La categoria in assoluto più pericolosa, relativamente agli autori di virus, è costituita da hacker singoli o gruppi di hacker che creano programmi nocivi nel tentativo di raggiungere i propri obiettivi criminali specifici. Questi cybercriminali creano virus informatici e programmi trojan che rubano i codici di accesso dei conti bancari, pubblicizzano prodotti o servizi sul computer-vittima, utilizzano illegalmente le risorse del computer infetto per sviluppare ed eseguire campagne di spam, oppure organizzare attacchi distribuiti in rete (chiamati anche attacchi DDoS) per successive operazioni di estorsione. La gamma delle attività nocive svolte nell’ambito di questa temibile categoria di virus writer è estremamente ampia. Analizzeremo, qui di seguito, gli aspetti principali del business cybercriminale condotto in Rete.
Supporto per gli spammer
Per realizzare l’invio delle abituali montagne di messaggi di spam nelle e-mail box degli utenti vengono create “reti zombie” specializzate, ottenute mediante l’utilizzo di appositi trojan proxy (il proxy server è un’utility adibita allo svolgimento di attività in Rete in maniera anonima; viene di solito installato su un computer dedicato), oppure trojan multifunzionali (universali) in grado di operare come server proxy. In seguito, i trojan provvisti di funzionalità di proxy server ricevono dal loro “padrone” il campione di spam da utilizzare, così come gli indirizzi verso i quali debbono essere inviati i messaggi di spam.
Sfruttando la ritrasmissione di massa delle e-mail di spam attraverso migliaia (o decine di migliaia) di computer infetti, gli spammer possono ottenere i seguenti vantaggi:
- in primo luogo la distribuzione dello spam risulta anonima – le intestazioni dei messaggi e altre informazioni di consegna dei messaggi non rivelano il vero indirizzo dello spammer;
- in secondo luogo una campagna di spam di massa può essere eseguita molto rapidamente – perché moltissimi computer “zombie” inviano simultaneamente le e-mail spam;
- in terzo luogo le tecnologie blacklist – in grado di impedire la ricezione di e-mail provenienti dagli indirizzi contenuti nelle blacklist – sono spesso inefficaci contro questo tipo di spam. Il motivo è la presenza di così tanti computer che inviano spam all’interno della rete zombie e il fatto che molti di questi computer non siano mai stati usati prima per tale scopo.
Attacchi distribuiti in rete/DDoS
Gli attacchi distribuiti in rete vengono spesso denominati attacchi DDoS (Distributed Denial of Service). Questo tipo di attacco informatico sfrutta i limiti specifici che qualsiasi risorsa di rete (ad esempio un server web) possiede relativamente alla capacità di soddisfare contemporaneamente più richieste; tali limiti dipendono sia dalla potenza del server stesso, sia dalla larghezza di banda del canale attraverso cui il server è connesso ad Internet. Se il numero delle richieste supera il limiteconsentito, il funzionamento del server risulterà sensibilmente rallentato, oppure le richieste degli utenti della risorsa web aggredita verranno parzialmente o totalmente ignorate.
Sfruttando tali circostanze, i malintenzionati inviano un elevato numero di richieste “spazzatura” al sito web sottoposto ad attacco, in maniera tale che il numero complessivo di tali richieste superi di molte volte le effettive capacità della risorsa-vittima. Per mezzo di “reti zombie” di dimensioni adeguate viene così organizzato un attacco DDoS di massa nei confronti di uno od alcuni siti Internet, il cui risultato genera, di fatto, il “rifiuto del servizio” (Denial of Service) sui nodi di rete attaccati. In tal modo, gli utenti ordinari della Rete non sono in grado di poter accedere alla risorsa web presa di mira dai malfattori. I bersagli tipici degli attacchi DDoS sono rappresentati da negozi Internet, casino online, società di bookmaker e qualsiasi azienda od organizzazione la cui attività dipenda in maniera diretta dal corretto ed efficace funzionamento dei servizi online forniti. Il più delle volte gli attacchi distribuiti vengono compiuti sia per cercare di screditare o danneggiare un’azienda concorrente, sia allo scopo di effettuare, successivamente, la richiesta di un cospicuo pagamento per interrompere l’attacco — una sorta di vero e proprio racket online.
Negli anni 2002-2004 questo tipo di attività cybercriminale era molto diffusa. In seguito, il numero degli attacchi DDoS è andato in calando, probabilmente a causa di specifiche indagini di polizia condotte con successo (tali crimini hanno in effetti portato all’arresto di alcune decine di persone in tutto il mondo); un’ulteriore ragione del progressivo declino degli attacchi distribuiti è poi rappresentata dalle efficaci contromisure tecniche adottate per contrastare simili assalti informatici.
Creazione di reti di “computer-zombie”
Per sviluppare tali reti vengono creati programmi trojan specializzati, i cosiddetti “bot” (abbreviazione del termine “robot”), i quali vengono poi gestiti in maniera centralizzata da un “proprietario” remoto. Questo tipo di trojan si introduce poi furtivamente in migliaia, decine di migliaia o persino milioni di computer. Ne consegue che il “padrone” della “rete-zombie” (o “botnet”) ottiene l’accesso alle risorse disponibili in tutti i computer infetti ed utilizza poi tali risorse per i propri loschi interessi. A volte tali reti di “macchine-zombie” vengono persino offerte sul mercato nero di Internet, dove vengono poi acquistate o noleggiate dagli spammer, con il preciso intento di distribuire le campagne di spam su larga scala.
Chiamate o invio di messaggi SMS verso costosi numeri di telefono a pagamento
Inizialmente, il malfattore (o un gruppo di persone malintenzionate) provvede a creare e distribuire uno speciale programma nocivo in grado di effettuare, all’insaputa dell’utente-vittima, chiamate telefoniche non autorizzate, oppure inviare messaggi SMS tramite i dispositivi mobili sottoposti a contagio informatico. Precedentemente o parallelamente a ciò la stessa persona registra la società a nome della quale viene poi concluso il contratto con il provider di telefonia locale, relativamente alla fornitura del servizio telefonico a pagamento. Al tempo stesso, naturalmente, il cybercriminale di turno si guarda bene dal comunicare al provider che le telefonate verranno in seguito effettuate a totale insaputa dell’utente. Successivamente, il trojan provvede a realizzare le chiamate verso il numero telefonico a pagamento; la compagnia telefonica addebita poi i relativi costi sugli account
dei numeri attraverso i quali sono state effettuate le chiamate, riconoscendo al malintenzionato l’importo stabilito nel contratto.
Furto di valuta elettronica
I cybercriminali creano, diffondono e gestiscono anche programmi spia trojan che rubano la “valuta online” dai portafogli elettronici degli utenti, ad esempio dall’account e-Gold o WebMoney di un utente. Questi programmi trojan raccolgono informazioni sui codici di accesso relativi agli account degli utenti e quindi inviano i dati al criminale. In genere le informazioni vengono raccolte tramite la ricerca e la decodifica dei file che custodiscono i dati personali del titolare del conto.
Furto di informazioni di banking online
Con la crescente popolarità dei servizi di banking online, il furto di informazioni bancarie è divenuto uno dei tipi di attività criminale in assoluto più diffusi su Internet. Oltre a rubare i codici di accesso dei conti bancari personali e aziendali, i cybercriminali rubano anche i numeri delle carte di credito e di altri tipi di carte di pagamento. Per la conduzione di simili attacchi i malfattori si servono di programmi spia trojan provvisti delle più svariate funzionalità nocive. Questi trojan, ad esempio, possono far sì che l’utente visualizzi, sul proprio computer, una particolare finestra di dialogo – oppure una pagina web del tutto simile a determinate pagine contenute nel sito Internet ufficiale della banca – sulla quale si chiede di immettere login e password abitualmente utilizzati per accedere al conto bancario, oppure di inserire il numero della carta di credito. Metodi del genere vengono utilizzati anche nel phishing, tramite appositi invii di messaggi di spam fasulli mascherati sotto forma di notifiche e comunicazioni ufficiali provenienti (in apparenza!) dalla banca o da servizi online di altro genere.
Per convincere la vittima ad immettere i suoi dati personali, i cybercriminali ricorrono a vari tipi di manipolazione psicologica; in genere, attraverso un determinato testo si comunica che, qualora non vengano introdotti i dati sensibili richiesti, avverrà qualcosa di spiacevole (sarà ad esempio sospeso l’accesso dell’utente al sistema di banking online abitualmente utilizzato) o, in certi casi, qualcosa di inatteso e particolarmente sorprendente (“sul Suo conto dovrà essere effettuato l’accredito di un’ingente somma di denaro; La invitiamo pertanto a confermare le Sue credenziali”).
Piuttosto di frequente, poi, si incontrano programmi trojan (denominati “keylogger”) adibiti a “spiare la tastiera”; essi attendono che l’utente-vittima si colleghi al sito web della propria banca, e provvedono ad intercettare le sequenze dei tasti premuti (ovvero login e password). Per far ciò, i keylogger monitorano l’avvio e l’attività delle applicazioni; in particolar modo, quando l’utente utilizza il proprio browser Internet, questi software malevoli confrontano il nome del sito web visitato in quel momento dall’utente con l’elenco dei siti bancari inseriti nel codice stesso del trojan. Se il sito web risulta presente nell’elenco, il trojan keylogger inizia ad acquisire i tasti premuti dall’utente sulla tastiera; le informazioni sensibili così intercettate vengono poi trasmesse al cybercriminale in agguato. Questi programmi trojan, a differenza degli altri trojan bancari, non manifestano in alcun modo la propria presenza all’interno del sistema.
Furto di informazioni confidenziali di altro genere
Possono di fatto attirare l’attenzione dei malfattori non solo le informazioni di natura finanziaria o bancaria, ma anche informazioni “pregiate” di qualsiasi altro genere, ad esempio database, documentazioni tecniche, etc. Per accedere a questi dati e realizzarne poi il furto, vengono introdotti nei computer-vittima dei trojan-spy appositamente progettati.
Sono ugualmente noti dei casi in cui, per condurre l’attacco, sono state utilizzate applicazioni di rete legittime. Si è ad esempio provveduto ad introdurre furtivamente, all’interno del sistema, un server FTP, oppure un software di file sharing (“Peer-to-Peer” — P2P). Le risorse del file system sono così divenute pienamente accessibili dall’esterno. A seguito dei numerosi incidenti collegati all’utilizzo malevolo delle reti P2P, nel 2006 queste ultime sono state ufficialmente bandite sia in Francia che in Giappone.
Cyber-estorsioni
Nella circostanza i virus writer elaborano un programma trojan in grado di codificare i file personali dell’utente. In un modo o nell’altro il trojan viene introdotto all’interno del sistema; in seguito esso provvede a ricercare e cifrare i dati dell’utente. Una volta compiuto il proprio “lavoro”, il trojan lascia sullo schermo del computer-vittima un messaggio in cui si comunica che i file in precedenza criptati non potranno essere ripristinati, per cui si rende necessario, da parte dell’utente, l’acquisto di un apposito programma di decodifica, disponibile all’indirizzo indicato sul messaggio stesso.
Un altro metodo di cyber-estorsione ben conosciuto è rappresentato dall’archiviazione dei file dell’utente in un apposito file archivio, cifrato per mezzo di una password piuttosto lunga e complessa. Una volta inseriti nell’archivio, i file originali vengono poi rimossi; segue, ovviamente, la consueta richiesta di pagamento di una certa somma di denaro per ottenere la password che consente di accedere al contenuto del file archivio.
Tale metodo cybercriminale (cifratura dei dati) risulta particolarmente pericoloso dal punto di vista tecnico, in quanto, mentre negli altri casi risulta possibile proteggersi dalle spiacevoli conseguenze generate dall’azione del programma trojan, nella circostanza si ha a che fare con solidi algoritmi di crittografia. Con l’utilizzo di simili algoritmi e chiavi (password), di notevole lunghezza e complessità, poter ripristinare i file senza le specifiche informazioni in seguito fornite dai malintenzionati diviene in pratica un compito tecnicamente insormontabile.
Elaborazione di specifici metodi per la distribuzione del malware
Per condurre le diverse tipologie di attività cybercriminale qui sopra descritte, i malintenzionati provvedono a creare e distribuire i temibili worm di rete, programmi malware in grado di provocare vere e proprie epidemie su Internet. L’obiettivo principale di tali worm è rappresentato dall’installazione di programmi trojan di natura criminosa sul maggior numero possibile di computer collegati alla rete globale. Alcuni famigerati worm diffusi in passato sono, ad esempio, Mydoom e Bagle (2004), oppure Warezov (2006), noto worm di posta elettronica.
In alcuni casi, invece di cercare di diffondere le infezioni generate dal malware verso il maggior numero possibile di utenti, il cybercriminale può limitare deliberatamente il numero di computer da infettare. In questo modo può evitare di attirare troppe attenzioni, comprese quelle delle forze dell’ordine. Per ottenere un numero limitato di infezioni, il criminale sceglie quindi di non utilizzare un worm di rete in grado di provocare un’epidemia incontrollabile. Può usare, invece, una pagina web appositamente infettata. I malintenzionati hanno la possibilità di monitorare il numero di accessi al sito web compromesso, stabilire il numero delle infezioni da realizzare, ed infine rimuovere il codice maligno del trojan non appena è stato raggiunto il numero necessario di macchine infette.
Attacchi informatici mirati
A differenza degli attacchi di massa, il cui scopo è quello di infettare il maggior numero possibile di computer, gli attacchi informatici mirati perseguono obiettivi completamente diversi. Attraverso di essi, in effetti, i cybercriminali cercano di infettare la rete di una determinata azienda od organizzazione, oppure applicano un agente trojan, appositamente sviluppato, ad un unico server dell’infrastruttura di rete dell’organizzazione sottoposta ad attacco. I malintenzionati prendono spesso di mira società che dispongono di informazioni e dati di particolare “pregio” — banche, società di fatturazione (le compagnie telefoniche, ad esempio), etc.
Il motivo degli attacchi portati nei confronti dei server o delle reti degli istituti bancari è evidente: ai criminali interessa ottenere l’accesso alle informazioni contenute, per poi trasferire illegalmente fondi (si tratta, talvolta, di somme di denaro davvero ingenti) verso il conto o i conti bancari posseduti. Lo scopo degli attacchi condotti a danno delle società di fatturazione è invece rappresentato dalla possibilità di accedere ai conti dei clienti. Nella circostanza, l’obiettivo degli attacchi mirati è costituito da informazioni preziose, di qualsiasi genere, custodite nei server della rete — database dei clienti, informazioni finanziarie e dati tecnici, in pratica tutto ciò che può costituire motivo di interesse per il potenziale malfattore.
Gli attacchi informatici mirati bersagliano soprattutto le grandi società che dispongono di dati ed informazioni di particolare pregio e importanza. L’infrastruttura di rete di simili compagnie presenta spesso un elevato livello di sicurezza informatica e risulta quindi protetta in maniera adeguata nei confronti di eventuali attacchi esterni; in pratica si rivela impossibile, senza un “aiuto” proveniente dall’interno della società stessa, violare tale infrastruttura. Per questo motivo, nella maggior parte dei casi, simili attacchi vengono compiuti sia dai dipendenti stessi delle organizzazioni sottoposte ad assalto (insider), sia con la diretta partecipazione di questi ultimi.
Altre tipologie di attività cybercriminale
Esistono ugualmente ulteriori aspetti del business cybercriminale, i quali, tuttavia, non risultano ancora largamente diffusi. Viene ad esempio realizzato il furto (raccolta) degli indirizzi di posta elettronica rilevati nei computer infetti; gli account e-mail così carpiti vengono in seguito venduti agli spammer. Vi è poi la ricerca delle vulnerabilità eventualmente presenti nei sistemi operativi e nelle applicazioni, oggetto di vendita, allo stesso modo, ad altri criminali informatici. Un ulteriore tipo di attività cybercriminale è rappresentato dalla creazione e dalla successiva vendita di programmi trojan appositamente realizzati “su commissione”, e così via. È infine molto probabile che, con lo sviluppo dei servizi Internet attualmente esistenti, e con l’avvento di ulteriori servizi online, facciano la loro comparsa nuovi metodi per compiere atti cybercriminali in Rete.