Che cos’è un attacco informatico? Guida completa

Attacco informatico (o cyber attacco): cos’è?

Un attacco informatico è un termine generico utilizzato per descrivere qualsiasi azione criminale eseguita contro dispositivi, reti o infrastrutture digitali. Questi attacchi possono avere scopi finanziari, di ritorsione o ideologici. Alcuni hacker spesso attaccano sistemi di alto profilo anche per guadagnare notorietà.

Scopri il significato di hacker all’interno della nostra guida dedicata.

Un attacco informatico consiste in qualsiasi azione deliberata che mira a sottrarre, rendere pubblici, modificare, disabilitare o distruggere dati, applicazioni o altri beni digitali tramite l’accesso non autorizzato a sistemi informatici, reti o dispositivi.

Gli autori di tali attacchi, mossi da varie motivazioni come il guadagno economico, l’inizio di una guerra cibernetica o le idee politiche, impiegano diverse tattiche per portare a termine azioni malevole quali malware, truffe di ingegneria sociale e furti di credenziali, con l’obiettivo di infiltrarsi all’interno dei sistemi bersaglio.

Questi comportamenti ostili possono avere conseguenze devastanti per le imprese, andando a interrompere le operazioni per un determinato periodo di tempo, danneggiando le strutture e distruggendo la reputazione aziendale.

È stato stimato che il costo medio di una violazione di dati si aggira attorno ai 4,35 milioni di dollari, cifra che include anche le spese per il rilevamento e la risposta all’incidente, la perdita di produttività, i mancati guadagni e i danni all’immagine aziendale.

Gli attacchi di tipo ransomware possono avere costi ancora più elevati, con richieste di riscatto che raggiungono i 40 milioni di dollari, mentre le frodi BEC possono provocare danni alle vittime fino a ben 47 milioni di dollari per singolo episodio.

Si stima, inoltre, che il costo globale della criminalità informatica possa raggiungere i 10,5 trilioni di dollari all’anno entro il 2025.

Tipi di attacchi informatici

Entriamo ora nel dettaglio e scopriamo quali sono i principali tipi di attacchi informatici. Sebbene l’elenco che segue non sia completo di tutte le tipologie attualmente in circolazione, sono incluse alcune delle tecniche più frequentemente utilizzate dai cybercriminali al fine di compiere le loro azioni illecite.

Attacchi malware

Il termine “malware“, talvolta detto anche “threatware”, è utilizzato per descrivere qualsiasi tipo di software dannoso creato con l’obiettivo di infliggere danni o trarre altri tipi di vantaggi dall’utente che lo esegue. Si tratta di uno degli attacchi informatici più diffusi in assoluto.

Questo software può variare da programmi che raccolgono informazioni sulla vittima in modo occulto o la inondano di pubblicità invasive, a software che criptano i dati dell’utente e ne richiedono un riscatto.

Esistono diversi tipi di malware, tra cui:

• Virus: un tipo di software dannoso che infetta i file sul dispositivo dell’utente.
• Worm: questo malware si propaga e si replica automaticamente da un file o computer all’altro senza bisogno di interazione umana.
• Trojan: malware nascosti all’interno di programmi apparentemente legittimi ma che, in realtà, sono progettati per permettere agli hacker di sottrarre o eliminare file, modificare dati e/o cambiare i contenuti del dispositivo.
• Ransomware: un tipo di malware che cripta i file sul dispositivo della vittima, rendendoli inaccessibili.
• Spyware: un software che si installa su un dispositivo con lo scopo di monitorare e raccogliere dati personali senza il consenso dell’utente.

Ingegneria sociale

Un cyberattacco di ingegneria sociale si basa sull’inganno per spingere gli utenti a divulgare informazioni riservate, installare software dannoso o trasferire fondi agli autori del reato.

I cybercriminali spesso creano false identità o siti web, presentandosi come autorità fidate (ad esempio, impiegati bancari o agenti del servizio clienti) al fine di persuadere le vittime, siano esse utenti di un sito web o destinatari di una e-mail, a compiere azioni che non sono nel loro interesse.

L’ingegneria sociale può assumere diverse forme, tra cui lo scareware, il baiting, il quid pro quo, il catfishing, il pretexting, il furto diversivo e il phishing, che include a sua volta diverse sottocategorie specifiche.

Attacchi di phishing

Una delle tipologie di attacco informatico più diffuse è il phishing, una tecnica di ingegneria sociale frequentemente impiegata con l’obiettivo di sottrarre dati personali agli utenti.

Ecco una panoramica delle tipologie più comuni di attacchi di phishing:

• Phishing tradizionale: questo metodo si avvale di e-mail contenenti link dannosi, progettate per rubare dati sensibili, credenziali di accesso e dettagli finanziari, spesso tramite l’installazione di malware.
• Spear-phishing: questo tipo di attacco è personalizzato e mira a organizzazioni o individui specifici. Viene realizzato attraverso e-mail che appaiono autentiche e inducono alla condivisione di informazioni riservate.
• Whaling: gli attacchi di whaling si concentrano su dirigenti di alto livello, con gli aggressori che si camuffano da entità fidate allo scopo di spingere le vittime a rivelare dati sensibili o confidenziali.
• Smishing o phishing tramite SMS: questo metodo utilizza messaggi di testo ingannevoli al fine di indurre le vittime a divulgare le proprie informazioni personali o finanziarie.

Attacchi Man-in-the-middle (MitM)

In un attacco man in the middle, l’autore del reato intercetta le comunicazioni tra il computer di un utente e un destinatario, che potrebbe essere un’applicazione, un sito web o un altro utente. L’aggressore è quindi in grado di manipolare questi scambi e accedere ai dati sensibili della vittima.

Attacchi DoS (Denial-of-service ) e DDoS (distributed denial-of-service)

Un attacco di tipo denial-of-service (DoS) è una forma di aggressione informatica che rende un dispositivo o sistema inaccessibile ai suoi utenti, compromettendone le funzionalità.

Tipicamente, questi attacchi si realizzano inondando il sistema di false richieste che lo sovraccaricano, impedendogli di elaborare i processi legittimi.

Tra i tipi di attacchi DoS più frequenti possiamo sicuramente citare il buffer overflow, l’ICMP Flood, il SYN Flood, il ping of Death, il Teardrop e lo Smurf.

Il Denial of Service distribuito (DDoS) è un attacco via Internet che mira a interrompere un servizio, un server o una rete tramite un sovraccarico di traffico dannoso.

Questo tipo di attacco sfrutta una rete di computer compromessi al fine di inondare l’obiettivo di traffico, rendendo impossibile la gestione del traffico legittimo.

Un attacco DDoS è potenzialmente in grado di degradare o persino paralizzare completamente un servizio, e i malintenzionati spesso mirano a diversi componenti di una rete attraverso attacchi cyber volumetrici, di connessione TCP, di frammentazione o a livello applicativo.

Iniezione SQL

Un attacco di iniezione SQL si verifica nel momento in cui un aggressore sfrutta le vulnerabilità di un sito web manipolando le query SQL. Esistono diverse tipologie di attacchi SQL, tra cui l’iniezione SQL in-band, inferenziale o out-of-band, per compromettere reti e sistemi.

L’aggressore inserisce del codice dannoso che il sito interpreta come legittimo, permettendo così ai criminali di accedere a dati sensibili normalmente inaccessibili, acquisire privilegi amministrativi o eseguire dei comandi sul sistema operativo.

Una volta entrato nel sistema, l’hacker è in grado di modificare o cancellare file, alterando così il funzionamento delle varie applicazioni.

Esempi zero-day

Gli exploit zero-day sfruttano le vulnerabilità non ancora note o non corrette presenti all’interno di software o reti, lasciando agli sviluppatori “zero giorni” di tempo per creare una patch di sicurezza.

Spesso sono gli hacker a identificare per primi queste falle, aumentando così le probabilità di riuscita di un attacco.

Questi crimini informatici colpiscono prevalentemente governi, grandi aziende, la proprietà intellettuale e il firmware di dispositivi IoT.

Con lo sfruttamento delle vulnerabilità zero-day, i cybercriminali puntano a ottenere informazioni sensibili o confidenziali e possono infliggere danni estesi alle reti utilizzando varie forme di minacce informatiche, come i worm (ad esempio, Stuxnet), l’hacktivismo e i trojan bancari (come Dridex).

Cross-site scripting (XSS) e cross-site request forgery (CSRF)

Un attacco di cross-site scripting (XSS) consiste nell’inserire uno script maligno in un sito web ritenuto sicuro, con l’obiettivo di intercettare i dati privati degli utenti. Ciò avviene tipicamente attraverso la registrazione delle informazioni immesse dagli utenti nei campi di input del portale oggetto dell’attacco.

Gli hacker inviano degli script dannosi ai browser degli utenti, i quali non riescono a distinguerne la natura nociva. Ciò consente al malware di operare e accedere a cookie, alla cronologia di navigazione e ad altri dati sensibili memorizzati dal browser.

Le principali tecniche di XSS includono:

• XSS riflesso
• XSS persistente
• XSS basato su DOM

La falsificazione delle richieste tra siti (CSRF) sfrutta l’ingegneria sociale per indurre l’utente a compiere azioni non volute su un determinato sito web.

L’aggressore può inviare un link dannoso che porta la vittima a cliccare e compiere azioni indesiderate, come trasferire denaro o rivelare credenziali di accesso personali. Se poi il soggetto colpito dall’azione malevola dispone di privilegi amministrativi, gli aggressori possono infiltrarsi e compromettere l’intero sistema o rete.

Attacchi di intercettazione

Gli attacchi di intercettazione, noti anche come snooping o sniffing, si verificano quando i malintenzionati si intromettono nel traffico di rete che passa attraverso computer, dispositivi mobili e IoT, ascoltando o leggendo le comunicazioni tra due device. Questa forma di attacco è prevalente nelle comunicazioni wireless.

Gli utenti, spesso all’oscuro di questa intercettazione, possono finire per esporre i propri dati bancari, le credenziali di accesso e i dati personali.

Tra i tipi più comuni di attacchi di intercettazione troviamo il man-in-the-middle (MITM), lo sniffing, l’intercettazione su reti Wi-Fi pubbliche, le intercettazioni fisiche e quelle basate su malware.

Attacco con password

Gli hacker compromettono le password allo scopo di ottenere accessi non autorizzati a sistemi informatici.

Per farlo, possono adottare diverse metodiche con l’obiettivo di intercettare le credenziali di un utente legittimo:

• Attacco brute force: questo metodo prevede che l’hacker provi tutte le possibili combinazioni di caratteri fino a identificare quella corretta. Benché molto lenta, questa tecnica risulta decisamente efficace, soprattutto se la password non è particolarmente lunga o complessa.
• Attacco dizionario: questo tipo di attacco sfrutta una lista di password comuni che spesso derivano da comportamenti prevedibili degli utenti e da precedenti violazioni di dati. I malintenzionati utilizzano software automatizzati che provano variazioni delle password, aggiungendo prefissi, suffissi e cifre.
• Attacco con tavola arcobaleno: utilizzando una Rainbow Table, gli hacker possono sfruttare gli hash delle password salvati all’interno di un database. Le applicazioni, infatti, non archiviano le password in chiaro, ma le criptano in hash. Una Rainbow Table contiene gli hash corrispondenti a ciascun possibile carattere di testo utilizzato per l’autenticazione. Se un hacker accede a questi hash, può decifrare le password con relativa facilità.

Credential stuffing

Il credential stuffing è un tipo di attacco informatico che rientra nella categoria degli attacchi con password, e rappresenta una variante degli attacchi di forza bruta.

In questo scenario, gli aggressori accedono in modo non autorizzato agli account degli utenti, inserendo credenziali precedentemente violate tramite i form di login.

Gli hacker impiegano strumenti automatizzati al fine di inserire in maniera massiva le credenziali compromesse, aumentando così l’efficacia dell’attacco. Spesso, inoltre, tentano di utilizzare le stesse credenziali su più piattaforme, sfruttando la tendenza degli utenti a riutilizzare gli stessi nomi utente e password su diversi portali.

Attacchi all’Internet degli oggetti (IoT)

Gli attacchi ai dispositivi IoT, come smart TV, termostati e orologi intelligenti, vengono portati avanti dagli hacker attraverso una varietà di metodi, tra cui lo spoofing di dispositivo, l’intercettazione delle comunicazioni, il forzamento delle password, la manipolazione del firmware, gli exploit zero-day, gli attacchi man-in-the-middle (MITM) e denial-of-service (DDoS).

L’obiettivo principale di queste azioni malevole è infettare i dispositivi con malware al fine di comprometterne le funzionalità e accedere in modo illecito ai dati personali degli utenti.

Tecniche di attacco informatico

Esaminiamo ora le principali tecniche di attacco informatico con cui gli hacker portano a termine queste azioni malevole:

• Attacchi passivi: si tratta generalmente di atti di osservazione non invasivi, durante i quali gli aggressori si sforzano di rimanere nascosti per evitare che le vittime si rendano conto di essere state colpite. Gli attacchi passivi sono spesso utilizzati per intercettare o sottrarre informazioni e sono tipici dello spionaggio digitale.
• Attacchi attivi: sono azioni dirette e spesso dannose che mirano a interrompere o danneggiare dispositivi personali, reti o intere infrastrutture. Questi cyberattacchi possono essere diretti verso individui, enti o Paesi.
• Attacchi interni: questi attacchi sono realizzati da individui che dispongono già di un accesso autorizzato ai sistemi che intendono colpire. Si tratta di individui che operano dall’interno dell’organizzazione stessa.
• Attacchi esterni: sono condotti da soggetti esterni all’organizzazione o al sistema attaccato. Gli aggressori esterni possono variare da singoli malintenzionati fino a intere entità statali ostili.

Obiettivi comuni degli attacchi cyber

Chiunque, dall’utente comune di Internet fino alle grandi organizzazioni, può essere bersaglio di attacchi di criminalità informatica.

Ecco un elenco degli obiettivi più frequenti.

• Utenti individuali di Internet
• Imprese e aziende
• Enti governativi
• Strutture sanitarie
• Istituti di istruzione
• Infrastrutture critiche (come le reti di fornitura elettrica e idrica)
• Operatori di telecomunicazioni
• Centri di elaborazione dati

Quali sono gli elementi che indicano la presenza di un attacco informatico?

È difficile capire quale possa essere un segnale certo della presenza di un attacco informatico. Tuttavia, quando si affronta la minaccia di un possibile cyberattacco, è molto importante capire cosa indica la presenza di un attacco informatico, andando a comprendere i segnali e gli indicatori di una possibile azione malevola in corso sul proprio dispositivo.

Uno dei segnali più evidenti è un aumento del traffico di rete anomalo o inusuale. Questo può presentarsi sotto forma di picchi improvvisi nell’utilizzo della larghezza di banda o nella frequenza delle connessioni in arrivo e in uscita. L’analisi dei pattern di traffico può anche rivelare attività sospette, come tentativi di accesso non autorizzati o trasmissioni di dati non richieste direttamente dall’utente.

Un altro segnale di allarme è l’attivazione di servizi o processi non autorizzati. Questo potrebbe includere l’avvio di nuovi servizi o applicazioni sul sistema senza una giustificazione valida, oppure l’attivazione di processi non avviati dall’utente o dagli amministratori di sistema.

Le e-mail con allegati sospetti o link dannosi sono un altro punto critico da tenere sotto controllo: gli aggressori spesso cercano di infiltrarsi nei sistemi inviando proprio delle e-mail ingannevoli contenenti malware o link dannosi.

La ricezione di e-mail non richieste o inaspettate, specialmente se contengono allegati eseguibili o link che richiedono l’accesso a risorse confidenziali, dovrebbe sollevare immediatamente dei dubbi e richiedere un’analisi più approfondita.

Quali sono le ripercussioni di un attacco cyber?

Le ripercussioni di un attacco cyber possono essere devastanti e avere un impatto significativo su individui, aziende e persino intere comunità.

Tra le conseguenze più comuni vi sono la perdita di dati sensibili e riservati, danni finanziari dovuti a frodi o estorsioni, interruzioni delle operazioni aziendali, danni alla reputazione dell’azienda e potenziali conseguenze legali nonché regolamentari.

Inoltre, gli attacchi cyber possono minare la fiducia del pubblico nei confronti dell’organizzazione colpita e avere effetti negativi a lungo termine sul suo successo e sulla capacità di operare in modo sicuro, oltre che affidabile.

Come difendersi dagli attacchi informatici?

Proteggere te stesso e la tua organizzazione dalle minacce informatiche può sembrare una sfida, ma ci sono diverse misure che puoi adottare per ridurre significativamente il rischio di cadere vittima di questi attacchi:

• Installare un antivirus rappresenta la prima linea di difesa contro i malware, poiché consente di proteggere il dispositivo e ridurre i danni in caso di infezione. Anche l’utilizzo della funzionalità Threat Protection Pro di NordVPN può essere utile per rilevare file infetti da malware e bloccare siti dannosi.
• Aggiorna regolarmente il software. Gli aggiornamenti non solo aggiungono nuove funzionalità, ma includono anche importanti correzioni di sicurezza che rendono più difficile agli aggressori sfruttare le vulnerabilità preesistenti.
• Evita le reti Wi-Fi pubbliche. Queste reti sono spesso poco sicure e possono essere sfruttate dai criminali per intercettare il traffico e rubare i dati personali. Limita quindi l’uso di tali reti e opta per connessioni sicure, come quella offerta dalla tua rete domestica o da una VPN.
• Utilizza una VPN quando ti connetti alle reti Wi-Fi pubbliche. Una VPN crittografa la tua connessione Internet, rendendo le tue attività online inaccessibili a occhi indiscreti.
• Limita le informazioni personali condivise online. Riduci al minimo la mole di informazioni personali che condividi online, in modo da limitare il rischio di cadere vittima di truffe o furti di identità.
• Installa estensioni di sicurezza sul browser. Molte estensioni possono migliorare la sicurezza online, bloccando annunci fastidiosi, tracker e siti dannosi.
• Scarica app solo da fonti affidabili, preferendo sempre gli app store ufficiali dove i controlli sono più rigorosi e il rischio di contrarre dei malware è decisamente più ridotto.
• Sii cauto con i link sconosciuti e valuta attentamente la loro affidabilità prima di cliccarci sopra, specialmente se promettono guadagni troppo facili.
• Proteggi la rete Wi-Fi di casa utilizzando tecniche di crittografia avanzate e cambiando le credenziali predefinite, avendo cura di impostare delle password sicure.

Pratiche essenziali di cybersecurity per le aziende

Per migliorare la sicurezza dei dati nel contesto aziendale, è fondamentale adottare una serie di pratiche e procedure per prevenire gli attacchi informatici:

• Assicurati di aggiornare regolarmente il software, compresi sistemi operativi, applicazioni e soluzioni di protezione. Le patch di sicurezza possono risolvere vulnerabilità note e proteggere il sistema da attacchi informatici.
• Effettua backup regolari dei dati cruciali dell’azienda, preferibilmente utilizzando soluzioni di archiviazione cloud esterne. Questo aiuta a prevenire perdite in caso di attacchi informatici o guasti hardware.
• Forma il personale sulla sicurezza informatica, istruendoli su come navigare in modo sicuro online, riconoscere tentativi di attacco e gestire eventuali violazioni.
• Limita i privilegi di accesso dei dipendenti, garantendo che abbiano accesso solo alle risorse necessarie per svolgere le proprie mansioni. Questo riduce i danni potenziali in caso di compromissione degli account.
• Proteggi le reti aziendali con firewall robusti in grado di prevenire attacchi esterni e accessi non autorizzati ai dati.
• Utilizza una VPN aziendale per crittografare il traffico Internet, proteggendo i dati aziendali sia in sede che durante il lavoro da remoto.
• Assicurati di avere adeguate misure di sicurezza fisica per impedire accessi non autorizzati ai locali aziendali o alle sale server.
• Effettua controlli di sicurezza regolari, inclusi audit e valutazioni, per proteggere i dati sensibili, individuare vulnerabilità e mantenere aggiornate le politiche di sicurezza.
• Sviluppa un piano dettagliato di risposta agli incidenti per gestire in modo efficace possibili fughe di dati, violazioni, attacchi informatici e altri eventi relativi alla sicurezza.

FAQ

Cosa si intende per attacco informatico?

Un attacco informatico è un’azione deliberata volta a compromettere la sicurezza di dispositivi, reti o dati, solitamente per scopi dannosi o di lucro.

Quali sono le fasi di un attacco informatico?

Le fasi di un attacco informatico includono la raccolta di informazioni, l’ingresso nel sistema, l’esecuzione dell’attacco e il mantenimento dell’accesso.

Quali sono le norme di prevenzione contro gli attacchi informatici?

Le norme di prevenzione contro gli attacchi informatici includono l’uso di software antivirus, l’aggiornamento regolare del software, l’implementazione di firewall, l’adozione di politiche di sicurezza robuste e la formazione del personale sulle tematiche della sicurezza informatica.

Qual è la causa principale degli attacchi informatici?

La principale causa degli attacchi informatici è spesso la ricerca di un guadagno finanziario o la violazione della sicurezza con l’obiettivo di ottenere dati sensibili.