Quando parliamo di Cybersecurity dovremmo essere precisi, riferirci cioè a un insieme di tecnologie, processi e pratiche volti a proteggere reti, dispositivi, applicazioni e dati da attacchi, danni o accessi non autorizzati. Se a livello mondo si stima che il danno totale da attacchi e violazioni si aggiri su 1.5 trilioni di dollari annui, la suddivisione di questa cifra astronomica (il PIL degli USA è 21 trilioni, tutto il mondo 85, nel 2020) presenta qualche sorpresa. Gli attacchi “web-based” sono responsabili solo per circa un decimo dei danni, i virus tradizionali entrano in un terzo delle violazioni, mentre l’assoluta parte del leone la fanno phishing e social engineering. Come dire:
Perché hackerare un computer se è più facile hackerare una persona?
Social Engineering è il termine che copre svariate attività malevole basate sulla semplice interazione umana usando lo psychological maneuvering per aggirare la sicurezza o ricavare info sensibili. Ci possono cascare tutti, belli e brutti, pulzelle e maritate. Altrove abbiamo parlato del senso di colpa che affligge la vittima di frode informatica: siccome nessuno è immune, bisogna vigilare per non deprimersi dopo. Quando iniziai la mia carriera come giovane sistemista di mainframe Big Blue, venni mandato una settimana a sporcarmi le mani in sala macchine. Quello che mi spiegava mostrò il pannello del 43xx dove c’era, protetto da una teca in plexiglass, un pulsante rosso, quello di interruzione brutale e immediata, una specie di freno d’emergenza della metro. Tolse la teca e disse assertivamente: questo non si preme mai, deve venir giù il mondo e lo indicava con il dito. Solo che lo indicò troppo e lo premette. Eh, si sbaglia e ancor oggi sono preso dalle convulsioni al ricordo di quel che accadde dopo. Quindi non deprimiamoci.
Alcuni ingegneri sociali hanno un talento naturale, una faccia di bronzo capace di manipolare e subornare come il leggendario Victor Lustig che vendeva la torre Eiffel come Totò e Nino Taranto con abile copione a due (“Me’n vo ingrullito …”) vendevano la fontana di Trevi. Il social engineering richiede conoscenza della vittima designata, dei potenziali punti di ingresso e dei presidi di sicurezza informatica più aggirabilii. L’elemento base dell’attacco è la conquista della fiducia da parte della vittima, che viene così spinta a violare le norme di sicurezza.
Secondo www.terranovasecurity.com esistono cinque stati emotivi basici per cui si è frodati: la Paura innanzitutto. E’ enorme l’importanza della paura nella vita umana. Lo dicono gli studi compiuti ai tempi degli scienziati pazzoidi eugenetici americani, a cavallo fra le due guerre del secolo scorso: bimbi di 3 mesi venivano esposti ad animali come conigli e topi, poveri piccini, e innocenti non piangevano, poi la comparsa delle bestiole veniva accompagnata da rumori improvvisi e loro imparavano ad avere paura degli animali cui associavano lo sgradevole suono. Dal giorno che vi ha suonato il postino portandovi la raccomandata AdE che vi ingiungeva di pagare 36,000 €, ogni citofonata vi inquieta. Il social engineer vi scatenerà una paura enorme, tale che vi sembrerà un sollievo sanare le cose con un 3000 sull’unghia.
Dopo la paura c’è però l’Avidità, tipica nella truffa del principe nigeriano, così nota che non sto nemmeno a descriverla. Quell’eredità favolosa va solo sbloccata con 1000 € al famoso notaio Tofregatu di Nairobi, e poi via… turisti per sempre! Poi c’è anche la Curiosità: i cybercriminali ti coinvolgono in un evento che a dir loro ti riguarda (un’agevolazione, un cambio di leggi) e ti inviano le prove da visionare, che sono un malware. La Disponibilità, la forma più infame di truffa, fottere il prossimo facendo leva sulla solidarietà. Passava un incaricato di una ONLUS a ritirare una modesta offerta dai miei genitori anziani; quando lo seppi piantai una cagnara degna delle mie origini proletarie, loro non mandarono più la persona. Poi indagando seppi che erano di un’onestà specchiata e facevano veramente del bene. Anche questo va messo sul conto dei social engineer. Poi l’Urgenza, esempio: ricevi una email falsa o uno spoofing, da parte di qualcuno con cui hai p.es. un ordine in corso e che, causa un fantomatico impiccio sopravvenuto, ti chiede di confermare i dati della tua carta di credito al volo.
Sono ormai generalmente noti gli strumenti di cui si avvalgono i cybercriminali. Il Phishing prende di mira le persone tramite i social network e la mail e in particolare lo Spear Phishing si appunta (spear) su un gruppo specifico di persone, non è la solita trappola scritta in pessimo italiano ad oves et boves. Whaling si rivolge alle whales, le balene, i dirigenti di un’azienda, vulnerabili perché iperimpegnati e abituati a delegare tutto, quindi incapaci sul piano manuale.
Il Watering Hole inietta script dannosi in siti web pubblici. Il Pretexting contrariamente al Phishing falsifica la vittima non il malfattore: giro su di te, che non te ne accorgi, le obbligazioni che deve pagare un altro, cioè io. Da collegare al Catfishing : qualcuno usa un’identità online rubata allo scopo di instaurare una relazione falsa o ingannevole. Con il Tailgating cercano di sminare le restrizioni mirate di alcuni siti. Il caro vecchio Dumpster Diving cerca informazioni nei rifiuti della vittima. Nel Quid Pro Quo Il cybercriminale offre un servizio in cambio di informazioni. Il Business Email Compromises (BEC): questo tipo di frode è eclatante per il valore economico; diversi tipi di truffe BEC sono costati alle vittime, e alle loro assicurazioni, ben oltre un miliardo di dollari. In sostanza, si riesce a dirottare sul proprio IBAN p.es. un bonifico comunicando la presunta variazione spacciandosi per il vero creditore. La mail è quella giusta, la comunicazione è già avvenuta in passato…. Eppure è una truffa. Lo Sm-ishing è il phishing via SMS, il V-ishing via telefonate o messaggi vocali.
Il Baiting getta l’esca (bait) di una falsa promessa mentre al contrario lo Scareware punta su falsi allarmi e minacce fittizie Nel Doxxing (da document) qualcuno minaccia di pubblicare informazioni private ricattando. Il Gaslighting: qualcuno cerca di manipolarvi per mettere in dubbio la vostra sanità mentale (te lo sei sognato; ma guarda che sei solo tu, lo fanno tutti…; etc.) al fine di convincervi a fornire informazioni e password. Nel SIM Swapping qualcuno convince il tuo operatore telefonico a cambiare il tuo numero di telefono per una scheda SIM di loro proprietà. Niente di più facile, sapete bene che le richieste ai call center telefonici sono sempre per le vie brevi.
Discorso a sé merita il Ransomware: le vittime sono indotte a credere che il malware sia installato sul loro computer e se pagano il riscatto il malware verrà rimosso. Oltre che le organizzazioni (Regione Lazio, Bricofer) possono essere colpiti i singoli: il tuo computer è stato bloccato (e lo è veramente o apparentemente, magari basta chiudere e riavviare) o non lo è per nulla: devi versare 300 euro perché hai visitato un sito pornografico e altre sciocchezze del genere. Semmai in quell’area stanno dilagando il revenge porn e lo spamming dai social network, ma quelli sono reati pesanti e non fesseriole improbabili.
Scopriamo con molto ritardo (gli USA si sono mossi nel 2017) che abbiamo Kasperky alla Difesa e non ci possiamo fidare. Chissà dove abbiamo la testa, a furia di non avere mai nessuno che risponde in prima persona di nulla. Ma il problema non è solo questo. Appiccichiamo sticker con le password: Ale, guarda che è tutto maiuscolo.
Desolante l’incuria con cui si gestiscono le password: quasi nessuno ha un “password administrator” nella propria organizzazione, dedicato e distinto dall’amministratore di sistema. Quasi nessuno sa che digitare la propria password su un dispositivo di cui non si ha il controllo rende la password ricostruibile con un gioco da ragazzi. Che un collegamento peer-to-peer rende noto il nostro indirizzo IP statico e ci arriva di tutto, e soprattutto ci parte di tutto con gli anydesk e compagnia varia con cui ci fanno condividere il PC.
Tornando alle password, la più usata al mondo non poteva essere che 123456, seguita dalla numerazione fino a 9, dal famoso qwerty dei primi 6 tasti di lettere. In generale nel mondo spadroneggiano le sequenze numeriche, con l’eccezione di un iloveyou in ottava posizione. In Italia invece si prediligono i nomi propri, mogli, figli, la mamma è sempre la mamma, ma al terzo posto campeggia juventus, al sesto ciaociao. Misurate la vostra forza, gente, come ai baracconi. www.passwordmonster.com vi dice quanto ci vuole a fare fuori la vostra password. Io ne ho cambiata da poco una pensando di renderla più robusta: 11 ore per sgamarla. La precedente, 20 anni.
Bene, siamo stati allocchi e ci hanno soffiato le info che ora vengono mercanteggiate nel dark web. Quanto valgono? Carta di credito fino a 15 euro, patente scansionata fino a 20 euro, passaporto scansionato fino a 15 euro, dati identificativi di base (nome, codice fiscale, data di nascita, email e numero di cellulare): da 40 cent se ‘ndo cojo cojo e fino a a 8 euro se mirati (gruppi target selezionati). Ultimamente di moda il selfie con in mano i documenti: fino a 50 euro (ci apri un cc online). Cartelle cliniche a seconda dell’uso e delle patologie fino a 25 euro. I grossi calibri: conto corrente bancario tra 1% e 10% del saldo e conto PayPal fin quasi a 500 euro, anche qui dipendendo dalla carica della carta.
Da dove viene questa esigenza ansiogena di stare con gli occhi aperti, di proteggersi da sempre nuove minacce? Lo sappiamo. E’ il portato inevitabile della complessità del nostro vivere. I computer ne sono parte integrante e, novelli Achilli, recano la loro potenza e il loro vulnerbile tallone in ogni cosa dove si installano.
Più inquietante è il dove andiamo. Il da me spesso citato Byung-Chul Han, coreano che scrive in tedesco, ha indagato le “visioni dal digitale” in un libro che già dal titolo preoccupa, “Lo Sciame”. I dispositivi digitali hanno cambiato il nostro modo di pensare. Alla comunicazione, all’analisi, alla visione del futuro è subentrato un presente continuo visualizzabile attraverso uno schermo. Una folla che marciava per un’istanza è divenuta uno sciame digitale di individui anonimi e isolati, disordinati e imprevedibili come insetti. Una società che rinuncia alla narrazione di sé per contare i like, bevendosi un’informazione sempre in tempo reale ma spesso non attendibile. Come dire:
La libertà sarà stata solamente un episodio
La psicopolitica di quello che Han chiama il “capitalismo della sorveglianza”: sembra che la tecnologia ci venga incontro con la sicurezza, per ovviare a un’insicurezza che essa stessa ha creato. Una specie di ping-pong domanda-offerta, per cui una quota fisiologica di insicurezza dovrà sempre esistere per giustificare quelli che Nietzsche chiamava i “sostituti della divinità”: lo Stato, gli ospedali, la polizia… Questo, in cambio della piena libertà.
