Un resoconto dell’ultimo anno verso un futuro digitale “a distanza”

A pochi giorni dalla fine di un anno decisamente particolare, Akamai ha voluto riesaminarlo, focalizzandosi sui principali snodi legati alla sicurezza. Guardando indietro ai rapporti diffusi, si nota come il COVID-19 abbia influenzato e messo a dura prova la sicurezza e la fluidità del traffico internet, ma ha anche accelerato, innovato e segnato degli step evolutivi che permetteranno alle aziende di affrontare il nuovo anno in maniera più pronta. Anche i criminali informatici hanno iniziato ad evolversi, e i loro attacchi sono diventati ogni giorno più ambiziosi, ma ciò ha fatto sì che le aziende alzassero l’asticella della loro sicurezza.

 

Riguardando i mesi indietro si nota come ogni settore, seppure in modo diverso, è stato preso di mira dai criminali informatici, che non hanno rallentato la loro attività, anche quando tutto il mondo si stava fermando davanti alle difficoltà portate da una pandemia.

 

Già a febbraio con la pubblicazione del SOTI Security report 2020 – Hostile Takeover Attempts, dedicato ai servizi finanziari, si evidenziava come nel periodo compreso tra maggio 2019 fino e la fine dell’anno ci sia stato un netto cambiamento nelle attività criminali che hanno preso sempre più di mira le API, con l’obiettivo di bypassare i controlli di sicurezza. Secondo i dati di Akamai, il 75% degli attacchi di credential abuse contro il settore dei servizi finanziari sono stati diretti alle API, con una media di oltre 3miliardi e 500mila attacchi ogni mese.

 

A marzo, con i lockdown diffusi, la percezione era quella che il Coronavirus stesse cambiando il mondo e Akamai ha registrato una crescita del 30% del traffico Internet (da Febbraio 2020 a Marzo 2020), pari a circa un anno intero di traffico, portando molte persone a chiedersi se il web stesso potesse in qualche modo per “crollare,” ma così non è stato. La crescita esplosiva di marzo è stata impressionante e le aziende del settore media hanno adottato misure per ridurre il traffico, passando ad uno streaming a definizione standard.

 

In Italia, nel corso di una settimana, i livelli di traffico giornaliero sono cresciuti rapidamente, raggiungendo il giorno 14 marzo il picco del 75% rispetto alla media di febbraio. Da allora, si è ridotto fino a quando il traffico del 3 aprile è stato inferiore al 10% rispetto alla media di febbraio.

 

Nonostante la situazione critica in tutto il mondo, i criminali informatici non si sono fermati e hanno sfruttato la paura e l’incertezza che circolavano intorno al COVID-19 per sferrare attacchi contro le imprese. Più nello specifico, hanno utilizzando il time-tested malware Emotet per realizzare campagne a tema COVID-19 contro vittime ignare. Tra maggio e giugno Akamai ha osservato un elevato volume di traffico di Emotet associato alle e-mail di spam relative alla delicata tematica del COVID-19. Akamai ha parlato di capitalizzazione sulle paure del Coronavirus. Gli esperti di sicurezza di Akamai hanno identificato fino a 9.000 URL di phishing relativi al COVID-19 ogni giorno. In media, venivano creati circa 400 nuovi domini legati al virus ogni giorno. Dall’insorgere della crisi sono stati identificati diversi attacchi di phishing con i cosiddetti “kit riciclati”. La pandemia ha aumentato il numero di potenziali vittime per i criminali in quanto l’architettura di sicurezza informatica nell’home office non era preparata per tali attacchi.

 

Cambiando nuovamente settore, Akamai ha spostato la sua attenzione anche sull’industria media, grande protagonista di questo 2020, con un aumento esponenziale degli utenti abbonati ai grandi servizi streaming. Nel report State of the Internet / Credential Stuffing in the Media Industry, Akamai ha evidenziato come 17 miliardi gli attacchi fossero registrati verso l’industria Media tra gennaio 2018 e dicembre 2019, in più, il 20% degli 88 miliardi di attacchi registrati in quel periodo era diretto ad una media company. Secondo il report, le media company sono state un obiettivo molto attraente per i cyber criminali e lo evidenzia il fatto che in particolare il settore media video ha avuto un aumento di attacchi del 63% rispetto all’anno precedente. Il report ha evidenziato più nel dettaglio un aumento del 630% nei confronti delle stazioni televisive e del 208% nei confronti dei siti di video; gli attacchi nei confronti dei servizi video sono invece cresciuti del 98%, mentre quelli nei confronti delle piattaforme video sono diminuiti del 5%. Nel report viene infatti evidenziato un anche un aumento vertiginoso del 7.000% degli attacchi contro i contenuti del mondo dell’editoria. Giornali, libri e riviste si trovano proprio nel mirino dei criminali informatici, il che indica che i media di tutti i tipi sembrano essere un bersaglio facile quando si tratta di questo tipo di attacchi.

 

Il 2020 ci ha dato modo di constatare quanto le attività criminali online, sia per quantità numerica che per efficacia, siano sorrette da una vera e propria Economia Criminale che è fluida, costante e funzionale,” commenta Alessandro Livrea, Site Leader e Country Manager Italia e Eastern Europe. “Questa economia è attiva non solo nei forum privati e nei mercati del dark web, ma ovunque i criminali possano comunicare: Facebook, Discord, forum di messaggistica pubblica, e, prima del COVID-19, anche all’aperto in occasione di convegni e meeting. I criminali informatici hanno ormai delle vere e proprie strutture aziendali che rispecchiano l’efficienza e l’organizzazione delle aziende che tutti noi conosciamo. Hanno sviluppatori, responsabili di Quality Assurance, project manager, addetti alle vendite e persino addetti al marketing e alle pubbliche relazioni, che fanno pubblicità ai fornitori e ai prodotti.”

 

Con il report State of the Internet / Security, Gaming: You Can’t Solo Security, viene evidenziato come non sono solo le imprese ad essere vittima di grandi attacchi, ma anche i singoli utenti devono prestare molta attenzione a come gestiscono la loro presenza in rete. Il rapporto ha rivelato che, tra il 2018 e il 2020, un elevato volume di attacchi ha colpito imprese e giocatori di videogame. I giocatori stessi sono stati l’obiettivo di una costante ondata di attività criminali, in gran parte attraverso il credential stuffing e gli attacchi di phishing. Akamai ha osservato oltre 100 miliardi di attacchi di credential stuffing da luglio 2018 a giugno 2020. Quasi 10 miliardi di questi attacchi hanno preso di mira il settore dei giochi d’azzardo. Il 4 aprile 2020, 24 milioni di giocatori erano online, 8 milioni di loro stavano giocando nel momento in cui è stato settato il record. Una dimostrazione di come da un lato i videogiochi siano serviti come principale sfogo per l’intrattenimento e l’interazione sociale durante il lockdown, ma di come anche i criminali abbiano saputo come passare il tempo durante la pandemia. Un notevole picco nell’attività di credential stuffing si è verificato con l’istituzione di protocolli di isolamento in tutto il mondo. Gran parte del traffico è stato il risultato di criminali che hanno testato le credenziali di vecchi dati violati nel tentativo di compromettere nuovi account creati usando combinazioni di username e password esistenti.

 

Infine anche il settore che nel 2020 ha visto forse il boom più grande online, quello del retail, non è stato escluso dalle attività criminali. Nel reportState of the Internet / Security: Loyalty for Sale – Retail and Hospitality Fraud che ha descritto nel dettaglio l’attività criminale che ha colpito i settori retail, travel e hospitality, con attacchi di vario tipo e dimensione, nel periodo compreso tra luglio 2018 e giugno 2020. Tra luglio 2018 e giugno 2020, Akamai ha osservato complessivamente oltre 100 miliardi di attacchi di credential stuffing. Nella categoria “commercio” – che comprende il commercio al dettaglio, i viaggi e l’industria alberghiera – sono stati registrati 63.828.642.449 attacchi; oltre il 90% degli attacchi nella categoria commercio ha colpito il settore retail. Durante le restrizioni dovute al COVID-19, nel primo trimestre del 2020, i criminali informatici hanno approfittato della situazione e hanno fatto circolare liste di combinazioni di password, andando a colpire tutti i settori commerciali appena menzionati. È stato proprio durante questo periodo che i criminali hanno iniziato a far circolare vecchie liste di credenziali nel tentativo di identificare nuovi account vulnerabili, portando a un significativo aumento sia del loro inventario che delle vendite legate ai dati rubati dai programmi fedeltà.

 

Quest’anno è stato ricco di insegnamenti,” conclude Livrea, “non solo su come gli aggressori siano stati in grado di fare leva sulla paura e sull’incertezza per creare più scompiglio, ma anche su come un mondo digitale e da remoto abbia saputo reagire alle difficoltà così da avere adesso tutte le carte in regola per poter funzionare in futuro.”