Gli hacker puntano al tuo conto in banca

Gli hacker puntano al tuo conto in banca

Il titolo può sembrare riduttivo, ma uno degli obbiettivi principali degli attacchi informatici sono le frodi finanziarie.
Kaspersky Lab, in collaborazione con B2B international, ha analizzato gli attacchi di frode finanziaria ai piccoli consumatori rilevando in questa ricerca dei dati allarmanti. Vediamoli molto in sintesi:

– il campione analizzato è di più di 12.355 utenti di cui 400 italiani;

– del campione analizzato, il 48% dei consumatori è vittima di email ingannevoli, e l’11% ci rimette del denaro;

– la metà delle vittime colpite non recupera i suoi soldi;

– Gli importi rubati sono in media di 283 dollari, ma possono arrivare fino a 1.000 dollari.

La ricerca è internazionale, ma se volessimo avere un quadro più complessivo della situazione italiana, ci viene in aiuto il recente convegno  “Cybercrime e Data Security” svoltosi ieri 11 maggio a Milano e organizzato dall’American Chamber of commerce in Italy e da Affinion International.
In Italia il danno causato dai crimini informatici è stimato attorno ai 9 miliardi di euro all’anno. L’aumento delle frodi bancarie in Italia è salito del 150% rispetto al 2015.

Le cause

Chiediamoci ora perché questo succede. Partendo da una breve analisi dei comportamenti possiamo trovare che:

Vengono utilizzate Wi-Fi pubbliche dal 13% degli utenti per accedere ai propri account, e dall’8% per fare acquisti online oppure transazioni bancarie. Questo è un po’ come dire che lascio le chiavi di casa in un bar, o anche la mia carta di credito dove tutti possono vederla.

L’88% degli utenti salva sui propri dispositivi informazioni personali, il 48% utente e password dei propri account ed il 28% dati finanziari (accessi all’home banking, numeri di conto corrente, ecc.). Praticamente stiamo lasciando i documenti, la carta d’identità e la chiave della cassaforte in auto, in strada, sotto casa.

Potrei proseguire, ma questi due primi dati ci dicono chiaramente quanto questi comportamenti mettano a rischio i nostri soldi.
Come difendersi? Tre consigli che non richiedono software da installare.

Per prima cosa sappiate che le banche e le poste non vi chiederanno mai di confermare i vostri dati tramite e-mail: non cliccate nei pulsanti o nei link presenti in quelle e-mail. Se avete un dubbio, chiamate in banca.

Non effettuate operazioni finanziarie dai dispositivi mobili (smartphone e tablet) quando siete connessi a reti Wi-Fi diverse dalla vostra linea di casa: non sapete quanto possa essere sicura la connessione.

Infine, non effettuate acquisti online in shop che non conoscete direttamente. Se è la prima volta che acquistate in quel sito, guardate le recensioni interne e fate una breve ricerca online per vedere se quello shop è stato citato in qualche articolo o forum per truffa.

Queste attenzioni vi faranno perdere qualche minuto in più, ma proteggeranno i vostri risparmi.

Information Security: nuovi trends

Information Security: nuovi trends

Il 2016 sta vedendo il crescere di nuove minacce sempre più sfruttate dalla criminalità organizzata digitale. Scopriamo alcune delle più interessanti e valutiamo alcuni interventi di base per non farsi trovare impreparati.

Internet of Things

Il problema de “internet delle cose” è garantire che quel comodo dispositivo funzioni solo per noi che l’abbiamo acquistato. Macchine del caffè, frigoriferi, auto, dispositivi indossabili e medicali, televisioni sono tutti connessi ad internet, raccolgono dati su di noi e sulle nostre abitudini e pertanto sono obbiettivi molto succulenti per la criminalità.

Carte di Credito

I nuovi sistemi di pagamento, come le carte di credito EMV oppure i vari Google Wallet o Apple Pay, stanno riducendo sensibilmente i rischi di truffa nel punto vendita, tuttavia stanno spingendo i cyber criminali a rubare e clonare sempre di più grossi volumi di carte di credito da e-commerce e servizi online che li raccolgono.

Estorsione

L’estorsione digitale è un modo di utilizzare i dati come arma. Un esempio frequente è questo: cyber criminali si impossessano di dati sanitari delle vittime e poi costringerle a pagare pena la pubblica diffusione di quelle informazioni, in particolare per patologie sensibili (HIV) che possono causare gravi danni alla vita sociale delle vittime. Questi tipi di attacchi sono stati robotizzati per permettere un gran numero di estorsioni ma estremamente personalizzate.

Criminal-As-A-Service

Perché compiere un reato se qualcuno di più motivato può farlo al mio posto (prendendosi i rischi)? E’ più conveniente fornire sofisticati strumenti a baby cyber criminali piuttosto che esporsi in prima persona. Perciò è possibile affittare tanto strumenti quanto mercenari, per compiere furti di profili pubblici o far compiere intere operazioni criminali.

Cloud

Gli attacchi alle piattaforme cloud aziendali si sono fatti più insistenti, in particolare quelli di ingegneria sociale: l’obbiettivo primario dei cyber criminali è ottenere con l’inganno le credenziali di accesso reali dagli stessi utenti per operare in completa trasparenza.

Piccoli bersagli

La convinzione comune che solo le grandi aziende siano vittime di attacco è ampiamente smentita dai fatti. Colpire le piccole organizzazioni è più facile, e permette di ottenere informazioni altrettanto preziose, che, combinate tra loro, valgono più di una singola grande fonte.

 

Che fare?

Le attività possibili sono diverse, e vanno profondamente calate nella realtà aziendale. E’ fondamentale utilizzare un approccio olistico, ovvero che sia multidisciplinare, che analizzi il comportamento dei sistemi (persone e macchine) e che tenga conto del feedback che i sistemi complessi danno. Ne propongo tre che a mio avviso sono buoni punti di partenza:

  1. Adottare modelli di governance che prevedano un’analisi dei rischi informatici e soprattutto una gestione degli stessi, sia in ottica di continuità dei servizi che in ottica di gestione finanziaria del danno economico che il rischio informatico può causare.
  2. Gli attacchi sociali (ormai quasi la metà) non possono essere fermati da un dispositivo o da un software, per quanto evoluto. Serve formazione di base a tutto il personale aziendale.
  3. Progettare i processi produttivi fin dall’inizio con un’ottica alla sicurezza (security by design) e alla privacy (privacy by design). Presto questo tipo di approccio sarà legalizzato con l’adozione di misure dedicate sempre più stringenti (v. il GDPR).

Qualunque cosa si faccia, però, parte sempre dalla coscienza che i dati aziendali hanno un valore oggettivo e sono costantemente minacciati.
Prima si prenderà coscienza di questo, prima si riuscirà a tutelare il nostro business.

 

Quest’articolo e le sue riflessioni sono state ispirate da quest’articolo sul Corriere e quest’altro su CSO.