Buongiorno! Sei un insoddisfatto ragioniere in un famoso, freddo e isterico studio di architettura. È mattina, sei in ufficio e, svogliatamente, scarichi la posta elettronica. Il tuo capo, l’assistente del tuo capo, l’amante del tuo capo, il socio del capo, le solite cose. A parte una: una e-mail che ti è stata spedita da un cacciatore di teste, interessato al tuo profilo e desideroso di fare quattro chiacchiere con te per proporti un posto da cinquemila e duecento euro al mese. Devi fare solo una cosa: aprire il documento che trovi in allegato, compilarlo e rispedirlo al mittente. Approfittando di un calo generale della soglia di attenzione dell’ufficio, sfrutti i dieci minuti orari che dedichi di solito a Facebook per eseguire. È un questionario Word: digiti nome, cognome, generalità, interessi e rispedisci tutto da bravo.
Dopo qualche settimana smetti pure di pensarci: il “cacciatore” non ti ha ricontattato e pensi che il tuo profilo, tutto sommato, non fosse così interessante come credevi. In compenso, il tuo capo chiama te e colleghi nel suo ufficio, dove vi spiega che è costretto a chiudere l’agenzia. Nessuno dei progetti ai quali stavate lavorando ha vinto delle gare d’appalto in cui eravate stra-favoriti. Che sono state invece vinte da vostri diretti concorrenti che hanno fatto proposte sospettosamente simili alle vostre e a metà del costo.
L’occhio della piramide
Quella che ti ho appena raccontato è una storia breve, triste e super-semplificata, ma che ti riassume alla perfezione quanto è stato scoperto grazie all’operazione Eye Pyramid, venuta a galla qualche giorno fa. Dici che il contesto è diverso? Lo so, ma fammi spiegare.
Nella nostra storia-breve-e-triste c’è qualcuno – tu – evidentemente insoddisfatto del proprio lavoro, al punto da non porsi delle domande nel momento in cui riceve l’e-mail del cacciatore di teste. Per esempio:
- Perché un cacciatore di teste mi dovrebbe scrivere all’indirizzo di lavoro?
- E come ha fatto ad avere il mio indirizzo?
- Quando mai un head-hunter comunica fin dalla prima e-mail il possibile compenso?
- Perché diavolo dovrei aprire un questionario da compilare, se da lì a poco il tizio in questione vuole incontrarmi?
Domande come queste sono sintomo di un tipo sveglio, ma non tutti lo sono. Mai sopravvalutare la società. I ransomware, software capaci di bloccare i file di un computer fino al pagamento di un riscatto, nel 2016 hanno colpito circa il 50% delle aziende informatiche con un giochetto simile: si induce un utente ad aprire un allegato che, in realtà, contiene al suo interno il malware, cioè il software nocivo. Ora, mettiamo che al posto di questo mostricciattolo digitale vi sia un software-spia. Un software, cioè, capace di intercettare qualsiasi dato presente, trasmesso e ricevuto al computer infettato. Non solo: capace addirittura di propagarsi, poi, a tutta la rete dell’ufficio. Hai idea di cosa potrebbe succedere? Molto semplice: l’ufficio sarebbe messo in contatto diretto con un criminale in grado, a quel punto, di copiarne ye sabotarne tutti i dati. Leggere le e-mail, per esempio. Oppure rubare progetti di lavoro, documenti di qualsiasi genere, rapporti top-secret e immagini. O, ancora, infilare immagini compromettenti nei dischi fissi, perfino immagini pedo-pornografiche capaci di trasformare un innocuo dipendente in un mostro pervertito – e dimostrare il contrario, sebbene possibile, non sarebbe facile. Senza contare che, una volta esposti a certe pratiche mediatiche, il marchio resta indelebile e doloroso.
Il punto debole
Ora che hai capito il problema, ti è chiaro che diavolo è successo nel tuo ufficio qualche mese fa. Quello non era un cacciatore di teste e quello non era un semplice questionario: conteneva un software-spia che ha consentito a un criminale informatico di soffiarvi i progetti e rivenderli al miglior offerente. Resta da capire come e perché proprio te. Sfortuna? Non esattamente.
Un criminale informatico, in genere, è un tipo scaltro: se deve accedere, per esempio, alla rete di un ufficio, studierà innanzitutto i suoi dipendenti. Per esempio individuerà che i meno esperti in materia informatica si trovano nell’ufficio amministrativo. E, sempre nel nostro esempio, passerà alcune settimane a studiare, sui social, chi dei quattro membri di quell’ufficio, scovati tramite LinkedIn, è il più ignorante quando si ha a che fare con bit e byte. A quel punto, basta davvero poco per arrivare all’agognato indirizzo e-mail. Si manda la famigerata e-mail a più indirizzi, composti combinando nome, cognome e iniziali del soggetto. Anna Rossi? arossi@, anna.rossi@, rossia@ e via così. La parte difficile è creare l’allegato, ma in questo caso o il criminale è un tipo tosto e lo sa sviluppare da sé, oppure si rivolge ad aziende e “professionisti” specializzati, pronti a fornirgliene uno al costo di qualche migliaio di euro. Il malware, in genere, si può personalizzare, impostando che tipi di dati rubare e dove inviarli.
A quel punto, al furbone non resta che aspettare davanti al proprio computer. Un segnale sonoro lo avverte che il malware è stato attivato e, nel proprio computer, accede a un pannello di controllo dove gestirne le funzioni.
Se la colpa è della vittima
Perché ti ho raccontato tutta questa pappardella? Perché ti spiega in modo semplice che il sistema messo in piedi dai fratelli Occhionero non è diverso da milioni di attacchi informatici che si consumano, ogni giorno, nel web. Ti spiega perché i due fratelli non sono necessariamente degli esperti informatici sopraffini, e quanto poco sia loro bastato, in fondo, per mettere in piedi il loro traffico di dati. Soprattutto, ti spiega che il successo di un’operazione di questo tipo, indipendentemente dall’abilità di chi la organizza, dipende da un individuo frustrato e svogliato che legge una semplice e-mail e, spinto dalla curiosità, ne apre l’allegato. Ti spiega che, più che stupirsi per l’abilità di un criminale informatico, dovremmo stupirci della stupidità delle sue vittime.