Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Crimini Informatici: Tecniche, Esempi e Strategie di Protezione, Schemi e mappe concettuali di Informatica Giuridica

Una panoramica completa dei crimini informatici, analizzando le tecniche utilizzate dai criminali, gli esempi di attacchi reali e le strategie di protezione per prevenire e contrastare tali minacce. Diverse tipologie di attacchi, tra cui il phishing, il ransomware e il furto di identità, fornendo informazioni dettagliate su come funzionano e come difendersi.

Tipologia: Schemi e mappe concettuali

2022/2023

Caricato il 07/04/2025

gaia-zanotta
gaia-zanotta 🇮🇹

4 documenti

1 / 5

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
5.10.23. Seconda lezione. La sicurezza informatica, la criminalità informatica e la protezione dei dati.
Crimini informatici
Negli ultimi anni i crimini informatici sono radicalmente cambiati perché oggi gran parte degli attacchi
vengono fatti senza saper quasi nulla di informatica, quindi non sono complessi dal punto di vista tecnologico
perché sono tendenzialmente frodi.
Tecniche criminali
Quando un criminale ruba le credenziali ed entra in un sistema commette uno spostamento laterale (lateral
movement) (del criminale), cioè cerca di spostarsi dall’account a cui è riuscito ad accedere su pc e servizi
dell’università che sono più interessanti per un criminale. Quando il criminale si appropria dei nostri dati
siccome non gli servono cerca di spostarsi su account più interessanti come quello di un professore, per poi
passare al dirigente, poi all’ufficio legale, poi al rettore, poi al consiglio di amministrazione. I criminali
rimangono anche mesi dentro un sistema. Il termine medio per un’azienda di venire a conoscenza di un reato
informatico è di 7 mesi, in quanto silenzioso e subdolo. Con lo spostamento laterale ci si sposta nell’area del
sistema utile e di solito si utilizza questa tecnica per cercare dati di particolare valore. Per raggiungere questo
obiettivo il criminale può rimanere all’interno del sistema per molto tempo, motivo per cui questo tipo di
attacco si definisce persistente. Il punto di partenza per iniziare un attacco di questo tipo è entrare nel sistema
e per entrare bisogna avere delle credenziali valide. Il criminale ci usa per entrare nel sistema, poi va a cercare
aree più importanti.
Con lo spostamento verticale o scalata dei privilegi, invece, si ragiona in verticale: si entra come utente ospite
ma si vuole diventare amministratore di quel sistema, posizione in cui si può fare ciò che si vuole. In questo
caso si parte da una posizione più bassa per arrivare all’apice e amministrare il sistema. Non è facile
raggiungere livelli di autorizzazione sempre più alti, bisogna violare le varie utenze in successione: si entra
come ospite (guest) con poteri più limitati perché possiamo solo navigare, poi si cerca di diventare utente
(user), per passare da utente con potere di installare programmi, poi si cerca di arrivare ad avere le credenziali
di amministratore. Se un criminale riesce ad arrivare come amministratore in un sistema può fare qualsiasi
cosa, la prima cambiare la password di amministratore. Si usa il termine “admin” per indicare il ruolo di
amministratore, oppure anche “root” (radice).
Se andiamo sul dark web (mercato nero) c’è la figura che si chiama IAB (Initial Access Broker) che è il broker
(intermediario) degli accessi alle aziende o ai sistemi. Esempio: un gruppo criminale fa un attacco e cerca di
accedere a decine di sistemi (aziende, università ecc.) ma non lo fa per accedere ma fa un inventario
(censimento) dei dati che ci sono e poi fa un listino prezzi e vende gli accessi, per cui vende le credenziali a dei
criminali che sono intenzionati ad attaccare una determinata azienda (fa da intermediario). Questi sono i
broker che vendono gli accessi iniziali a determinati tipi di servizi. I broker che lavorano di più sono quelli che
vendono accessi a sistemi interessanti. Il crimine informatico, quindi, si è sviluppato anche dal punto di vista
imprenditoriale. Questo fenomeno è aumentato in periodo di covid perché le persone sono meno attente a
proteggere le credenziali di accesso, ad esempio le VPN ovvero quel software usato per una connessione
sicura. Meno siamo sicuri a gestire le nostre credenziali di accesso più è possibile che siano rubate da questi
broker.
Casi di crimini informatici in Italia nel 2022
1. Reati su Telegram. I contenuti non sono tracciati (si è meno esposti alle forze dell’ordine); vi è anonimato
(l’uso del numero di telefono è conosciuto solo dalla piattaforma ma non è visibile ne ai partecipanti delle
chat ne viene esposto); con dei BOT (programma che svolge compiti automatici su Internet simulando il
comportamento di un utente umano) si possono creare dei gruppi che automatizzano attività per decine
di migliaia di persone. La polizia postale è intervenuta su Telegram per cercare di contrastare la diffusione
pf3
pf4
pf5

Anteprima parziale del testo

Scarica Crimini Informatici: Tecniche, Esempi e Strategie di Protezione e più Schemi e mappe concettuali in PDF di Informatica Giuridica solo su Docsity!

5.10.23. Seconda lezione. La sicurezza informatica, la criminalità informatica e la protezione dei dati. Crimini informatici Negli ultimi anni i crimini informatici sono radicalmente cambiati perché oggi gran parte degli attacchi vengono fatti senza saper quasi nulla di informatica, quindi non sono complessi dal punto di vista tecnologico perché sono tendenzialmente frodi. Tecniche criminali Quando un criminale ruba le credenziali ed entra in un sistema commette uno spostamento laterale (lateral movement) (del criminale), cioè cerca di spostarsi dall’account a cui è riuscito ad accedere su pc e servizi dell’università che sono più interessanti per un criminale. Quando il criminale si appropria dei nostri dati siccome non gli servono cerca di spostarsi su account più interessanti come quello di un professore, per poi passare al dirigente, poi all’ufficio legale, poi al rettore, poi al consiglio di amministrazione. I criminali rimangono anche mesi dentro un sistema. Il termine medio per un’azienda di venire a conoscenza di un reato informatico è di 7 mesi, in quanto silenzioso e subdolo. Con lo spostamento laterale ci si sposta nell’area del sistema utile e di solito si utilizza questa tecnica per cercare dati di particolare valore. Per raggiungere questo obiettivo il criminale può rimanere all’interno del sistema per molto tempo, motivo per cui questo tipo di attacco si definisce persistente. Il punto di partenza per iniziare un attacco di questo tipo è entrare nel sistema e per entrare bisogna avere delle credenziali valide. Il criminale ci usa per entrare nel sistema, poi va a cercare aree più importanti. Con lo spostamento verticale o scalata dei privilegi , invece, si ragiona in verticale: si entra come utente ospite ma si vuole diventare amministratore di quel sistema, posizione in cui si può fare ciò che si vuole. In questo caso si parte da una posizione più bassa per arrivare all’apice e amministrare il sistema. Non è facile raggiungere livelli di autorizzazione sempre più alti, bisogna violare le varie utenze in successione: si entra come ospite (guest) con poteri più limitati perché possiamo solo navigare, poi si cerca di diventare utente (user), per passare da utente con potere di installare programmi, poi si cerca di arrivare ad avere le credenziali di amministratore. Se un criminale riesce ad arrivare come amministratore in un sistema può fare qualsiasi cosa, la prima cambiare la password di amministratore. Si usa il termine “admin” per indicare il ruolo di amministratore, oppure anche “root” (radice). Se andiamo sul dark web (mercato nero) c’è la figura che si chiama IAB (Initial Access Broker) che è il broker (intermediario) degli accessi alle aziende o ai sistemi. Esempio: un gruppo criminale fa un attacco e cerca di accedere a decine di sistemi (aziende, università ecc.) ma non lo fa per accedere ma fa un inventario (censimento) dei dati che ci sono e poi fa un listino prezzi e vende gli accessi, per cui vende le credenziali a dei criminali che sono intenzionati ad attaccare una determinata azienda (fa da intermediario). Questi sono i broker che vendono gli accessi iniziali a determinati tipi di servizi. I broker che lavorano di più sono quelli che vendono accessi a sistemi interessanti. Il crimine informatico, quindi, si è sviluppato anche dal punto di vista imprenditoriale. Questo fenomeno è aumentato in periodo di covid perché le persone sono meno attente a proteggere le credenziali di accesso, ad esempio le VPN ovvero quel software usato per una connessione sicura. Meno siamo sicuri a gestire le nostre credenziali di accesso più è possibile che siano rubate da questi broker. Casi di crimini informatici in Italia nel 2022

  1. Reati su Telegram. I contenuti non sono tracciati (si è meno esposti alle forze dell’ordine); vi è anonimato (l’uso del numero di telefono è conosciuto solo dalla piattaforma ma non è visibile ne ai partecipanti delle chat ne viene esposto); con dei BOT (programma che svolge compiti automatici su Internet simulando il comportamento di un utente umano) si possono creare dei gruppi che automatizzano attività per decine di migliaia di persone. La polizia postale è intervenuta su Telegram per cercare di contrastare la diffusione

a pagamento di contenuti realizzati mediante sfruttamento sessuale dei minori: gli investigatori hanno agito direttamente in chat con gli utenti responsabili della diffusione sino a identificare i loro nicknames.

  1. File sharing. È simile al primo caso per i contenuti (traffico di materiale pedopornografico basato sullo sfruttamento sessuale dei minori) ma su piattaforme di file sharing e messaggistica (es. whatsapp). Qui è più facile perché c’è una maggiore cooperazione con le autorità da parte delle piattaforme. A livello internazionale l’ Europol in riferimento a questi primi due casi lo chiama CSEM (children sexual material exploitation): diffusione o produzione di materiale pornografico che riguarda i minori. Questo problema è aumentato in periodo di pandemia.
  2. Abbonamento a spettacoli (live instant child abuse). Consiste nel chiedere a un bambino di farmi uno spettacolo a pagamento in streaming correlato a performance sessuali. La polizia postale è riuscita a individuare il criminale partendo da una segnalazione che la Banca d’Italia ha ricevuto da PayPal, che nota che una minore di nazionalità domenicana residente in Italia riceveva dei pagamenti con una causale che si poteva riferire ad attività di spettacoli pornografici della minore fatti in streaming. La Banca d’Italia a questo punto avvia l’indagine. La polizia postale ha fatto attività sotto copertura, cioè si è finta un criminale ed ha scoperto il soggetto che sfruttava la minore. Questi primi tre casi sono legati dall’uso delle tecnologie per l’abuso sessuale dei minori.
  3. Truffa su piattaforma. C’è un criminale che paga con Paypal ma intanto svuota il conto di Paypal ma nel mentre Paypal ha già avviato il pagamento. Chi ha venduto riceve il pagamento. Chi ha pagato compra il bene ma non paga. Paypal ci rimette. Questa truffa in un anno ha generato un danno economico di due milioni di euro a Paypal. Ciò ha permesso di acquistare fraudolentemente i più svariati beni: orologi di lusso, preziosi, smartphone, apparecchi per la casa, generi alimentari. Anche le piattaforme più sicure come Paypal possono essere alterate a fini criminali.
  4. Telefonisti. Mettiamo in vendita un bene con un annuncio. Tizio ci chiama perché interessato e si propone di pagarci subito, ci fa andare a uno sportello automatico per darci le istruzioni per ricevere il suo pagamento. Con queste indicazioni il venditore non riceve il pagamento ma effettua pagamenti a Tizio. È una truffa pericolosa per chi non ha conoscenze tecnologiche, in particolare gli anziani. I criminali telefonisti operano da casa, cercano i beni in vendita, si fingono fortemente interessati all’acquisto della merce, vogliono pagare il prima possibile, ci fanno uscire subito di casa. Ci sono stati casi in cui la vittima ha fatto più ricariche prima di accorgersi di essere caduta in un tranello. L’organizzazione criminale era divisa in ruoli: chi telefonava, chi guidava la persona e chi correva a fare il cash out dal bancomat o dall’ATM, cioè svuotava subito la carta su cui la vittima aveva fatto il bonifico. Tutto avveniva con telefonate che anonimizzavano, ad esempio tramite Telegram. Questa è una truffa classica che è in grado di fare chiunque, è un reato informatico perché è coinvolta la tecnologia ma c’è comunque molto poco di informatico.
  5. Truffe e-commerce. Un’organizzazione criminale ha raccolto copie di documenti intestati a terze persone e mette in atto truffe per circa cento mila euro perché vanno ad acquistare dei beni fornendo generalità fittizie (di terze persone) e raggirano i venditori in ordine alle modalità di pagamento in modo che essi stessi pagassero il prezzo anziché riceverlo, anche in questo caso usando l’ATM e i bancomat per l’accredito dei prezzi di vendita. Ad esempio, il criminale che accede al nostro account di studenti ruba la nostra identità con una fotocopia del nostro badge perché nel caso di specie serve al criminale a spacciarsi per noi per attivare un servizio. Qui la parte centrale della truffa erano i documenti falsi che possono corroborare un’identità fittizia.
  1. Truffe per ottenere credito.
  2. Truffe con accuse false. Ci arriva una e-mail che dice che siamo indagati per determinati reati. Per fermare ciò nella mail c’è scritto di chiamare un numero di telefono. Questa truffa ha generato cinquecento mila euro in due mesi. Anche in questo caso si usa l’autorità. Caso Interserve (UK, 2022): attacco a un’azienda Una e-mail di phishing arriva al team della contabilità: arriva una fattura da revisionare che contiene un virus. Il dipendente la gira al responsabile delle fatture che la apre e infetta tutta l’azienda. Il criminale accede prima alla postazione di lavoro del contabile, rimane lì per diversi giorni e poi inizia a spostarsi lateralmente e prende possesso di 300 sistemi dell’azienda e 16 account dei dipendenti. Quando diventa amministratore disinstalla l’antivirus in modo tale che non venga scoperto l’attacco e ruba 4 database delle risorse umane che contenevano i dati di quasi 120 mila persone. Una volta fatto questo cifra i dati e li rende inaccessibili a tutti i legittimi proprietari. A spingere i criminali ad azioni di questo tipo sono 5:
    • Spionaggio : recupero di informazioni riservate all’interno di un sistema dell’azienda;
    • Profitto : si rubano i dati per guadagnare (estorsione, vendita al mercato nero);
    • Attivismo : attacco il sito della Nike perché essa sfrutta i bambini per cucire le scarpe (attacco ideologico);
    • Errori interni : l’attacco è accidentale perché deriva da un errore interno;
    • Sconosciuto : non abbiamo idea del motivo per cui un sistema sia attaccato. Il phishing è l’attacco principale. È un inganno alla persona cercando di pescare i soggetti più deboli, facendo leva sulla paura e il timore e sulla fretta. Il phishing punta a ingannare le persone partendo dal basso ma può anche ingannare persone che hanno una certa conoscenza della vita. Il phishing opera in diverse aree. Innanzitutto, opera nell’ambito di istituti bancari o finanziari con messaggi che cercano di convincere il destinatario a fornire le proprie credenziali di accesso o a effettuare un pagamento. Ogni e-mail o messaggio di questo genere deve essere cancellata perché phishing! In secondo luogo, opera anche nell’area di servizi di pagamento: ogni sistema di pagamento (es. Apple pay, Samsung pay, PayPal) che ci convince a dare le credenziali per aggiornare o verificare l’account è phishing. La terza area è quella del commercio elettronico (Amazon, EBay): sono messaggi che cercano di convincere il destinatario a cliccare su un link per visualizzare o modificare un ordine, in realtà si tratta di phishing. La quarta area è quella della consegna dei pacchi (DHL, Poste): sono messaggi truffaldini di finte aziende di consegna/spedizioni che cercano di convincere il destinatario a cliccare su un link o un allegato per visualizzare informazioni sulla consegna, in realtà si tratta di phishing. La quinta area è quella che riguarda le istituzioni e l’autorità: sono messaggi che fingono di provenire da enti governativi o organizzazioni internazionali come l’OMS cercando di truffare il destinatario con informazioni false sul COVID-19 o su altre emergenze sanitarie o umanitarie, oppure da autorità che mettono timore (Europol, Procura della Repubblica, Agenzia delle Entrate, Equitalia) e che prospettano multe, indagini o comunque conseguenze gravi. Un’altra area è quella della posta elettronica: sono e-mail che impersonano servizi di posta elettronica come Gmail o Outlook che cercano di convincere il destinatario a fornire le proprie credenziali di accesso o a scaricare un allegato dannoso. Un’altra area colpita è quella dei social network: sono messaggi apparentemente provenienti da Facebook o Instagram che cercano di convincere il destinatario a cliccare su un link per visualizzare un messaggio o una notifica, spesso anche per rubare il profilo.

Ad essere colpita è sono anche l’area delle compagnie telefoniche (Tim, Vodafone), l’areai dei produttori di software (es. Microsoft) e quella in cui gioca un ruolo fondamentale la beneficenza, l’empatia o l’aiuto di amici in difficoltà (es. organizzazione che domanda donazioni in denaro, e-mail di un finto amico in difficoltà). Cinque aree e frodi tipiche : truffa del conto sospeso (es. ci dicono che il nostro conto è sospeso); la truffa dell’autenticazione a più fattori (es. ci chiedono un codice di autenticazione per aiutarci a sbloccare il profilo ma ce lo rubano), la truffa del rimborso fiscale (es. ci restituiscono due mila euro di tasse), la truffa della conferma d’ordine (es. conferma di spedizione per i pacchi), il phishing in ambito lavorativo (es. ci arrivano truffe da presunti colleghi di lavoro). Il ransomware è l’attacco più comune che consiste nel sequestrare i dati di un’azienda e chiedere un riscatto (ransom). Negli ultimi tre anni in Italia tante multinazionali, ASL ed enti pubblici sono stati attaccati con ransomware. Il maggior gruppo criminale in questo campo è il gruppo Conti (altri: Clop, DarkSide, Revil, LockBit, Ragnar Locker, Reveton, CryptoLocker 2020, CryptoWall). Come funziona? Viene mandato tramite phishing: è un allegato che viene aperto. Questi attacchi impediscono l’accesso ai file o all’intero sistema, infatti, per poter accedere nuovamente ai propri dati o all’intero sistema la vittima dovrà versare una certa somma di denaro (ricatto). Per prima cosa bisogna quindi elaborare un piano di reazione al ransomware per essere sempre pronti a questi attacchi: elaborare e diffondere una cultura del backup, garantire una scansione regolare delle vulnerabilità, applicare patch e aggiornamenti nei propri sistemi e nei sistemi della catena di fornitori, attuare delle buone pratiche di protezione delle credenziali e di autenticazione sicura da remoto, preparare dei piani di risposta ai vari attacchi informatici, coinvolgere la dirigenza e le posizioni apicali, sensibilizzare e formare il personale, usare la cifratura, anonimizzare e pseudonimizzare i dati, avere una figura centrale interna di riferimento. Schema Ponzi. Il truffatore prospetta alla vittima un guadagno rapido e semplice a patto di versare immediatamente una determinata somma di denaro. Con questo capitale i truffatori pagano realmente, per i primi mesi, le rendite, restituendo parte della somma investita (es. il 10%) e facendo credere, così, che il sistema funzioni e sia reale e affidabile. A questo punto i truffatori riusciranno a far cadere nella rete altre vittime raccogliendo ulteriore capitale. A un certo punto i truffatori spariscono nel nulla insieme al capitale rimasto.