Il covid-19, il coronavirus che causa la malattia, la pandemia mondiale, i lockdown, la crisi sanitaria: temi che in questo 2020 hanno affollato non soltanto i titoli dei Tg e le discussioni sui social, ma che sono serviti anche per sferrare attacchi informatici. Il fenomeno era già emerso da numerosi report di vendor di cybersicurezza, sia in primavera sia durante la “seconda ondata” autunnale. Ora, però, il Clusit (Associazione Italiana per la Sicurezza Informatica) ne offre una panoramica più generale, sicuramente inquietante. Su 850 attacchi gravi osservati nel primo semestre su scala mondiale, 119 fanno leva sui temi del coronavirus e del covid-19: si tratta soprattutto di campagne di phishing (64% dei casi), anche associate alla diffusione di malware (21%).
Nel primo semestre 2020, in più di sei casi su dieci gli autori delle operazioni di phishing legate al coronavirus fanno “economie di scala”, vale a dire cercano di colpire bersagli multipli con un unico attacco strutturato su più canali. L’11% delle campagne, invece, si focalizza sul settore sanitario, mentre il 12% si focalizza sul target governativi.
Aldo Di Mattia, system engineer di Fortinet (uno tra gli autori del report) sottolinea come si tratti della “prima cyberpandemia nella storia dell’umanità”. Nel complesso, gli attacchi legati al covid-19 rappresentano il 14% degli episodi gravi del semestre, concentrandosi però soprattutto nei quattro mesi compresi fra l’inizio di febbraio e la fine di maggio. L’andamento degli attacchi segue sostanzialmente quello dei contagi nella “prima ondata” della pandemia. “Come era facile prevedere”, scrive Di Mattia, “i cybercriminali hanno sfruttato sin da subito l’emergenza sanitaria dovuta al covid-19, per poi intensificare gli attacchi nel periodo più acuto della pandemia. Estraendo dai FortiGuard Labs i dati relativi a malware e attacchi informatici sul territorio italiano, si possono osservare delle correlazioni evidenti con le statistiche dei contagi nello stesso periodo”.
Il diffondersi dell’epidemia nel primo semestre del 2020 ha senz’altro inciso sulla qualità e quantità dei fenomeni legati al cybercrime, specie di quello mirato al furto di credenziali di carte di pagamento e altri dati finanziari. Sono cresciuti i casi di dati finanziari messi in vendita sul Dark Web, così come sono aumentati i casi di vishing (in cui i truffatori cercano di carpire dati personali e codici bancari dispositivi attraverso truffe telefoniche. Nel mondo le email di phishing sono aumentate di sei volte rispetto al 2019, fenomeno legato all’emergenza del covid-19.
La “guerra delle informazioni” si riscalda
Allargando lo sguardo allo scenario generale degli attacchi informatici, si nota che il volume di episodi gravi del periodo gennaio-giugno è cresciuto costantemente tra il 2014 e il 2019, mostrando solo una lieve flessione nel 2020 (il Clusit considera “gravi” gli attacchi che hanno sulle vittime un impatto significativo in termini di perdite economiche, danni alla reputazione o diffusione di dati sensibili). Valutando non il tema cavalcato ma la tipologia di attività fraudolenta, in cima alla classifica c’è come sempre il cybercrimine, ovvero le azioni (più o meno sofisticate) tese al furto di denaro o di dati monetizzabili: 709 gli episodi gravi del primo semestre 2020, numero in crescita del 7,1% rispetto allo scorso anno. Phishing e malware comuni rientrano in questa categoria.
Il Clusit distingue poi tra le attività di spionaggio o sabotaggio associate a information warfare (123 casi, +13,9%), quelle di puro spionaggio o sabotaggio (98 casi, +11,4%) e quelle di sola guerra delle informazioni (25 casi, +25,5%). Distinguere nettamente una sottocategoria dall’altra non è semplice, ma complessivamente esse fanno registrare il livello più elevato degli ultimi nove anni e mezzo. Cala invece l’hacktivismo, con soli 18 episodi gravi nel semestre (-20,8%).
Quanto ai bersagli colpiti, il 25% degli attacchi si è rivolto verso target multipli, il 14% verso il mondo del commercio e della distribuzione organizzata, il 10% verso il settore sanitario, un altro 10% verso il mondo della scuola e della ricerca e altrettanto verso i servizi Internet e cloud.
La “cyberpandemia” italiana
Il report è arricchito da alcuni dati riguardanti in modo specifico l’Italia, frutto delle analisi eseguite da Fastweb su dati anonimi aggregati, ricavati dalla propria rete (oltre 6,5 milioni di indirizzi IP pubblici, ognuno dei quali può ricevere comunicazioni da centinaia di dispositivi e server dei clienti). Nel nostro Paese si osserva una forte crescita dei malware indirizzati soprattutto alle utenze domestiche, mentre si è notevolmente ridotto (da una quota 30% rilevata nel primo semestre 2019 all’attuale 7%) il numero degli attacchi di natura DDoS verso le Pubbliche Amministrazioni. Merito, verosimilmente, dell’adozione di nuovi strumenti di difesa informatica da parte degli enti pubblici.
"Nella tragedia di questi mesi sta avvenendo una rivoluzione: il digitale sta trasformando l'organizzazione delle imprese e la vita dei cittadini, e stiamo comprendendo che la sicurezza del digitale è essenziale", ha commentato il presidente del Clusit, Gabriele Faggioli. In Italia si conteggiano nel semestre alcune decine di migliaia di euro sottratti con frodi legale al coronavirus rivolte a utenti singoli, spesso realizzate associando alle email dei malware oppure dei siti Web “clone” (in cui le vittime della truffa venivano invitate a digitare credenziali e informazioni private). Ma non sono mancate le operazioni di Business Email Compromise più ambiziose: 28 grandi e medie imprese sono state frodate, perdendo complessivamente 24 milioni di euro (14 dei quali poi recuperati in seguito all’intervento della Polizia Postale).