Markus Wechsler è un uomo forte. Ce ne accorgiamo dalla stretta di mano con cui ci saluta nella sua macelleria a Nebikon (LU). Markus Wechsler ha rilevato la macelleria del villaggio otto anni fa. Grazie ai suoi sforzi l’ha trasformata in un’azienda con quattro filiali e ben 50 dipendenti.

Ma un giovedì di ottobre dell’anno scorso Wechsler non sa più dove sbattere la testa. Quando alle 4.30 di mattina entra nello stabilimento di produzione, non funziona più nulla. La bilancia con cui vengono pesate ed etichettate le confezioni di carne prima di essere consegnate alle filiali e ai negozi del villaggio non conosce più i prezzi. I bollettini di consegna salvati nel computer sono scomparsi.

«E alle sette avremmo dovuto consegnare la merce», spiega Wechsler nella sala pausa della macelleria, davanti a un tavolo ricoperto di salsicce, pane, senape e caffè. «Ma non sapevamo nemmeno più quanto costasse il controfiletto.»

Un malware manda in tilt le bilance

Il nostro macellaio chiama quindi il signor Zimmer, il suo assistente per tutte le questioni informatiche. Lo specialista IT individua subito il problema: il server contenente i dati dell’azienda è stato hackerato, un malware ha criptato i dischi fissi. Anche le bilance sono collegate al sistema e hanno quindi smesso di funzionare.

Dopo poche ore tutto torna alla normalità e alle 10.00 Wechsler può consegnare cotolette e salsicce. Ma i bollettini di consegna, gli ordini, i rapporti di lavoro delle ultime due settimane, ovvero dalla data dell’ultimo backup, sono andati persi.

Il macellaio e il suo team devono fermarsi a lavorare la sera per reinserire tutti i dati, per un totale di oltre 100 ore di straordinari. «Per settimane abbiamo dovuto portare ogni giorno del cioccolato alla nostra contabile, altrimenti sarebbe scappata», racconta Wechsler metà per scherzo. Costi dell’incidente: circa 20 000 franchi.

Costi globali causati dalla criminalità in rete: 600 miliardi di dollari

I cyber attacchi possono risultare molto cari per le imprese. Nel 2018 gli analisti dello specialista della sicurezza McAfee hanno stimato i costi globali della criminalità in rete a quasi 600 miliardi di dollari. Per i prossimi cinque anni la società di consulenza Accenture ha calcolato spese supplementari e perdite di fatturato dovute ai cyber attacchi per 5200 miliardi di dollari. Ciò corrisponde a circa l’1% dei risultati economici globali nello stesso periodo, e il trend è in aumento.

Nel nostro Paese, l’Associazione Svizzera d’Assicurazioni valuta il danno economico a poco meno di 10 miliardi di franchi all’anno. Questa stima si basa tuttavia su dati relativi al 2014 e oggi è probabilmente molto più elevata.

Il 40% delle PMI sono già state vittime di cyber attacchi

I cyber attacchi non riguardano solo le grandi banche e le compagnie farmaceutiche come si potrebbe pensare, ma anche migliaia di piccole e medie imprese (PMI), come dimostra uno studio effettuato alla fine del 2017 da ICT Switzerland, l’associazione svizzera dell’industria informatica.

Secondo questo studio, circa il 40% di tutte le PMI che hanno partecipato al sondaggio, ovvero più di 230 000 aziende, sono già state vittime di virus, trojan o cyber estorsione.

«Non avrei mai pensato che sarebbe potuto capitare a me», aggiunge Markus Wechsler. «Ad altri sì, anche perché se ne parla molto nei giornali. Ma un macellaio di villaggio?». È quello che pensano in molti. Secondo lo studio, solo il 10% delle PMI ritiene che rimanere bloccati per un giorno rappresenti un grande o grandissimo pericolo. E solo uno su 25 crede di poter essere soggetto a un cyber attacco che metterebbe a repentaglio l’esistenza della propria azienda.

Spesso mancano il personale e l’infrastruttura

«Alcune PMI devono ancora compiere qualche passo in materia di sensibilizzazione», spiega Max Klaus, capo sostituto della Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (Melani) e dunque uno dei principali responsabili in questo campo all’interno della Confederazione. Melani è il punto di contatto per utenti privati di Internet e PMI e ha l’incarico di proteggere dagli attacchi le infrastrutture critiche del nostro Paese.

Alle PMI manca spesso il personale necessario e l’infrastruttura per proteggere i propri dati, spiega Max Klaus. Mentre le grandi aziende hanno i propri reparti IT, le piccole ditte dipendono spesso da fornitori di servizi esterni. In altre parole costi aggiuntivi, che molte ditte cercano di evitare.

Ai cyber criminali non importa la dimensione dell’azienda

Secondo lo studio sulle PMI, solo una ditta su cinque ha installato un software in grado di riconoscere potenziali cyber attacchi. «La maggiore parte delle forme di attacchi non fanno alcuna distinzione tra settori di attività o dimensioni aziendali», spiega Max Klaus. La maggioranza delle imprese e degli organi statali è esposta dunque agli stessi rischi.

Anche i privati corrono lo stesso pericolo. Un adulto su sei che utilizza un dispositivo abilitato alla navigazione su Internet ha già subito danni finanziari dovuti a un cyber attacco, affrontato riparazioni onerose o vissuto situazioni di stress emotivo, come dimostra un sondaggio svolto da ICT Switzerland a febbraio di quest’anno.

La varietà dei metodi usati dai cyber criminali per colpire le loro vittime è pari a quella degli obiettivi che perseguono. Nel caso del macellaio Wechsler, l’hacker è riuscito a introdurre un trojan attraverso una parte non protetta del router, l’apparecchio che collega un computer a Internet. Il malware ha criptato tutti i dati e li ha resi illeggibili.

L’hacker buono che agisce vestito da San Nicolao

«I trojan di crittografia rientrano tra i programmi di malware più diffusi», spiega Ivan Bütler della Compass Security AG. Bütler conosce alla perfezione i trucchi degli hacker, essendo lui stesso un hacker. Ma un hacker buono. Ciò che offre Ivan Bütler si chiama «penetration testing»: su incarico delle imprese cerca di entrare nei loro sistemi per scoprire le falle in termini di sicurezza.

Ovviamente non può fornirci dettagli sui suoi clienti e sulle loro misure di sicurezza: è fondamentale massima discrezione nel suo business. Quindi ci ha raccontato come ha dovuto spegnere l’illuminazione natalizia di Liestal (BL) per conto di una trasmissione della SRF. «Ci siamo travestiti da San Nicolao e Schmutzli per riuscire a entrare nella reception dell’azienda elettrica competente». Alla receptionist hanno fatto credere che il capo offriva un sacchetto di San Nicolao a ogni dipendente. «Un semplice diversivo».

Dietro a Ivan Bütler e al suo collega si era infilato nell’edificio un tecnico, anch’egli parte della squadra. Con il suo travestimento, quest’ultimo è entrato facilmente nei locali dell’azienda e ha trovato in una sala riunioni un computer non protetto. «Il resto è stato un gioco da ragazzi», aggiunge Ivan Bütler sorridendo.

Aggirare le misure di sicurezza attraverso i contatti sociali

«Social Engineering» significa aggirare le misure di sicurezza attraverso i contatti sociali. «Di norma succede virtualmente», spiega Bütler. Ad esempio per mezzo di una finta lettera di candidatura, come è successo a un albergatore nella regione di Zurigo. Una sera dello scorso novembre il suo direttore ha ricevuto una candidatura per e-mail, che ha subito aperto poiché stava cercando nuovi dipendenti e aveva pubblicato un annuncio. «L’e-mail era redatta in un ottimo tedesco e sembrava una candidatura standard», racconta l’albergatore. Tuttavia, nel curriculum vitae allegato era inserito un trojan e il doppio clic sul documento Word ha attivato un malware. «Per fortuna non sono stati colpiti dati sensibili, solo i piani per la pulizia e la programmazione dei banchetti».

A volte i cyber criminali vogliono solo provocare danni, come nel caso del macellaio Wechsler: «Allo stesso modo di un ladro che distrugge l’appartamento senza rubare niente».

Gli hacker chiedono un riscatto

Tuttavia, i cyber attacchi sono spesso motivati da interessi finanziari. Anche in questi casi vengono spesso impiegati trojan di crittografia. Dopo aver criptato i dati, i cyber criminali contattano la vittima e chiedono un riscatto per sbloccare i dati resi illeggibili. Il pagamento del riscatto viene spesso richiesto nella criptovaluta bitcoin. Il destinatario del denaro rimane così quasi sempre anonimo, il che rende difficile l’azione penale.

Il grande pubblico è venuto a conoscenza per la prima volta di questi cosiddetti «ransomware» nel maggio del 2017, quando il trojan «Wannacry» ha infettato più di 230 000 computer in tutto il mondo, chiedendo il pagamento di un riscatto. In Gran Bretagna sono rimasti bloccati diversi ospedali, in Germania sono stati colpiti i tabelloni degli orari dei treni, in Spagna la compagnia nazionale di telecomunicazioni.

La Svizzera, dove sono stati attaccati solo 200 computer, se l’è cavata con qualche graffio. Se i propri dati fossero stati salvati su un supporto sicuro, si sarebbe potuto evitare il pagamento del riscatto cancellando e reinstallando il sistema.

Trojan nell’e-banking: una grave minaccia

Molto più complessi sono i programmi malware che prendono di mira i servizi di pagamento all’insaputa dell’utente, i trojan utilizzati per colpire i sistemi di e-banking. I malware fanno sì che l’utente cerchi di connettersi alla banca attraverso un server controllato dai cyber criminali, i quali carpiscono i dati di login e ottengono così l’accesso ai conti dei malcapitati.

«Questi trojan rappresentano al momento la principale minaccia per i portafogli privati», spiega lo specialista IT Ivan Bütler. Anche Max Klaus della centrale della Confederazione Melani ritiene che gli attacchi ai servizi di e-banking rappresentino una grande minaccia per gli utenti. «Gli attacchi si verificano a ondate», precisa Max Klaus. L’ultima è avvenuta solo poche settimane fa.

La piazza finanziaria svizzera è colpita in misura superiore alla media

Le notifiche relative ai cyber attacchi sulle infrastrutture critiche, raccolte da Melani, dimostrano come la piazza finanziaria svizzera sia colpita in misura superiore alla media rispetto al settore sanitario o energetico.

«L’obiettivo della maggior parte cyber criminali è fare soldi», continua Max Klaus. Le e-mail di phishing sono perfette per tale scopo: «si tratta di attacchi relativamente facili da compiere e che possono essere molto redditizi».  

I criminali usano a tal fine una forma particolarmente perfida di social engineering. Il malware è nascosto nelle e-mail che sembrano provenire da fonti attendibili, quali Posta svizzera, FFS, Swiss e addirittura dalla polizia cantonale di Zurigo.

La polizia cantonale dà la caccia ai cyber criminali

Lo considera un affronto personale? Daniel Nussbaumer, responsabile del reparto cyber criminalità della polizia cantonale di Zurigo si fa una risata. «Non siamo certo felici se il nostro nome viene usato per attività criminali», dichiara. «Ma non siamo più immuni di qualsiasi altra grande azienda».

Daniel Nussbaumer ci riceve in un ufficio spoglio nella sede centrale della polizia cantonale. L’atmosfera nell’ex caserma militare vicino alla Sihl non si addice affatto alla moderna attività del suo team. Solo lo scanner per le vene della mano all’ingresso del sito rivela che qui il lavoro di polizia incontra l’alta tecnologia.

La Suisse s’en est tirée à bon compte, puisque seulement 200 ordinateurs ont été infectés chez nous. Pour autant que les données aient été sauvegardées sur un support sûr, les victimes ont pu éviter le paiement d’une rançon en désinstallant, puis en réinstallant complètement leur système.

Chevaux de Troie bancaires: une menace à prendre très au sérieux

Extrêmement sophistiqués, les chevaux de Troie bancaires sont des maliciels qui visent les relations bancaires. Ces logiciels espions détournent les coordonnées des utilisateurs via un serveur des cybercriminels, qui peuvent ainsi accéder à leurs identifiants d’e-banking et, partant, comptes bancaires.

«Les chevaux de Troie bancaires constituent actuellement la principale cybermenace pour les particuliers», met en garde Ivan Bütler. Un avis partagé par Max Klaus, le directeur de MELANI, qui précise que les pirates attaquent par vagues, la dernière remontant à quelques semaines seulement.

La place financière helvétique, cible privilégiée des pirates

Selon MELANI, qui recense toutes les cyberattaques visant les infrastructures vitales de notre pays, la place financière suisse est nettement plus exposée que le secteur de la santé ou de l’énergie.

«La plupart des cybercriminels agissent dans un but d’enrichissement», rappelle M. Klaus. L’envoi d’e-mails d’hameçonnage ou de phishing à des clients d’e-banking est une technique qui s’y prête bien. «Relativement simple à réaliser, ce type de cyberattaque peut être très lucratif.»  

En l’occurrence, les escrocs utilisent une forme d’ingénierie sociale particulièrement sournoise: le maliciel est caché dans des e-mails provenant soi-disant de sources fiables telles que La Poste Suisse, les CFF, Swiss Airline et même la police cantonale zurichoise.

La police cantonale traque les cybercriminels

Daniel Nussbaumer, responsable du service de cybercriminalité de la police cantonale de Zurich en fait-il une affaire personnelle? «Bien sûr, nous ne sommes pas ravis lorsque des pirates informatiques utilisent notre nom pour des activités criminelles. Mais comme toute grande entreprise, nous ne sommes pas à l’abri de ce risque», répond-il en souriant.

Daniel Nussbaumer nous reçoit dans un bureau austère au siège principal de la police cantonale. L’atmosphère qui règne dans l’ancienne caserne militaire au bord de la Sihl contraste avec les activités ultrasophistiquées de son équipe. Seul le système d’identification par scannage des veines de la main à l’entrée du bâtiment révèle qu’on se trouve dans un environnement high-tech.

15 poliziotti, 30 esperti di informatica forense

Il reparto cyber criminalità comprende 15 poliziotti e 30 esperti di informatica forense che, a seconda del caso, collaborano in task force specifiche. «Combiniamo le classiche attività investigative con i metodi dell’informatica forense», spiega Daniel Nussbaumer. Il poliziotto indaga nella vita reale, lo specialista IT in quella virtuale.

Ma le cyber indagini sono complesse e necessitano di molte risorse. «Internet offre ai criminali la possibilità di rimanere anonimi e di essere attivi contemporaneamente in diversi paesi», aggiunge l’ex procuratore per le indagini sui reati economici.

Spionaggio economico dalla Corea del Nord, dalla Cina e dagli USA

Identificare i responsabili è tutt’altro che semplice. Le deviazioni attraverso più server e l’accesso attraverso parti nascoste di Internet permettono ai cyber criminali di nascondere la propria origine. Tuttavia sussistono indizi sulla provenienza di molti attacchi. «Gli hacker russi sono spesso spinti da interessi monetari e utilizzato ransomware», spiega l’esperto Ivan Bütler. Dal Brasile sono arrivate ondate di e-mail che hanno diffuso trojan per colpire i sistemi di e-banking e altri malware. La Corea del Nord, la Cina e gli Stati Uniti sono i principali protagonisti dello spionaggio economico. Tra questi due ultimi paesi, dalla presidenza di Trump è in atto una guerra commerciale che coinvolge anche il settore informatico.

I servizi segreti americani, ad esempio, mettono in guardia dall’uso di componenti del produttore cinese Huawei per la prossima generazione di telefoni cellulari, che servirebbero al governo cinese come portale d’accesso allo spionaggio in Occidente. Anche il numero due del settore delle telecomunicazioni svizzero, Sunrise, punta sui dispositivi Huawei per lo sviluppo della rete 5G.

Il Servizio delle attività informative della Confederazione non ha trovato prove contro Huawei

Ad aprile il Servizio delle attività informative della Confederazione (SIC) ha presentato al Consiglio federale un rapporto relativo al pericolo rappresentato da Huawei. Secondo le dichiarazione rilasciate da Jean-Philippe Gaudin ai media, direttore del SIC, non sono state trovate prove delle attività di spionaggio tramite la tecnologia 5G da parte del produttore cinese.

Ivan Bütler è tuttavia convinto che i principali fornitori di attrezzature di rete includono nei loro dispositivi delle scappatoie. Ciò vale sia per i produttori cinesi che per quelli americani. «Prima delle rivelazioni di Edward Snowden, mi avrebbero tacciato di essere un teorico della cospirazione».

Ma oggi sappiamo quanti sforzi fanno i vari servizi segreti per ottenere informazioni private o addirittura segrete via Internet. «Siamo nel bel mezzo di una corsa alle armi digitali», conclude Ivan Bütler.

Vulnerabilità connessa ai dispositivi in rete

Tuttavia, la fame della società nei confronti dell’enorme potenziale offerto dalla tecnologia è così grande che i problemi di sicurezza passano in secondo piano. E nonostante la sicurezza venga costantemente migliorata, la vulnerabilità aumenta in modo esponenziale con la proliferazione dei dispositivi connessi in rete.

Almeno il macellaio Wechsler di Nebikon è oggi molto più attento alla sicurezza dei propri dati. Dopo l’incidente di ottobre ha investito in un sistema automatico di backup affinché tutte le ordinazioni e i bollettini di consegna siano salvati giornalmente. Così in caso di un nuovo attacco deve solo effettuare un ripristino. Adesso riceve ogni giorno un’e-mail di conferma dell’avvenuto salvataggio dei dati. «Questo mi tranquillizza. Non voglio più espormi a uno stress simile».

Autore: Hannes von Wyl
Foto: Florian Kalotay