Nella mente di un hacker: perché e come agisce

di Silvia Cegalin

Quando un sito diviene irraggiungibile, appare bloccato o nella schermata principale compare un messaggio provocatorio o ambiguo, sono indizi che fanno presagire che il sito potrebbe essere stato hackerato.

Dalle statistiche pubblicate nel rapporto del primo semestre da Clusit è risultato che rispetto allo stesso periodo del 2020 c’è stato un incremento di attacchi hacker del 24%, di cui il 74% ha provocato effetti irreversibili come, per esempio, la perdita di fatturato di alcune aziende o il fallimento delle stesse.

Gli hacker però non agiscono sempre attraverso lo stessa metodologia, nel tempo le tecniche di hackeraggio si sono affinate diventando più insidiose. Ad essere di volta in volta diverse sono anche le motivazioni che portano un hacker a colpire un sito piuttosto che un altro.

Degli hackeraggi si nomina spesso l’attacco e le sue relative conseguenze, proviamo invece a fare un passo indietro e cercare di comprendere quali sono le azioni pre-attacco che ha compiuto un hacker prima di colpire.

Le fasi che precedono un attacco hacker

La prima cosa che fa un hacker è condurre ricerche sulla sua potenziale vittima, raccogliendo informazioni in rete; una vera e propria ricognizione (termine che deriva dal mondo militare) su chi si potrebbe attaccare in base alla vulnerabilità dei dispositivi informatici che dispone (porte aperte, host accessibili, mappatura di rete) e comprendere tramite una scansione le ‘debolezze’ e le possibili vie d’accesso del sistema per scegliere l’esca più adatta al suo target.

Dopo queste prime analisi, l’hacker proverà a fare dei test di prova per rilevare se il dispositivo della vittima scelta è in grado di recepire le minacce inviate, come ad esempio capire quale tipo di malware iniettare e individuare se nel frattempo vi sono state variazioni alle difese del sistema che potrebbero far fallire l’attacco.

A queste prove segue l’accesso, azione che già a questo livello potrebbe causare danni irreparabili. Fase a cui segue il mantenimento dell’accesso. A questo punto l’hacker può utilizzare il sistema hackerato in modo attivo, implementando trojan horse per trasferire sul suo pc le password e le credenziali memorizzate nel sistema a cui, ora, ha accesso.

Dopo questa fase l’hacker cercherà di cancellare le tracce del suo attacco, eliminando gli accessi e i possibili messaggi di errore generati durante l’azione.

Cybercriminali e Hacker: gli hacker non sono tutti uguali

Gli hacker non sono tutti uguali. C’è chi agisce per protesta o per lanciare un messaggio, come Anonymous ad esempio, chi per puro divertimento e mostrare le sue doti nella community hacker, e chi per rubare dati sensibili ed estorcere denaro. Questo ultimo caso, il cybercrime, come evidenziato dal rapporto di Clusit, appare in aumento, con l’81% degli hacker da inserire in questa categoria.

Il cybercrimine è senza dubbio uno dei tipi di hackeraggi più pericolosi in circolazione perché l’obiettivo è sottrarre informazioni private per ricavare del denaro attraverso un ricatto.

Per questi attacchi si utilizzano spesso dei ransomware, malware che permettono di decifrare i file e trasferirli nel computer dell’hacker, ma non sono da sottovalutare nemmeno i trojan e gli spyware. Indipendentemente da quale tecnica si usi i cybercriminali procedono solitamente in quella che viene definita ‘doppia’ estorsione: da una parte chiedendo il riscatto in criptovalute per evitare la pubblicazione dei dati, dall’altro pubblicando nel dark web le informazioni estrapolate, o parte di esse, per venderle al mercato nero.

Guadagnare è uno degli obiettivi principali dei cybercriminali, per questo oltre le grandi aziende che subiscono un danno di immagine, i target più gettonati sono i siti di piccole aziende perché più vulnerabili e facili da colpire. Per combattere queste frodi è necessario sempre denunciare alla Polizia Postale l’accaduto, perché pagare il riscatto alimenta e ingigantisce questo giro criminale.