffinati», spiega il procuratore.

Così accade che le indagini del centro di competenza sulla cybercriminalità spesso comincino in Europa dell’est, India o Cina, ma che poi portino verso il contesto in cui vive la persona danneggiata: concorrenti commerciali, ex-collaboratori o addirittura mogli abbandonate.

Sette espressioni che dovreste conoscere

Social Engineering

I cybercriminali attaccano di preferenza l’anello più debole nella catena di difesa della sicurezza informatica: le persone. Il social engineering definisce i tentativi di indurre gli utenti a divulgare dati confidenziali o ad attivare un malware, influenzandoli miratamente.

Identity fraud

Con questo tipo di social engineering, chi attacca tramite e-mail o in altra forma si finge, per esempio, un superiore per far trasmettere dati sensibili o attivare una transazione (truffa del CEO).

In una variante diffusa proprio in Svizzera, chi commette l’attacco colpisce l’account e-mail di un fornitore e invia a suo nome e-mail ai clienti nelle quali fornisce una nuova (falsa) relazione bancaria: un pagamento apparentemente corretto confluisce così verso i truffatori (Business E-Mail Compromise).

Phishing

Con il phishing chi commette gli attacchi induce le vittime con e-mail inviate indiscriminatamente o con siti web falsificati a svelare dati sensibili, come nomi utente e password. Lo spear phishing è un attacco di phishing mirato e personalizzato.

Malware

Il software maligno o malware è un concetto ampio che comprende diversi virus, worm, trojan, password stealer, spambot o bootkit. Il malware viene inconsapevolmente installato dalla vittima in sistemi protetti, che vengono poi manipolati o paralizzati.

Trojan

Nascosti in e-mail, allegati o link, i trojan garantiscono accesso a un server interno alle aziende. I trojan bancari specifici possono spiare i dati di accesso all’E-Banking o attivare di nascosto pagamenti online.

Ransomware

Il ransomware è una forma di malware che crittografa i dati del sistema della vittima. La decodifica avviene soltanto dietro un riscatto (in inglese ransom). Il ransomware è sempre più frequente.

DDoS

Quando diversi terminali – spesso telecomandati – inondano un server con richieste per comprometterne la disponibilità, si parla di un attacco Distributed-Denial-of-Service che in italiano potremmo tradurre grossomodo con blocco dei servizi distribuito. Di norma sono interessate aziende con un modello commerciale online; ad esempio gli webshop.