Che tipo di persone sono particolarmente interessanti per attacchi di criminalità informatica?

Da un lato i personaggi del mondo della politica e dell'economia. Persone influenti, potenti e spesso anche ricche. Dall’altro lato, anche tutte le persone un po’ ingenue che navigano su Internet senza troppe preoccupazioni. È piuttosto facile indurle a rivelare informazioni che ci permettono di ricattarle o di violare direttamente i loro dispositivi.

È così facile rubare dati su Internet?

Un momento, a questo proposito io non parlerei di furto. Molti dati su privati e aziende sono di pubblico dominio. Viviamo in questa epoca della «pseudotrasparenza», in cui si vuole sapere tutto di tutti. Ma trasparenza significa anche che molte informazioni sono disponibili, il che può essere un bene, ma anche un male. Quindi, se io tento di ottenere dati su una «vittima potenziale», non significa che io sia un ladro. Naturalmente conosco alcuni trucchi per ottenere maggiori informazioni, se necessario.

Quante ricerche effettuano gli hacker prima di un attacco?

Ci sono differenti scenari e, di conseguenza, anche metodi. I cosiddetti «script kiddie» hanno un atteggiamento opportunistico. Poche ricerche e attacchi su vasta scala. Altri hacker invece effettuano attacchi operativi mirati nei quali non sono concessi errori. In questi casi l’hacker deve sempre avere ben presente che sta giocando con il fuoco. Si rischia infatti di inimicarsi governi, polizia, banche o determinate aziende che non esitano un solo attimo a reagire per difendersi. Il mondo virtuale non è una democrazia, vige la legge del più forte.

Come adescate le potenziali vittime?

Quando una persona viene informata dei pericoli di Internet, la prima reazione in genere è «Bisogna essere degli idioti per cadere in certe trappole». In realtà viviamo in un mondo in cui la cultura dell’autoreferenzialità e dell'egoismo è diventata lo standard dominante. Basta lusingare, sedurre, incantare in modo sottile e raffinato e si ottiene tutto ciò che si desidera dalla propria vittima. Per questo i social network per noi sono un vero e proprio paese della cuccagna. Per scoprire di più su una potenziale vittima, creiamo falsi profili su Facebook, Twitter o LinkedIn, ad esempio fingendo di essere una donna attraente e visitando appositamente profili di uomini. Con questo semplice metodo, in breve tempo ci procuriamo un numero impressionante di nuovi contatti. Si può anche fingere di essere un potenziale partner commerciale oppure si può flirtare con la potenziale vittima. In questo modo, nel corso del tempo raccogliamo dati privati, come ad esempio l’indirizzo, o addirittura informazioni sulla situazione finanziaria di una persona.

Come utilizzate queste informazioni?

Raccogliamo i dati e approfondiamo le nostre conoscenze sulla persona in questione per settimane o addirittura mesi. Spesso le vittime ci raccontano della loro relazione in crisi, dei problemi con i figli oppure di relazioni extraconiugali. Qualsiasi anche minima informazione di questo tipo, contraria ai principi etici della massa, è un dono del cielo che ci consente di ricattare la nostra vittima designata. Possiamo anche utilizzare falsi pretesti per chiedere alle vittime di inviarci denaro o dati sensibili. L’importante è riconoscere la potenziale vulnerabilità di una persona e sfruttarla nel momento giusto.

Gli smartphone vi facilitano il lavoro?

Assolutamente sì. Sarebbe un errore non considerarli, perché spesso sono protetti in modo meno efficace. Il principale vantaggio dello smartphone è che la vittima lo ha sempre con sé. Se riusciamo, attraverso diversi canali, a installare un software di spionaggio, ci si dischiude un nuovo mondo. Si ha accesso al microfono, alle videocamere, alle password per le reti LAN, addirittura al VPN per avere accesso alla rete del datore di lavoro. Non bisogna solo concentrarsi sulla potenziale vittima, ma riflettere anche sulle porte che ci apre. Spesso è possibile accedere magnificamente a un’intera rete di contatti.

Operate esclusivamente online?

No. Alcuni di noi operano anche nel «mondo reale». Ad esempio negli hotel dove soggiornano potenziali vittime interessanti. Preferiamo le stanze d’albergo la cui serratura funziona con una carta a chip. All’ora di pranzo entriamo con chiavi copiate nelle camere di uomini e donne d’affari e, in pochi secondi, con l’ausilio di una chiavetta USB scarichiamo un malware sul loro laptop. Una possibilità meno rischiosa consiste, ad esempio, nel far effettuare questa operazione alla donna delle pulizie pagandola bene. Altri invece penetrano in un’azienda e installano il malware direttamente sulle reti aziendali.

Alcuni hacker utilizzano anche il telefono per accedere alle informazioni. Perché?

Il telefono è un ottimo strumento per diversi motivi. Prima di tutto si può giocare con il tono della voce e il modo di parlare. Così si hanno maggiori possibilità espressive rispetto all’e-mail. Inoltre, ci si può rendere subito conto di come reagisce l’interlocutore. Si può valutare immediatamente se è sospettoso o se si sente sicuro. In generale, gli esseri umani sono «programmati» per essere cortesi e disponibili ad aiutare. Ad esempio si può chiamare la madre della vittima e dirle «Ho il vecchio numero di suo figlio e non riesco a chiamarlo. Mi potrebbe per favore dare il suo numero attuale?» oppure si può chiamare la scuola che frequentano i figli della nostra vittima per ottenere maggiori informazioni sui genitori. Il metodo funziona anche con la società sportiva, le associazioni ecc.

Ci sono anche altre possibilità per accedere a dati sensibili?

Sì, c’è quella che tra specialisti viene definita «IoT» o «Internet of Things». Si tratta di apparecchi collegati in rete come televisori, fotocamere, frigoriferi. In generale hanno sistemi operativi con un basso livello di protezione per ragioni di costi, dato che la sicurezza ha un prezzo. Ci si ritrova quindi a utilizzare tecniche di hacking degli anni ’90, il che rende il compito per noi quasi un gioco. Con Windows 10 o Mac OSX Mojave invece, trovare punti deboli è diventato ormai così difficile che non è proprio un divertimento.

Com’è la situazione negli spazi pubblici?

C’è un vecchio tipo di attacco che funziona ancora. Si chiama «Evil Twin Attack» e consiste nel creare una rete WiFi simile a quella di un esercizio pubblico. Se la vittima effettua il login in uno Starbucks, ad esempio, l’hacker crea un punto di accesso denominato «Starbucks». Per indurre i dispositivi della persona in questione a connettersi alla propria rete, l’hacker invia un segnale più forte di quello della rete giusta. Non appena viene creata la connessione, l’hacker diventa il «man in the middle» e può intercettare i dati scambiati. Tuttavia, per spiare connessioni criptate bisogna naturalmente utilizzare anche altri trucchi.

Prendete di mira anche mezzi di pagamento contact less?

Sì, sono anch’essi tra i nostri obiettivi. Prima c’erano ancora tecnologie senza un’ampia protezione che ci consentivano di copiare con grande facilità una carta contactless. Ora la crittografia è stata migliorata e per questo duplicare carte non è più così divertente. Tuttavia, con diverse antenne è possibile captare il segnale inviato dalla carta di una vittima e trasmetterlo dalla tasca dei pantaloni a un terminale di pagamento, ad esempio in un negozio. La connessione resta interamente criptata e chi effettua l’attacco non ha idea di quali dati vengano trasmessi, ma per piccoli importi fino a 40 franchi, per i quali non serve il PIN, è sufficiente.

In che modo è possibile rendervi la vita difficile?

Se un computer è protetto da un’autenticazione a due fattori, il lavoro diventa più complicato perché per poter accedere è necessaria un’azione da parte dell’utente. Ciò accade, ad esempio, quando l’utente conferma la propria identità inserendo il codice ricevuto per SMS. Naturalmente esistono ancora possibilità per aggirare l’autenticazione a due fattori, ma alcuni segreti dobbiamo preservarli... Dall’altro lato è possibile limitare notevolmente i danni utilizzando sistematicamente password diverse per i diversi account.

Che cosa ne pensa delle cassette di sicurezza elettroniche per le password?

Se riusciamo a scoprire la password principale, abbiamo a disposizione l’intero contenuto della cassetta. Se si desidera una protezione al 100%, l’unico metodo è ricordarsi tutte le password a memoria oppure scriverle in un blocco notes che si tiene a casa.