Hack & Sec

26 Novembre Nov 2017 2329 26 novembre 2017

Quanto valete? Meno di due centesimi

  • ...

Centomila dollari in cambio di 57 milioni di clienti. Tanto ha pagato Uber, la multinazionale dei trasporti con autista, per avere la garanzia che i dati dei suoi clienti non sarebbe stati divulgati o venduti sul mercato nero dai criminali informatici che oltre un anno fa hanno violato i suoi sistemi informatici. La scorsa settimana lo “scandaloso” comportamento di Uber ha suscitato la perplessità dei media e l’interesse delle autorità europee che vogliono vederci chiaro sulla mancata denuncia e sulle eventuali conseguenze per i cittadini europei coinvolti. In realtà trovo sia molto più interessante il riscatto pagato. I criminali hanno valutato ognuna delle identità rubate poco meno di due centesimi e questo ci dice molte cose. In primo luogo il mercato dei dati personali è inflazionato, almeno quando si parla di grandi basi dati non selezionate. Se vi domandate la ragione, la risposta è in realtà molto semplice. Se consideriamo i furti emersi negli ultimi anni a partire da Yahoo!, la quantità di identità disponibile sul mercato è superiore al numero di abitanti del pianeta. Inoltre, dal punto di vista dei criminali è preferibile avere informazioni più precise. Il caso Unicredit del luglio scorso oppure quello che ha coinvolto l’americana Equifax avevano questa caratteristica. Nel primo caso si trattava di 400 mila individui che avevano in essere un finanziamento, nel secondo si parla della profilazione finanziaria di 146 milioni di soggetti. Le informazioni individuano gruppi omogenei oppure non sono limitati a banali anagrafiche, quindi hanno un più ampia possibilità di sfruttamento. Tanto per fare un esempio: un conto è cercare di ottenere finanziamenti con un’identità qualsiasi, un altro potere disporre di una veramente “affidabile”. Questo cambiamento negli obiettivi della criminalità informatica dimostra un’evoluzione verso una maggiore raffinatezza che punta più alla qualità che alla quantità. Altri casi recenti come gli attacchi alla SEC, l’equivalente statunitense della Consob, e a Deloitte, una delle principali società di revisione dei bilanci, lasciano intendere chiaramente come la caccia sia alle informazioni privilegiate, quelle che posso essere utilizzate, per esempio, per speculare sui mercati finanziari. In Italia a ottobre erano emersi una serie di attacchi verso studi legali e notarili, ma si trattava di ransomware, con la relativa richiesta di riscatto, tuttavia si potrebbe anche immaginare che questo sia stato semplicemente un diversivo, magari per celare una sottrazione di informazioni riservate perpetrata precedentemente. Aggiungiamo un ultimo elemento. Sono in costante crescita gli attacchi di spear phishing, cioè il tentativo di colpire persone singole attraverso email fortemente personalizzate. Ovviamente, richiedendo un certo sforzo, sono attività che puntano a personaggi di rilievo soprattutto in ambito aziendale. Una volta raggiunto l’obiettivo si osserva il suo modus operandi per poi orchestrare una truffa ai danni dell’impresa, spesso inviando false disposizioni di pagamento. Se voi che non siete un top manager iniziate a sentirvi tranquilli, prima di rilassarvi completamente domandatevi se ne avete uno tra le vostre conoscenze. Per arrivare a lui un criminale potrebbe utilizzare voi e la vostra identità digitale, perché “chi trova un amico (quello giusto), trova un tesoro”.

Correlati