Normalmente un attacco hacker segue un iter graduale, caratterizzato da più fasi. Alcune delle quali iniziano mesi prima che i target siano colpiti.
Nonostante i sacrifici, soprattutto economici, per potenziare i propri sistemi di sicurezza informatica, aziende e istituzioni, bacino di informazioni preziose, continuano a essere colpite dagli hacker, come dimostrano anche i recenti attacchi malware in grado di mietere molte vittime.
WannaCry prima e Petya poi, due pericolosissimi ransomware, hanno seminato il panico in mezzo mondo, violando centinaia di migliaia di computer e tenendo in scacco i dati delle imprese colpite. E soprattutto, in linea con il modus operandi di questa tipologia di malware, chiedendo il pagamento di un riscatto. Soldi che, come suggeriscono molti esperti, non dovrebbero mai essere versati. Per due motivi: non si avrebbe la certezza che gli hacker, una volta ottenuto il danaro, mantengano i patti e (soprattutto) si alimenterebbe la loro attività criminale. Il problema è che la maggior parte delle aziende non sono ancora in grado di fronteggiare una violazione informatica.
Prima fase: individuazione del target
Per prima cosa gli hacker hanno bisogno di individuare un obiettivo da colpire e progettare come impostare l’attacco. Generalmente, i motivi che muovono le mani dei pirati informatici sono sempre gli stessi: ragioni economiche, possibilità di appropriasi di dati preziosi o danneggiare l’azienda. Una volta individuato il target, parte la fase di studio. I cybercriminali cominciano a raccogliere informazioni sull’azienda e soprattutto sul suo sistema di sicurezza. Viene impostata una campagna di ingegneria sociale, tecnica utilizzata per carpire dati utili da usare nell’attacco. Gli hacker creano un falso website, visitano la struttura e presenziano anche agli eventi organizzati dalla società, con il fine di sapere tutto del target. A questo punto, parte la pianificazione dell’attacco.
Seconda fase: intrusione
Gli hacker scelgono, sulla base delle informazioni raccolte nel primo step, come violare il sistema di sicurezza dell’azienda. In questa fase, i cybercriminali entrano in punta di piedi, nascondendo le loro armi sulle macchine da colpire. Silenziosamente, magari con tecniche di phishing, si appropriano delle credenziali del network di protezione o installano il malware sui computer. L’obiettivo è quello di ottenere il controllo dei dispositivi in remoto. Si tratta di una fase molte delicata, da cui dipende il successo o il fallimento della violazione informatica.
Terza fase: studio del network aziendale
Sempre rimanendo sotto traccia e agendo come un utente autorizzato, l’hacker studia il network aziendale, mappando i server e tutta la rete di protezione. Lo scopo principale è quello di allargare il più possibile la compromissione. Il cybercriminale in questa fase, segretamente come se fosse un virus, analizza il sistema, provando a individuare dove si trovano i database che custodiscono informazioni sensibili, come ad esempio le password di accesso alla rete di protezione. Normalmente, il tutto si verifica mesi o settimane prima che l’attacco sia individuato.
Quarta fase: accesso ai dati aziendali
Una volta ottenute le credenziali, gli hacker prendono il controllo dei sistemi informatici dell’azienda. L’attacco entra in una fase molto calda, perché i pirati informatici compromettono tutti i canali del network di protezione e sono ormai pronti a rendere pubblica la violazione. In questo step, i cybercriminali hanno accesso a tutti i server dell’impresa: mail, documenti sensibili, informazioni sui clienti.
Quinta fase: l’attacco finale
Nell’ultima fase, i cybercriminali escono allo scoperto, mettendo in pratica il loro obiettivo finale: bloccare le attività dell’azienda e chiedere dei soldi in cambio. I dati contenuti nelle macchine colpite sono criptate attraverso un ransomware. Troppo tardi per fermare la minaccia informatica, iniziata mesi prima di essere individuata. Il problema è che gli hacker, usando dei sistemi legittimi, si infiltrano nella rete di protezione dell’azienda senza lasciare traccia.
Come proteggersi
Investire in sicurezza informatica significa non solo usare dei sistemi di protezione sofisticati. Molto importante è mantenere i dispositivi continuamente aggiornati(basta una vulnerabilità di un solo computer per compromettere l’intera rete aziendale) e preparare i dipendenti a fronteggiare sul nascere un attacco hacker. Come visto, gli hacker riescono a ottenere le credenziali di accesso al network aziendale, attraverso il phishing, tecnica ingannevole con cui le vittime sono portate a rivelare i dati segreti.