Abilissimi esperti di informatica, hacker spinti da motivazioni ideologiche, banali ladruncoli convertiti al digitale e una buona dose di manovalanza prestata a svolgere operazioni semplici ma altamente rischiose: il mondo del cybercrimine abbraccia queste e altre figure, reggendosi su un impianto sempre più complesso, fatto di specializzazioni e di logiche di “filiera”. Dall'avamposto europeo di Sophia Antipolis, una piccola “Silicon Valley” francesce baciata dal sole della Costa Azzurra, gli esperti di sicurezza di Fortinet studiano l’evoluzione continua di questo scenario. Qui sorgono i FortiGuard Labs con competenze sulla regione Emea e qui lavora Guillaume Lovet, senior manager dei laboratori. Che, per riassumere in uno slogan la complessità crescente della criminalità informatica, spiega: “Oggi tutti siamo un obiettivo. Dal Dalai Lama alle star di Holliwood che affidano le loro foto personali al cloud”.
“La scena del crimine è sempre più stratificata, e rappresenta non tanto un problema legislativo, ma di governo e di polizia, trattandosi di un problema transnazionale”, spiega Lovet, snocciolando poi qualche numero illuminante. Il fatturato annuale del cybercrime ha raggiunto i 600 miliardi di dollari (sui 3 trilioni di dollari movimentati dalle attività criminali nel loro complesso), cioè lo 0,8% del Pil mondiale. Una quota appena inferiore a quella del commercio di stupefacenti, pari allo 0,9% del Pil, e che si associa a un elemento di difficoltà: “Sappiamo tutti a chi assomiglia un trafficante di droga, ma non sappiamo a chi assomigliano i cybercriminali”.
Qualche idea, però, Fortinet ce l’ha. Lo scorso anno gli oltre 200 ricercatori, analisti e sviluppatori al lavoro nei FortiGuard Labs hanno studiato una mole di episodi impressionante: 1.800 nuovi tipi di mobile virus scoperti nel solo 2013, con un numero di varianti di mobile malware per Android arrivato a 500mila. Sono stati 650mila i tentativi non riusciti di intrusione nei network coperti da Fortinet, 15mila i programmi malware neutralizzati, 150mila le manovre di accesso a siti pericolosi bloccate, 94mila gli attacchi botnet command and control contrastati. Fonte di questi dati è una rete composta da 1,5 milioni di sensori da 120 data center distribuiti su diverse regioni, nonché dai device di oltre 175mila clienti.
L’identikit di un criminale informatico non può essere tracciato con certezza lombrosiana, perché un hacker non gira armato né semina violenza al pari di un delinquente comune, ma è anche vero che la “macchina” del cybercrime innesca meccanismi che travalicano sever, client e applicazioni. Si tratta di un’associazione a delinquere vera e propria, che per i “top player” può generare ritorni sull’investimento pari a 400 volte la spesa iniziale in software, strumenti e sistemi.
“I criminali informatici rientrano in tre categorie principali”, spiega ancora l’esperto dei FortiGuard Labs, “ovvero quelli tradizionali, mossi solo da ragioni economiche, gli hacktivisti che agiscono per protesta o per ottenere degli obiettivi ideologici, e infine gli hacker sponsorizzati dai governi per motivazioni di spionaggio industriale o altro”.
Chi colpiscono? Chi è in cerca di guadagni illeciti attacca solitamente aziende private, siano esse degli operatori Web (come eBay) o le banche e, indirettamente, i loro correntisti. Gli attivisti vantano, similmente, in curriculum operazioni di assalto a società private come PayPal, Visa o Sony, ma anche verso Stati (l’Estonia, per esempio), organizzazioni come Scientology, gruppo politici e addirittura singoli individui. Infine, gli hacker sponsorizzati dai governi possono colpire aziende, utility dell’energia, Stati, singole personalità oppure le infrastrutture che reggono il cyberspazio.
Guillaume Lovet, senior manager FortiGuard Labs Emea di Fortinet
Gli identikit del cybercrimine
Se le “armi” di questo scenario sono le più disparate – dai malware agli attacchi DDoS, dalle operazioni di social engineering a quelle che prendono di mira specifici obiettivi – gli identikit dei “soldati” che combattono la guerra cybercriminale sul fronte dei cattivi non sono meno eterogenei.
“I coder”, illustra Lovet a proposito dei creatori di codice maligno, “sono persone dotate di buone competenze. Tipicamente, hanno più di vent’anni e almeno cinque anni di esperienza, e risiedono in Paesi con economie non ricche e con un’alta concentrazione di buoni ingegneri. Queste persone creano strumenti al fine di venderli a poche centinaia di dollari, e in base al successo dei loro prodotti possono guadagnare discrete somme mensili”.
Altre figure orbitanti intorno al crimine sono quelle che Lovet chiama “kids”: giovani e giovanissimi, dai 13 ai 20 anni, dediti soprattutto alla compravendita di credenziali di conti bancari e di strumenti utili per accedervi. I “mob” sono, invece, criminali consumati, che grazie alla loro familiarità con il riciclaggio di denario riescono a monetizzare le operazioni; a volte costoro agiscono in solitaria, mentre altre volte si servono di “muli” da inviare da uno Stato all’altro per riscuotere il bottino. Completano il mosaico quelli che Fortinet chiama “drops”: individui che hanno più di vent’anni e che, guidati dall’alto (spesso senza avere la visione d’insieme sull’azione cybercriminale), trasformano moneta virtuale in contanti.