Cyber-attacchi: truffe e minacce informatiche 2/ed. (Murenec - Egaf)

Dal phishing al man in the mail: casi reali, aspetti tecnici e giurisprudenziali di rilevamento e di prevenzione.

Stiamo assistendo, sempre più, ad una escalation di attacchi cyber e di crimini informatici a tutto campo, tanto da rendere “chiunque” il potenziale bersaglio.

I metodi per condurre un attacco informatico possono essere svariati, in dipendenza delle particolari minacce, rischi e vulnerabilità dei sistemi che si intendono attaccare, così come altrettanto diverse possono essere le armi o i “cyber weapon”, cioè gli strumenti utilizzati (azioni-minaccia), per porre in essere tali attacchi.

Fra quelli che ormai sono entrati nella terminologia di uso comune ci sono gli attacchi phishing, ossia la tipologia di truffa a base di ingegneria sociale - social engineering - che fa uso di quell’e-mail che ritroviamo spesso nelle nostre caselle di posta elettronica e che ormai sono divenute il più conosciuto e riconosciuto vettore di minacce cibernetiche.

Accanto a questa forma di attacco informatico-finanziario, che oserei definire “consueto”, negli ultimi anni si è fatta strada anche un’altra variante, che riguarda particolarmente l’imprenditoria, più conosciuta come “Business E-mail Compromise” (BEC), la quale rappresenta una delle minacce meno sofisticate, ma tra le più efficaci, dove la tecnologia è soltanto un mezzo nuovo per portare a termine raggiri vecchi, in grado di mettere in serio pericolo le organizzazioni di ogni dimensione, perché fanno uso di e-mail che all’apparenza provengono da un account interno all’azienda”.

Chiunque deve tener presente, sempre di più, sia nei rapporti interprofessionali che nei rapporti con l’esterno, la “consapevolezza” (“awareness”) del rischio e, quel che è ancora più importante, del non sottovalutarlo; il contenuto racchiuso nella parola “consapevolezza” è l'insieme di tre elementi:

- informazione

- aggiornamento

- prevenzione.

Ciò non significa non far uso dei servizi di home banking o di non fare acquisti/vendite in Rete, ma significa imparare ad usare delle accortezze: andare direttamente all'indirizzo web; verificare la sicurezza della pagina di login; verificare le mail provenienti dal proprio Istituto di Credito; ricorrere al sistema della doppia autenticazione (OTP) collegandola ad eventuali messaggi di alert; evitare di collegarsi con i propri dispositivi al Wi-Fi pubblico disponibile se non necessario; controllare frequentemente il proprio account e il proprio conto corrente bancario e, nel caso di anomalie, disconoscere quelle operazioni registrate e rivolgersi prontamente di persona all’Istituto di Credito di riferimento ed alle Forze di polizia qualora necessario.

Fermo restando che può succedere a chiunque di incappare in questi tentativi di truffe, questo libro cerca di fornire in modo approfondito, ad ogni persona fi sica e/o giuridica, un “focus” completo sulle metodologie di attacco dal “phishing” al “man in the mail”, sugli strumenti di rilevamento e soprattutto sulle tecniche di prevenzione, senza tralasciare gli aspetti giuridico-investigativi necessari per addivenire a determinare

i profili di responsabilità civile e penale in cui possono incorrere i loro autori, qualora venissero individuati.

Al tempo stesso si rivolge tanto ai Consulenti Tecnici quanto alle Forze di polizia chiamate ad affrontare il fenomeno, su un piano prettamente investigativo nazionale e/o di cooperazione internazionale, affinché siano capaci di lavorare in perfetta sinergia per raccogliere tutti quegli elementi digitali necessari che consentano di intervenire prontamente e, per lo meno, di evitare che la vittima, pur avendo subito un trauma e una perdita economica, rischi di non veder ascoltata la propria voce e quindi rischi di essere vittima ineffabile del sistema.