STORIA 1: Quando l’e-mail sembra quella di un collega
Matteo e Martina.
Matteo riceve una e-mail dalla collega Martina con la quale ha frequenti scambi di posta. L’e-mail di Martina è infatti una risposta ad un messaggio di diverse settimane prima e invita Matteo a prendere visione di un documento linkato. I toni sono insolitamente secchi ma è già capitato che Martina abbia avuto una
giornataccia. Matteo clicca sul link al documento e gli vengono richieste le credenziali. Matteo non si pone alcun problema: è un’e-mail interna, di persona conosciuta, in un contesto attendibile. Inserisce le credenziali.
No Name.
Pochi istanti dopo dal sito abilmente contraffatto, un programmino automatico riceve i dati e testa automaticamente le credenziali di Matteo su un centinaio di diversi siti, tra cui tutti i social network, tutti i drive in cloud esistenti compresi quelli dove Matteo ha le foto dello smartphone. E poi Amazon, Netflix, PayPal. Tutto. Laddove le credenziali risultino funzionanti, e mancassero sistemi di autenticazione a più fattori, le password saranno cambiate, i dati esfiltrati alla ricerca di materiale interessante come numeri di carte di credito, account bancari, portafogli di criptomoneta e molto altro. Nel frattempo, il criminale informatico festeggia: grazie alle credenziali di Matteo è già dentro la VPN aziendale e sta frugando alla ricerca di altri dati e di vulnerabilità utili per preparare il colpo grosso.
Matteo e Martina.
Matteo è perplesso. Chiama Martina che però non risponde, è in call. Ne parla con il suo collega di ufficio che ha ricevuto la stessa e-mail ma l’ha ignorata in quanto era evidentemente phishing. Matteo si sente in imbarazzo e decide di non dire niente a nessuno. Dopotutto l’allegato non si è mai aperto, era una pagina bianca, e le credenziali inserite non hanno funzionato. In ufficio poi ci sono potenti antivirus. Decide che no, non ha voglia di farsi sgridare da quelli dell’Information Technology, cancella la e-mail, svuota il cestino, per sicurezza. «Non è successo niente». Il danno è fatto.
STORIA 2: Quando la truffa corre sul filo di una richiesta di bonifico internazionale
Jonn e Martina.
John lavora da anni presso gli uffici amministrativi di una importante azienda di trading olandese. L’importazione di macchinari dall’Italia è il loro core business. Questa mattina John ha ricevuto da Martina, responsabile amministrativo di una azienda del Varesotto con cui lavora da anni, una insolita richiesta. Martina sollecita il pagamento di una grossa fattura in scadenza, indicando le coordinate di un conto corrente inglese, invece del solito conto italiano. Mentre prepara il bonifico pensa che, probabilmente, la Brexit ha modificato gli scenari finanziari ed economici.
No Name.
Dopo settimane di intercettazioni della posta tra John e Martina, l’intruso è emozionato. Il malware che ha installato nel Pc di Martina sta iniziando a dare i suoi frutti e finalmente ha potuto mettere le mani su una fattura estero molto sostanziosa. Creare un falso sollecito in Pdf per John, indicando per il pagamento l’Iban del conto inglese che ha aperto online poche ore prima, usando documenti altrui comprati dal web, è stato un gioco da ragazzi. Il vantaggio di operare sull’estero è che si usa l’inglese e non occorre scervellarsi a tradurre dall’italiano. Una notifica dal suo cellulare con Sim intestata ad un prestanome gli conferma che il bonifico è arrivato. Con pochi colpi di mouse trasferisce l’intera cifra sul suo portafoglio di BitCoin e poco dopo fa sparire tutte le sue tracce. Anche se è sicuro che per poche decine di migliaia di euro nessuna autorità pubblica si prenderà il disturbo di indagare.
Martina.
Martina inoltra distrattamente al capo l’e-mail di John che assicura di aver pagato quanto in scadenza. Prossimamente avrà la disponibilità della grossa cifra nel conto. Si tratta solo di aspettare qualche giorno e poi potrà pagare a sua volta alcune grosse fatture in scadenza. “Per fortuna che gli olandesi pagano sempre puntuali, quasi in anticipo”, pensa.
Per le organizzazioni criminali è un gioco da ragazzi creare un falso sollecito di pagamento su carta intestata, indicando coordinate bancarie fittizie su un conto straniero a disposizione dei malviventi che lo svuoteranno facendo perdere le proprie tracce
STORIA 3: Quando l’unica soluzione è aspettare che l’It faccia il suo lavoro
Martina.
L’attacco cryptolocker della settimana precedente aveva messo in ginocchio l’azienda. Tutto fermo tranne le e-mail. Non si riusciva a spedire, a fatturare, a lavorare sui progetti. Anche in produzione un paio di centri di lavoro erano fermi. Insomma, un disastro. I ragazzi dell’It hanno però fatto miracoli e quel venerdì mattina la situazione sembra essere decisamente migliorata, senza peraltro pagare un centesimo ai ricattatori. Martina, in smart working forzato, accende il suo portatile e si collega alla Vpn aziendale per cercare di recuperare un po’ del mostruoso arretrato che si è accumulato con questo incidente. La rete è lentissima, non va. Prova ad accedere dalla intranet aziendale, ma è totalmente fuori servizio, così come il sito aziendale. Chiama in azienda, ma il nuovo sistema telefonico non dà segni di vita. Al cellulare personale l’It Manager le riferisce che sono sotto attacco e che al momento non può fare altro che aspettare.
No name.
L’organizzazione di criminali informatici che ha preso di mira l’azienda di Martina non ha affatto gradito che non vi sia mai stato nessun tentativo di contatto con loro, nemmeno per negoziare un riscatto. Ne va della credibilità del gruppo. L’azienda deve essere messa in condizioni di non poter operare. Viene quindi scatenato un DDoS attack su larga scala. Le reti di comunicazione esterne, il sito e tutti i servizi esposti aziendali vengono presi di mira da una vera e propria inondazione di pacchetti internet, provenienti da dispositivi compromessi sparsi per il mondo e nella disponibilità dell’attaccante. Una situazione in grado di mettere di nuovo in ginocchio l’azienda.
Matteo.
Matteo chiama il reparto It per chiedere quando pensano di poter risolvere il problema. Dopo giorni di inattività forzata quell’ulteriore blocco non ci voleva proprio. Il reparto It risponde di avere le mani legate e che dovranno intervenire per forza il carrier di telecomunicazioni ed i vari service provider per bloccare il traffico ostile a monte. “A proposito, Matteo - chiede il responsabile - sai che la prima intrusione, quella che ha scatenato tutto è avvenuta utilizzando le tue credenziali? Per il momento le abbiamo disabilitate. Dobbiamo parlare”.
STORIA 4: Quando la distrazione in smart working apre la falla
Matteo.
Matteo in smart working ha sempre lavorato molto bene, gestendosi il tempo e riuscendo finalmente a conciliare la sua passione per il crossfit con l’impegnativa attività professionale da giovane manager in piena ascesa. Un solo problema, però, lo assilla da tempo: non riuscire ad accedere ai progetti per discutere con i clienti davanti al disegno come fa in ufficio, cliccando un’icona con scritto Rdp “qualcosa”. Durante un’assenza forzata per un infortunio in palestra, però, Matteo grazie all’intercessione del suo capo, riesce finalmente a poter accedere a quel benedetto Cad anche da casa. Sembra un sogno. “Ok ma per un tempo limitato” dice l’IT, “massimo una giornata o due e ricordati di uscire dall’account quando hai finito”. No Name. Lo scanner, un programma spia, sguinzagliato sulla rete aziendale da un attaccante incaricato da un’azienda concorrente straniera, dà finalmente il sospirato esito positivo. C’è una falla. Si può entrare. Da quello spiraglio di accesso lasciato esposto su Internet, con alcuni semplici passaggi e grazie ad alcune vulnerabilità note, è possibile prendere il controllo della macchina esposta. L’attaccante inizia ad esplorare la rete aziendale organizzando la sottrazione sistematica e silente di tutti i progetti e
dei riferimenti di tutti i clienti. “Un giorno, da qualche fiera, in qualche paese in via di sviluppo, arriverà una foto di un macchinario identico al loro tranne che per il marchio, allora forse si faranno qualche domanda” sogghigna l’attaccante.
Matteo.
Matteo realizza di non essersi sloggato nella precedente sessione che trova ancora come l’ha lasciata la sera precedente. Del resto, era in ritardo e doveva raggiungere il box di crossfit entro pochi minuti per le gare. “Per una volta cosa vuoi che succeda?”
Il grimaldello che permette ad un hacker di entrare nella rete aziendale e di rubare i progetti che custodisce può essere rappresentato da un PC portatile usato per lo smart working, lasciato acceso e collegato alla Vpn, anche a lavoro finito
STORIA 5: Quando a tradire l’azienda è l’uso da parte dei dipendenti dei propri strumenti personali
Matteo.
Matteo ha sempre pensato che il segreto del suo successo fosse di non concedere nemmeno un centimetro del suo vantaggio competitivo alla concorrenza, soprattutto quella interna. “Ce l’ho sui miei file di Excel, non scappa niente” è solito dire al suo capo, che periodicamente riceve degli splendidi report e non si pone nessun problema. Del resto, il sistema Erp aziendale è talmente noioso e farraginoso da far scappare la voglia a chiunque di usarlo. Il Laptop aziendale poi, non ne parliamo. Lento e con strani meccanismi che puzzano di controllo. Meglio usare il suo nuovissimo Core i7 di ultima generazione.
No Name.
Quando Matteo si trova davanti al carabiniere per sporgere denuncia non riesce quasi a parlare. “È stato un attimo” continua a ripetere. “Stavo andando al parchimetro e mi hanno rubato giacca, borsa, portatile e cellulare”. Matteo. Il giorno dopo Matteo spiega al suo capo che no, non c’è un backup, era il suo
pc personale, del resto. Non c’era una crittografia e nemmeno una password. Una serie di informazioni commercial vitali per l’azienda era andata persa nella migliore delle ipotesi, oppure era caduta in mani sbagliate. Il cellulare aziendale era spento in borsa. Tutti i contatti e la posta erano stati spostati sul suo nuovissimo iPhone personale, molto più veloce. No, il blocco del telefono no, perché il Face ID con la mascherina è un disastro e lo aveva disabilitato. Il danno è servito.
Per saperne di più leggi anche: