Livello di allerta basso, medio, alto. Il linguaggio usato dalla Polizia postale e delle comunicazioni sul suo sito ricorda quello della protezione civile. Il sito (www.commissariatodips.it) avvisa gli internauti sui pericoli della navigazione, e di pericoli ce ne sono eccome, distruttivi come tornado se non li si conosce e ci si ripara per tempo.
Per molti versi, la protezione dei cittadini dalle calamità “innaturali” che circolano per Internet (virus, trojan, phishing, pharming) ha oggi un significato analogo alla prevenzione dei fenomeni atmosferici estremi. Colpiscono entrambi su larga scala (sono arrivati a 3 miliardi gli internauti sul pianeta!) creando un allarme diffuso: circa il 56% degli italiani è finito sotto attacco informatico nell’ultimo anno (dati Symantec).
“Solo per le truffe online, nei primi nove mesi di quest’anno l’aumento è stato del 20%“, snocciola i suoi dati Alessandra Belardini, direttore del Commissariato di P.S. online della Polizia postale, che però invita a non drammatizzare: “Considerato il numero crescente di italiani connessi, il dato del 20% è da considerarsi pressoché fisiologico”. Utilizzare quello straordinario strumento che è Internet è un piacere per tutti ma anche per gli hacker che vi fiutano l’affare. È stato calcolato che il crimine informatico danneggia il sistema Italia per 20-40 miliardi annui (dati agendadigitale) mandando in fumo, a livello globale, circa 445 miliardi di dollari all’anno. I paesi più ricchi certifica il Csis (Center for Strategic and International Studies) arrivano a perdere mediamente fino allo 0,9% del Pil con riflessi negativi sull’economia e sulla competitività a vari livelli.
Sono le aziende le più colpite; nessuna è al riparo dagli hacker, con costi soprattutto di pulizia e di recupero delle informazioni perse. “È come se la criminalità informatica costituisse ‘una tassa sull’innovazione”’, fa notare Jim Lewis, direttore del Csis. Per capire le proporzioni del danno sul quale, però, va aggiunto, fiorisce un’economia parallela e fondano le proprie fortune i centri di assistenza ai computer, solo in Italia, a fronte di perdite per 875 milioni di dollari, i costi di ”pulizia” sono pari a circa 8 miliardi e mezzo di dollari!
Attaccati “dal” pc Facendo un po’ d’ordine, andrebbero distinte le truffe vere e proprie (phishing, nigeriane, ecc.) dai software maligni (virus, malware, ecc.). Le prime non alterano il computer ma tendono a raggirare l’utente per ottenere dati sensibili quali account bancari, password o direttamente versamenti bancari; i secondi sono veri e propri software che sfruttano falle o bug del sistema operativo per replicarsi, installarsi nella memoria di un computer e svolgere il compito per il quale sono stati programmati.
Ad agire, in ambedue i casi, sono organizzazioni criminali spesso transfrontaliere dedite a vari generi di attività illecite. Solo con il virus chiamato Zeus (sgominato a giugno con l’operazione internazionale “GameOver Zeus”), gli hacker hanno raccolto illecitamente 100 milioni di dollari a livello planetario. In Italia erano attivi 160 nodi di Zeus che hanno infettato circa 10.000 pc.
Ma con i dati sottratti, che cosa ci fanno i pirati della rete? Nell’elenco del Centro Europeo Consumatori, articolazione dell’Ecc (European consumer centres network) della Commissione europea, troviamo micro-finanziamenti, acquisti di servizi su Internet, aperture o incursioni nei conti bancari e relative carte di pagamento, emissione di assegni contraffatti. I dati possono servire per richiedere un finanziamento o per acquistare merci con pagamento rateale. Se la vittima è un’impresa, anche per accedere ai pubblici registri e cambiare i nomi dei titolari d’azienda e i loro indirizzi ottenendo così beni e servizi senza scucire un euro.
Spie amiche La tecnica più comune per perpetrare furti d’identità è il phishing (storpiatura dall’inglese “pescare”) ossia una e-mail in apparenza ufficiale proveniente da istituti di credito o società di servizi, che invita a inserire dati personali nei link allegati. Come riconoscerlo il phishing? La guida di Adiconsum sottolinea che mai banche o istituti richiedono dati del genere per e-mail, basterebbe questo a tagliare la testa al toro.
Ma ci sono almeno quattro spie “amiche” che devono mettere sul chivalà: se le e-mail non sono personalizzate e utilizzano toni intimidatori; se chiedono di inserire le proprie credenziali in un sito web (falso) linkato e se infine presentano errori di ortografia essendo traduzioni zoppicanti da siti esteri, dell’Est Europa o dell’Africa soprattutto, in particolare della Nigeria dove sono registrati molti dei siti di cybercrime. Per questo è invalso il termine “truffa nigeriana” che, come spiega il direttore del Commissariato online della Polizia postale, “oggi è un contenitore dove sta dentro di tutto, dalle false lotterie alle eredità improbabili provenienti da parenti lontani”. Lo scopo è sempre l’estorsione di denaro. Succede anche nel cosiddetto pharming, tecnica più occulta del phishing con la quale si realizzano pagine-fotocopia: il risultato è che il cliente è convinto di trovarsi nel sito della propria banca ma è solo uno specchio. Nel vishing, invece, gli impostori si presentano con telefonate via Internet (Voip) sempre a nome delle banche.
Facebook ha sistemi di sicurezza suoi, in grado, dice, di stanare i malware e aiutare i servizi segreti a sgominare le cyber gang. Ma non basta di certo a fermare chi prima richiede l’amicizia e poi ricatta con le foto hard ottenute.
Gli hacker hanno dimostrato di saper violare anche il cloud (nuvola informatica), cioè lo spazio fornito dai provider per archiviare i propri dati, rubando le foto di un centinaio di dive di Hollywood. La casistica dunque è molto ampia e non lascia stare nemmeno i santi, con offerte di attestati papali o dell’acqua di Lourdes fino alla più stretta attualità. Tra gli ultimi attacchi di questo tipo, le false email di tipo “fiscale” che hanno per mittente l’Agenzia delle Entrate e invitano ad aprire l’allegato “Linee Guida” al fine di evitare i controlli legati al redditometro. “Tutti oggi con la rete possiamo sapere di tutto – commenta Belardini – e anche il criminale sta al passo. Dovremmo farlo anche noi, tenendoci sempre informati e aggiornati. Come? Collegandoci ad esempio una volta almeno ogni dieci giorni al sito della Polizia postale dove mettiamo gli alert sulle principali minacce”. A parte poche eccezioni – sostengono gli informatici – il ruolo dell’utente è determinante per il successo dell’attacco o della truffa. Corriamo dunque ai ripari.
Correre ai ripari Registrandoci sul portale www.commissariatodips.it possiamo mandare segnalazioni e ricevere risposte 24 ore su 24. Dobbiamo sempre ricordare che uno dei criteri chiave per sincerarsi che siamo su un sito sicuro resta quello di guardare che vi sia, sulla barra in alto dello schermo, il lucchettino simbolo di criptazione nelle transazioni. La morale è sempre la stessa: informarsi imparando dalle esperienze degli altri e da quelle di un bravo “disinfestatore” di computer e aggiornarsi di continuo. Come se chi naviga su Internet fosse, a sua volta, un antivirus!
