La criminalità informatica (di cui abbiamo già fatto un inquadramento strategico) è definita tale proprio perché il crimine viene perpetrato con l’utilizzo di tecnologie informatiche, dove è proprio l’elemento della tecnomediazione che permette di attaccare le vittime e nello stesso tempo di rimanere anonimi.
Il criminal hacker, quale presupposto perché il crimine sia qualificabile come informatico[1], deve necessariamente utilizzare risorse informatiche per mettersi in contatto con le vittime, per poi attaccarle.
Le risorse informatiche utilizzate per relazionarsi con le vittime possono essere davvero le più varie ed un elenco esaustivo appare difficile, se non impossibile.
Si possono però indicare alcune delle risorse che ricorrono più di frequente negli attacchi, come l’e-mail, la posta elettronica certificata (PEC), l’SMS, il telefono sia fisso sia mobile, servizi web specie se offerti tramite social network o siti internet, oppure ancora tramite app (come ad esempio WhatsApp).
Già solo queste risorse informatiche si ritrovano in gran parte degli attacchi ed è allora molto importante capire quali sono le tattiche di impiego nello scenario criminale.
Gli economy criminal hacker: chi sono e quali strategie di attacco adottano
Cos’è una risorsa informatica autentica
Come noto, in internet il contatto tra persone avviene sempre tramite l’intermediazione di risorse informatiche, che permettono di comunicare in vario modo.
Nuova Direttiva Whistleblowing: la guida a obblighi, tutele e sanzioni
Come per ogni strumento di comunicazione, si pone il problema di individuare chi è l’autore del messaggio che può essere trasmesso ad altri in vari modi, ad esempio in forma diretta ed esclusiva tra soggetti (email o PEC), oppure il messaggio può essere messo a disposizione pubblicamente su una risorsa informatica accessibile sul web (si pensi ad un blog o sito internet). Se quel messaggio proviene dall’autore che lo ha creato e non ha subito alterazione dopo l’invio o la pubblicazione, si può ritenere quel messaggio autentico.
L’autenticità delle risorse informatiche è spesso garantita dal fatto che il controllo della risorsa informatica è riservata, tramite accorgimenti tecnici, solo al titolare della stessa, che è l’unico che può utilizzarla[2].
Il controllo della risorsa informatica può avvenire in molteplici modi che vanno dalle semplici credenziali (user e password), anche rafforzate (MFA, Multi Factor Autentication, come ad es. un codice (OTP – One Time Password) che arriva su cellulare tramite SMS), o altri strumenti più sofisticati, come l’utilizzo di crittografia asimmetrica anche basata su chiavi biometriche. Inoltre, il messaggio inviato da quella risorsa può avere degli accorgimenti tecnici che proteggono il messaggio da alterazioni o al limite, che le rendono evidenti[3].
È chiaro che tanto più si può ritenere un messaggio autentico quanto più l’accesso alla risorsa informatica sia protetto da intrusioni altrui e sussistano strumenti per garantire l’integrità del messaggio.
Risorsa informatica autentica, ma compromessa
Peraltro, la particolarità di una risorsa informatica è che una volta inserite le credenziali di accesso, più o meno robuste, queste potranno essere utilizzate da chiunque ne sia in possesso, anche se diverso dal suo titolare[4].
Da questa ipotesi emerge come una risorsa informatica autentica possa essere compromessa, comportando che i messaggi sono sì inviati dalla stessa risorsa informatica autentica, ma non sono stati creati dal suo titolare, bensì da un terzo soggetto che ha la disponibilità delle credenziali di accesso, carpite in modo illecito al titolare stesso (od acquistate in modo illecito nel darkweb o dagli IAB – Initial Access Broker).
La risorsa informatica rimane sempre autentica nel senso che questa è integra e funzionale secondo le specifiche tecniche previste, quindi, in grado di generare messaggi o di pubblicarli in modo conforme alle sue stesse specifiche, dando luogo a messaggi che sono di per sé integri e non alterati.
Se, ad esempio, qualcuno carpisce le credenziali di una PEC al suo titolare, sarà in grado di connettersi all’account ed inviare messaggi, i quali saranno correttamente associati a quell’account PEC, senza possibilità di capire tecnicamente se effettivamente l’autore del messaggio è stato il titolare della risorsa informatica o altro soggetto.
Si tratta sempre della stessa risorsa informatica che è autentica, proprio perché conforme alle specifiche tecniche previste, senza alterazioni nel suo funzionamento. Se terzi entrano illecitamente in possesso delle credenziali di accesso, saranno in grado di produrre messaggi tecnicamente autentici, proprio perché provenienti da quella risorsa informatica autentica cui corrispondono le chiavi di accesso.
Differenza tra autenticità e veridicità
Non si deve poi confondere il concetto di autenticità tecnica di un messaggio, in quanto proveniente da una risorsa informatica autentica, con la veridicità dello stesso. La veridicità riguarda la correttezza della rappresentazione della realtà contenuta nel messaggio rispetto alla realtà stessa[5].
Un messaggio può essere tecnicamente autentico ma non veridico, perché quanto rappresentato non corrisponde ai fatti ivi esposti.
Quindi, per esempio, il messaggio può essere firmato come proveniente dal titolare della risorsa e tecnicamente essere autentico, proprio perché proveniente dalla risorsa informatica autentica, ma non essere veritiero perché non è stato il titolare a creare e firmare il messaggio come in esso indicato, ma il terzo, che ha compromesso la risorsa informatica carpendo illecitamente le credenziali di accesso.
C’è un problema di non poco conto: per riconoscere se una risorsa informatica autentica è stata compromessa, non posso basarmi su dati tecnici proprio perché il messaggio è stato generato dalla risorsa informatica autentica e quindi ha tutte le caratteristiche tecniche previste che ne confermano la sua autenticità tecnica, quindi il provenire dalla prima.
Una possibile strada è quella di contattare il titolare della risorsa informatica autentica, chiedendo conferma sulla legittimità del messaggio attraverso canali di comunicazione alternativi, come una chiamata telefonica o un messaggio a un altro indirizzo email noto del mittente, interrogandolo su dettagli noti solo a lui.
L’altra strada è quella di verificare la veridicità del messaggio, è quindi essenziale imparare a identificare contesti e segnali, che potrebbero indicare un tentativo di frode cercando di capire se la realtà descritta nel messaggio e il modo con cui viene espresso, sono verosimili in relazione al titolare che l’ha inviato. In particolare, è importante vagliare se l’azione richiesta nel messaggio sia ragionevole oppure sia anomala, se il linguaggio e lo stile di scrittura del messaggio è molto diverso dal modo solito in cui il mittente scrive, se il messaggio contiene cambiamenti improvvisi di tono, se vengono richiesti pagamenti o informazioni personali. Valutare il contesto è la chiave per riconoscere se un messaggio è veritiero, anche quando proviene da una risorsa informatica autentica.
Quest’approccio non è affatto semplice, perché le persone, una volta verificato tecnicamente che il messaggio proviene dalla risorsa informatica autentica[6], tendono a non considerare più (o lo fanno molto raramente) il problema di capire se il messaggio è veritiero o meno.
L’approccio mentale rivolto a valutare la veridicità di un messaggio richiede l’apprendimento di una abilità specifica che solo una formazione ad hoc e un allenamento costante, possono svilupparla in modo efficace.
NOTE
Si noti che i criminal hacker possono utilizzare anche attacchi basati su mezzi analogici, come la posta ordinaria, combinati spesso, ma non sempre, con strumenti informatici. Nel presente lavoro si esamineranno solo gli attacchi basati unicamente su quest’ultimi elementi, ma i principi esaminati, mutatis mutandis, sono applicabili anche ai primi. ↑
Ci sono ovviamente risorse informatiche che possono essere utilizzate anche da più persone, come un sito web o una casella di posta, in cui è il titolare, di solito un’organizzazione, che delega ad operare nella risorsa informatica i propri delegati. In questo caso i messaggi saranno imputati all’organizzazione che ha il controllo della risorsa informatica appunto tramite i propri delegati. ↑
Situazione ricorrente sono le trasmissioni cifrate o messaggi in cui è possibile verificare l’integrità tramite hash (es. SHA256), in combinazione con chiavi asimmetriche, come per esempio la PEC o firme digitali. Per approfondimenti, vedi il corso su udemy.com “Firma digitale: apprendere una competenza per il tuo futuro” dell’avv. Gianluca Dalla Riva. ↑
Può accedere anche l’ipotesi in cui il titolare della risorsa informatica inserisca le credenziali e non si accorga che altri stanno utilizzando, a sua insaputa, la risorsa informatica. Si pensi al caso del computer lasciato incustodito senza salvaschermo protetto da password, con la sessione di posta elettronica ancora attiva. ↑
Se in un video si vedono delle persone che entrano in una gioielleria armati di pistole e minacciano il personale di aprire la cassaforte, facendo razzia dei preziosi, si può pensare che rappresenti una rapina. Per accertarsi che la rappresentazione del video sia conforme alle realtà, una prima valutazione è stabilire l’autenticità del video, cioè il fatto che non sia stato modificato dopo la sua creazione. E’ chiaro invece che se il video è stato alterato con strumenti digitali (oggi con l’AI diventa facilmente fattibile), è di per sé non attendibile. Tuttavia, anche se autentico e quindi non ha subito alcuna modifica, ciò non è sufficiente per confermare che quanto si vede nel video è una rapina, perché il fatto rappresentato non è detto che sia effettivamente una rapina, ma potrebbe essere una messa in scena studiata dal gioielliere per frodare l’assicurazione (casi che ogni tanto si leggono nei giornali). Quindi anche se il video è autentico, tuttavia quanto rappresentato non è veritiero. ↑
A volte, se non spesso, questo passaggio viene eseguito con disattenzione. ↑
Le strategie che fanno bene al business e alla cyber security
@RIPRODUZIONE RISERVATA