Sofisticata ingegneria sociale e attacchi di phishing mirati alla Svizzera – 19° Rapporto semestrale MELANI
Berna, 23.10.2014 - Nel primo semestre del 2014 sono stati al centro dell’attenzione soprattutto i sofisticati attacchi sferrati a aziende mediante l’ingegneria sociale, gli attacchi di phishing mirati alla Svizzera e la falla di sicurezza «Heartbleed» in un software di crittografia. Il 19° Rapporto semestrale della Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI), pubblicato in data odierna, illustra questi e altri casi.
La fiducia delle vittime viene suscitata tramite ingegneria sociale utilizzando informazioni che sono state ricercate in anticipo, sulla base delle quali le vittime sono indotte a compiere azioni negligenti e onerose.
L’ingegneria sociale sta diventando sempre più sofisticata
Nel primo semestre del 2014 i truffatori che agiscono su Internet hanno preso di mira aziende svizzere mediante l’ingegneria sociale con la quale sono stati spiati quadri di aziende mediante costose ricerche, ad esempio con l’ausilio dei social media. Successivamente gli hacker si sono spacciati presso le singole aziende come questi quadri, hanno menzionato un affare strettamente confidenziale e hanno richiesto al reparto contabilità il pagamento di un grosso importo di denaro. In un caso il pagamento di un milione di franchi svizzeri ha potuto essere bloccato solo all’ultimo istante, poiché un collaboratore della contabilità all’ultimo momento non aveva tenuto conto delle istruzioni ricevute e aveva chiesto l’autorizzazione alla direzione.
Attacchi di phishing mirati alla Svizzera
Per carpire i dati di accesso a informazioni importanti come le carte di credito, continuano ad essere sferrati attacchi di phishing meglio congegnati e più mirati alle vittime. Questo si è verificato, ad esempio, anche nel caso in cui da mesi venivano inviate e-mail truffa in nome dell’Ufficio federale dell’energia (UFE). Da queste e-mail si evince che i destinatari avrebbero ricevuto un rimborso di 165 franchi e che avrebbero dovuto inviare a un sito Internet – naturalmente falsificato – il numero della loro carta di credito e il relativo codice di sicurezza posto sul retro della carta di credito nonché la relativa data di scadenza.
Chi comunica dati sensibili su Internet, come i numeri di carte di credito, dovrebbe farlo solo attraverso connessioni crittografate SSL (Secure Sockets Layers) e solo con partner affidabili.
Heartbleed – falla di sicurezza nel software di crittografia
La falla di sicurezza Heartbleed, resa nota nello scorso mese di aprile, ha consentito agli hacker di captare dati sensibili. L’applicazione colpita si stima sia installata su circa due terzi di tutti i server web del mondo. Di conseguenza, milioni di internauti in tutto il mondo sono stati potenzialmente vittime direttamente o indirettamente di questa falla di sicurezza. Lo sfruttamento di questa falla ha consentito di spiare password, numeri di carte di credito e altro.
Nel primo semestre del 2014 il caso NSA ha portato alla luce nuove rivelazioni, che sono illustrate nell’attuale rapporto semestrale, il quale affronta anche la questione delle ripercussioni che il caso NSA avrà nella tutela della sfera privata.
Indirizzo cui rivolgere domande
Max Klaus, capo sostituto MELANI
Organo direzione informatica della Confederazione ODIC,
tel. 058 463 45 07
max.klaus@isb.admin.ch
Documenti
Pubblicato da
Organo direzione informatica della Confederazione (dall'01.01.2021: Trasformazione digitale e governance delle TIC)
http://www.odic.admin.ch
Dipartimento federale della difesa, della protezione della popolazione e dello sport
http://www.vbs.admin.ch
