Che cos’è un attacco informatico? Guida completa

Che cos’ è un attacco informatico?

Un attacco informatico è un termine generico utilizzato per descrivere qualsiasi deliberata azione criminale che mira a sottrarre, rendere pubblici, modificare, disabilitare o distruggere dati, applicazioni o altri beni digitali tramite l’accesso non autorizzato a sistemi informatici, reti o dispositivi. Alcuni hacker spesso attaccano sistemi di alto profilo per guadagnare notorietà, ma possono essere mossi da motivazioni di vario genere come desiderio di profitto, l’intento di scatenare una guerra cibernetica o per convinzioni ideologiche o politiche.

Questi attacchi possono avere conseguenze disastrose tanto per gli individui che per le imprese.

Qual è lo scopo degli attacchi cibernetici?

Lo scopo di un attacco cibernetico è generalmente quello di ottenere un vantaggio illecito sfruttando vulnerabilità informatiche. Gli obiettivi, come le tattiche messe in atto per raggiungerli, possono essere molteplici: rubare dati sensibili, come informazioni finanziarie o personali, estorcere denaro, interrompere servizi od operazioni aziendali, spiare organizzazioni o governi, o compromettere la reputazione di individui o aziende.

Quali sono i principali attacchi informatici oggi?

Diamo un’occhiata più da vicino ai principali tipi di attacchi informatici. Anche se l’elenco non è esaustivo, include alcune delle tecniche più comuni che i cybercriminali usano per portare a termine le loro azioni illecite.

Attacchi malware

Il termine “malware“, o “threatware”, indica qualsiasi software dannoso progettato per arrecare danni od ottenere vantaggi dall’utente che lo esegue. È uno degli attacchi informatici più comuni.

Questo software può raccogliere informazioni in modo occulto, mostrare pubblicità invasive o criptare i dati dell’utente richiedendo un riscatto.

I principali tipi di malware includono:

• Virus: un tipo di software dannoso che infetta i file sul dispositivo dell’utente.
• Worm informatico: questo malware si propaga e si replica automaticamente da un file o computer all’altro senza bisogno di interazione umana.
• Trojan: malware nascosti all’interno di programmi apparentemente legittimi ma che, in realtà, sono progettati per permettere agli hacker di sottrarre o eliminare file, modificare dati e/o cambiare i contenuti del dispositivo.
• Ransomware: un tipo di malware che cripta i file sul dispositivo della vittima, rendendoli inaccessibili.
• Spyware: un software che si installa su un dispositivo con lo scopo di monitorare e raccogliere dati personali senza il consenso dell’utente.

Ingegneria sociale

Un cyberattacco di ingegneria sociale si basa sull’inganno per indurre gli utenti a rivelare informazioni riservate, installare software dannoso o trasferire fondi ai criminali.

I cybercriminali spesso creano false identità o siti web, spacciandosi per figure di fiducia come impiegati bancari o agenti del servizio clienti, per persuadere le vittime, che siano utenti di un sito web o destinatari di un’email, a compiere azioni dannose per loro.

L’ingegneria sociale può assumere diverse forme, tra cui lo scareware, il baiting, il quid pro quo, il catfishing, il pretexting, il riskware, il furto diversivo e il phishing, che include a sua volta diverse sottocategorie specifiche.

Attacchi di phishing

Una delle tipologie di attacco informatico più diffuse è il phishing, una tecnica di ingegneria sociale frequentemente impiegata con l’obiettivo di sottrarre dati personali agli utenti.

Ecco una panoramica delle tipologie più comuni di attacchi di phishing:

• Phishing tradizionale: questo metodo si avvale di email contenenti link dannosi, progettate per rubare dati sensibili, credenziali di accesso e dettagli finanziari, spesso tramite l’installazione di malware.
• Spear-phishing: l’attacco spear-phishing è personalizzato e mira a organizzazioni o individui specifici. Viene realizzato attraverso email che appaiono autentiche e inducono alla condivisione di informazioni riservate.
• Whaling: gli attacchi di whaling si concentrano su dirigenti di alto livello, con gli aggressori che si camuffano da entità fidate allo scopo di spingere le vittime a rivelare dati sensibili o confidenziali.
• Smishing o phishing tramite SMS: lo smishing utilizza messaggi di testo ingannevoli al fine di indurre le vittime a divulgare le proprie informazioni personali o finanziarie.

Attacchi man in the middle (MitM)

In un attacco man in the middle, l’autore del reato intercetta le comunicazioni tra il computer di un utente e un destinatario, che potrebbe essere un’applicazione, un sito web o un altro utente. L’aggressore è quindi in grado di manipolare questi scambi e accedere ai dati sensibili della vittima.

Attacchi DoS (Denial-of-service ) e DDoS (distributed denial-of-service)

Un attacco di tipo denial-of-service (DoS) è una forma di aggressione informatica che rende un dispositivo o sistema inaccessibile ai suoi utenti, compromettendone le funzionalità.

Di solito, questi attacchi si realizzano inondando il sistema di false richieste che lo sovraccaricano, impedendogli di elaborare i processi legittimi.

Tra i tipi di attacchi DoS più frequenti possiamo sicuramente citare il buffer overflow, l’ICMP Flood, il SYN Flood, il ping of Death, il Teardrop e lo Smurf.

Il Denial of Service distribuito (DDoS) è un attacco via internet che mira a interrompere un servizio, un server o una rete tramite un sovraccarico di traffico dannoso.

Questo tipo di attacco sfrutta una rete di computer compromessi al fine di inondare l’obiettivo di traffico, rendendo impossibile la gestione del traffico legittimo.

Un attacco DDoS è potenzialmente in grado di degradare o persino paralizzare completamente un servizio, e i malintenzionati spesso mirano a diversi componenti di una rete attraverso attacchi cyber volumetrici, di connessione TCP, di frammentazione o a livello applicativo.

Iniezione SQL

Un attacco di iniezione SQL si verifica nel momento in cui un aggressore sfrutta le vulnerabilità di un sito web manipolando le query SQL. Esistono diverse tipologie di attacchi SQL, tra cui l’iniezione SQL in-band, inferenziale o out-of-band, per compromettere reti e sistemi.

L’aggressore inserisce del codice dannoso che il sito interpreta come legittimo, permettendo così ai criminali di accedere a dati sensibili normalmente inaccessibili, acquisire privilegi amministrativi o eseguire dei comandi sul sistema operativo.

Una volta entrato nel sistema, l’hacker è in grado di modificare o cancellare file, alterando così il funzionamento delle varie applicazioni.

Attacchi zero-day

Gli attacchi zero-day sfruttano le vulnerabilità non ancora note o non corrette presenti all’interno di software o reti, lasciando agli sviluppatori “zero giorni” di tempo per creare una patch di sicurezza.

Spesso sono gli hacker a identificare per primi queste falle, aumentando così le probabilità di riuscita di un attacco.

Questi crimini informatici colpiscono prevalentemente governi, grandi aziende, la proprietà intellettuale e il firmware di dispositivi IoT.

Con lo sfruttamento delle vulnerabilità zero-day, i cybercriminali puntano a ottenere informazioni sensibili o confidenziali e possono infliggere danni estesi alle reti utilizzando varie forme di minacce informatiche, come i worm (ad esempio, Stuxnet), l’hacktivismo e i trojan bancari (come Dridex).

Cross-site scripting (XSS) e cross-site request forgery (CSRF)

Un attacco di cross-site scripting (XSS) consiste nell’inserire uno script maligno in un sito web ritenuto sicuro, con l’obiettivo di intercettare i dati privati degli utenti. Di norma ciò avviene attraverso la registrazione delle informazioni immesse dagli utenti nei campi di input del portale oggetto dell’attacco.

Gli hacker inviano degli script dannosi ai browser degli utenti, i quali non riescono a distinguerne la natura nociva. Ciò consente al malware di operare e accedere ai cookie, alla cronologia di navigazione e ad altri dati sensibili memorizzati dal browser.

Le principali tecniche di XSS includono:

• XSS riflesso
• XSS persistente
• XSS basato su DOM

La falsificazione delle richieste tra siti (CSRF) sfrutta l’ingegneria sociale per indurre l’utente a compiere azioni non volute su un determinato sito web.

L’aggressore può inviare un link dannoso che porta la vittima a cliccare e compiere azioni indesiderate, come trasferire denaro o rivelare credenziali di accesso personali. Se poi il soggetto colpito dall’azione malevola dispone di privilegi amministrativi, gli aggressori possono infiltrarsi e compromettere l’intero sistema o rete.

Attacco con password

Gli hacker compromettono le password allo scopo di ottenere accessi non autorizzati a sistemi informatici. Per farlo, possono adottare diversi metodi:

• Attacco brute force: questo metodo prevede che l’hacker provi tutte le possibili combinazioni di caratteri fino a identificare quella corretta. Benché molto lenta, questa tecnica risulta decisamente efficace, soprattutto se la password non è particolarmente lunga o complessa.
• Attacco dizionario: questo tipo di attacco sfrutta una lista di password comuni che spesso derivano da comportamenti prevedibili degli utenti e da precedenti violazioni di dati. I malintenzionati utilizzano software automatizzati che provano variazioni delle password, aggiungendo prefissi, suffissi e cifre.
• Attacco con tavola arcobaleno: utilizzando una Rainbow Table, gli hacker possono sfruttare gli hash delle password salvati all’interno di un database. Le applicazioni, infatti, non archiviano le password in chiaro, ma le criptano in hash. Una Rainbow Table contiene gli hash corrispondenti a ciascun possibile carattere di testo utilizzato per l’autenticazione. Se un hacker accede a questi hash, può decifrare le password con relativa facilità.

Attacchi all’internet delle cose (IoT)

Gli attacchi ai dispositivi IoT, internet delle cose, come smart TV, termostati e orologi intelligenti, possono essere eseguiti dagli hacker attraverso una varietà di metodi, tra cui lo spoofing di dispositivo, l’intercettazione delle comunicazioni, il forzamento delle password, la manipolazione del firmware, gli attacchi zero-day, quelli man-in-the-middle (MITM) e denial-of-service (DDoS), di cui abbiamo parlato in precedenza in questo articolo.

Chi può essere bersaglio di un attacco informatico?

Chiunque, dall’utente comune di internet fino alle grandi organizzazioni, può essere bersaglio di attacchi di criminalità informatica.

Ecco un elenco degli obiettivi più frequenti.

• Utenti individuali di internet
• Imprese e aziende
• Enti governativi
• Strutture sanitarie
• Istituti di istruzione
• Infrastrutture critiche (come le reti di fornitura elettrica e idrica)
• Operatori di telecomunicazioni
• Centri di elaborazione dati

Quali sono i segnali di attacco informatico?

Identificare un attacco informatico può essere complicato, ma ci sono alcuni segnali che possono aiutarti a rilevarlo:

• Traffico di rete anomalo: picchi improvvisi nell’utilizzo della larghezza di banda o nelle connessioni in entrata/uscita.
• Attivazione di servizi non autorizzati: avvio di nuovi processi o applicazioni senza motivo.
• Email sospette: messaggi con allegati o link potenzialmente dannosi, spesso utilizzati per diffondere malware.
• Email non richieste: ricezione di messaggi inaspettati con allegati eseguibili o link a risorse confidenziali.

Quali sono le conseguenze di un attacco informatico?

Le ripercussioni di un attacco alla cybersecurity possono essere devastanti e influenzare individui, aziende e comunità. Tra queste citiamo:

• Perdita di dati sensibili: compromissione di informazioni riservate.
• Danni finanziari: perdite a causa di frodi o estorsioni e spese per la riparazione dei sistemi, il recupero dei dati e la gestione dell’emergenza.
• Interruzioni delle operazioni aziendali: blocco delle attività e problemi nella catena di approvvigionamento.
• Danni alla reputazione: compromissione dell’immagine aziendale o personale
• Conseguenze legali e regolamentari: potenziali sanzioni o multe, richiesta di audit e indagini al fine di determinare origine e responsabilità.
• Minore fiducia pubblica: effetti negativi sulla reputazione e sul successo a lungo termine dell’organizzazione colpita.

Le conseguenze più importanti e maggiormente visibili nel breve termine riguardano l’aspetto finanziario. Si stima che il costo medio di una violazione dei dati si aggiri intorno ai 4,35 milioni di dollari, una cifra che comprende le spese per il rilevamento e la risposta all’incidente, la perdita di produttività, i mancati guadagni e i danni alla reputazione aziendale.

Gli attacchi ransomware possono essere ancora più costosi, con richieste di riscatto che arrivano fino a 40 milioni di dollari, mentre le frodi BEC (Business Email Compromise) possono causare perdite fino a 47 milioni di dollari per singolo episodio.

È stato calcolato, inoltre, che il costo globale della criminalità informatica possa raggiungere i 10,5 trilioni di dollari all’anno entro il 2025.

Come prevenire un attacco informatico?

Per prevenire un attacco informatico ci sono diverse misure che persone e organizzazioni possono adottare per ridurre significativamente il rischio di caderne vittima. Vediamole insieme.

Per le persone:

1. Installare un antivirus: Protegge il dispositivo dai malware e riduce i danni in caso di infezione. Considera l’uso di funzionalità aggiuntive come Threat Protection Pro di NordVPN per rilevare file infetti e bloccare siti dannosi.
2. Aggiornare regolarmente il software: Gli aggiornamenti includono correzioni di sicurezza essenziali per proteggere il sistema dalle vulnerabilità.
3. Evitare l’uso di Wi-Fi pubblici: Queste reti possono essere sfruttate per rubare dati. Usa connessioni sicure, come la tua rete domestica o una VPN.
4. Utilizzare una VPN: Crittografa la connessione internet, rendendo le tue attività online più sicure e private, soprattutto su reti Wi-Fi pubbliche.
5. Limitare le informazioni personali online: Riduci la quantità di dati che condividi per prevenire truffe e furti di identità.
6. Installare estensioni di sicurezza sul browser: Blocca annunci, tracker e siti dannosi.
7. Scaricare app solo da fonti affidabili: Usa solo gli app store ufficiali per ridurre il rischio di malware.
8. Essere cauti con i link sconosciuti: Verifica sempre l’affidabilità dei link prima di cliccarci sopra.
9. Proteggere la rete Wi-Fi di casa: Utilizza tecniche di crittografia avanzate e cambia le credenziali predefinite, avendo cura di impostare delle password sicure.

Per le aziende:

1. Effettuare backup regolari: Utilizza soluzioni di archiviazione cloud esterne per prevenire perdite di dati cruciali.
2. Formare il personale: Istruisci i dipendenti su come navigare in sicurezza e riconoscere tentativi di attacco.
3. Limitare i privilegi di accesso: Assegna accessi minimi necessari ai dipendenti per ridurre i danni in caso di compromissione.
4. Proteggere le reti aziendali: Usa firewall robusti per prevenire attacchi esterni e accessi non autorizzati.
5. Utilizzare una VPN aziendale: Crittografa il traffico Internet per proteggere i dati aziendali sia in sede che durante il lavoro remoto. La soluzione di accesso remoto Nordlayer è progettata specificamente per le aziende, consentendo di ridurre i rischi, facilitare il lavoro a distanza e proteggere l’azienda dalle minacce informatiche.
6. Prestare attenzione alla sicurezza fisica: Impedisci accessi non autorizzati ai locali aziendali e alle sale server.
7. Effettuare controlli di sicurezza regolari: Prevedi audit e valutazioni per individuare vulnerabilità e mantenere aggiornate le politiche di sicurezza.
8. Sviluppare un piano di risposta agli incidenti: Gestisci efficacemente fughe di dati, violazioni e altri eventi di sicurezza.