Il target può essere rappresentato sia da singoli che da imprese (piccole e/o grandi), enti pubblici, associazioni, etc. Come efficacemente spiegato dal Vicepresidente di Eurojust, viene impostata una vera e propria campagna di ingegneria sociale, volta a carpire dati utili da usare nell’attacco attraverso l’elusione dei sistemi di sicurezza eventualmente predisposti.
Seconda fase: intrusione
Gli hacker scelgono, sulla base delle informazioni raccolte nel primo step, la strategia volta a violare il sistema di sicurezza dell’azienda.
Una delle modalità più utilizzate per la fase di intrusione è il c.d. phishing, che si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli – solo apparentemente provenienti da istituti finanziari o da siti web che richiedono l’accesso previa registrazione – con i quali, riferendo inesistenti problemi di registrazione o di altra natura, si invita l’utente della rete a fornire i propri riservati dati di accesso al servizio.
Un pericolo più subdolo arriva dall’utilizzo dei virus informatici, che infettano solitamente attraverso il classico allegato al messaggio di posta elettronica, celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato .doc o .pdf.
L’obiettivo è quello di ottenere il controllo dei dispositivi in remoto.
Terza fase: studio del network aziendale
Il cybercriminale in questa fase persegue lo scopo di allargare il più possibile la quantità di dati a sua disposizione e la loro futura compromissione, provando a individuare dove si trovano i database che custodiscono informazioni sensibili, come ad esempio le password di accesso alla rete di protezione.
Quarta fase: accesso ai dati aziendali
Una volta ottenute le credenziali e mappato il sistema, gli hacker puntano al controllo dei sistemi informatici dell’azienda. In questo step, i cybercriminali possono avere ottenuto accesso a tutti i server dell’impresa: mail, documenti sensibili, informazioni su clienti/fornitori, pagamenti, consulenti, etc.
Quinta fase: l’attacco finale e la richiesta di riscatto
Una volta catturata la vittima, cioè i dati contenuti sui sistemi informatici, si avvia la fase di contatto, mirando all’ottenimento di denaro in cambio della liberazione dei dati o del sistema informatico.
Nel caso di attacco cyber, i dati contenuti nelle macchine colpite sono criptati attraverso un ransomware (tipo di malware che limita l’accesso del dispositivo che infetta).
Spesso, con modalità tipiche delle condotte estorsive, l’azienda riceve una comunicazione via e-mail con cui si rappresenta l’avvenuta acquisizione dei dati sensibili aziendali e/o la possibilità di procedere al blocco dei sistemi o all’alterazione e divulgazione dei dati e che tanto non avverrà in cambio della corresponsione di somme di denaro o di criptovalute.
Davide Tupputi è avvocato. Ha discusso la tesi di Master in diritto penale d’Impresa presso la Cattolica di Milano in materia di criptovalute e crimine informatico