Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

 2017  gennaio 11 Mercoledì calendario

Ecco come i “malware” colpiscono i Paesi più deboli

È sempre lei, la mail. Non l’unico ma di certo il preferito vettore d’attacco di software malevoli, che si tratti di crimine informatico, spionaggio o indagini giudiziarie. Anche nell’inchiesta Eyepiramid lo schema ruotava tutto attorno alla posta. A partire dall’invio di mail di phishing, in cui il destinatario pensa di ricevere un messaggio di posta elettronica da qualcuno che conosce e invece si tratta dell’attaccante. Da qui in poi i modelli possono variare. Nel caso Eyepiramid, le mail si accompagnavano con allegati mascherati da documenti che invece infettavano il computer, una volta scaricati e aperti, con un file eseguibile. In pratica, secondo gli inquirenti, Giulio Occhionero si sarebbe scritto da solo un codice malevolo, un malware, che una volta veicolato sul pc della vittima (via mail) ne prendeva il controllo. Il computer infettato comunicava a quel punto con un server, detto appunto di comando e controllo, che stava negli Usa e che faceva da cabina di regia, con cui si connetteva da remoto anche l’attaccante. Da lì avrebbe inviato comandi ai dispositivi infettati, sottraendo (in gergo, esfiltrando) una serie di dati. In particolare avrebbe intercettato e copiato coppie di credenziali (nome utente e password) di account cloud o di webmail; ma anche documenti, file. Secondo gli inquirenti, il malware sarebbe esistito da anni, benché progressivamente evoluto e ritoccato. Anche se sembra essere passato a lungo sotto traccia, forse perché appunto “autoprodotto” e con una diffusione limitata rispetto ad altri virus analoghi. Certo il nome che gli è stato dato non dice nulla agli analisti di codici malevoli. Avrebbe colpito anche alcune caselle di posta di domini istituzionali (come Camera.it o Interno.it) oltre che gli account personali (tipo Gmail) di alcuni esponenti politici. Dei 18 mila username presenti nei dati rinvenuti dagli inquirenti, solo 1800 circa sarebbero stati accompagnati però da password. Gli altri sembrano essere tentativi, anche ripetuti, di infezione, incluso un account di Matteo Renzi.
Il phishing è sostanzialmente un’operazione di ingegneria sociale che sfrutta falle umane, oltre che software. E su entrambi i fronti l’Italia non brilla, come evidenziato negli ultimi due anni dal bombardamento di attacchi ransomware, i virus che cifrano i file sul pc chiedendo un riscatto. L’Italia è il quarto Paese al mondo per infezioni da ransomware secondo la società di sicurezza Kaspersky; il secondo in Europa per numero di dispositivi zombie, cioè di computer infettati con un malware e controllati da remoto.
«I ransomware li hanno presi tutti: banche, enti, aziende. E i trojan come Eyepiramid sono solo più cattivi nel senso che non ti avvisano della loro presenza», commenta l’esperto di indagini digitali Paolo Dal Checco. «Se passano i ransomware, insomma, passano anche questi. Del resto la mail di phishing è molto insidiosa, basta rimescolare bene il codice del malware per non essere notati dagli antivirus». Questi infatti riconoscono le “firme” di virus già noti, ma hanno difficoltà con quanto è nuovo e sconosciuto.