In vendita i dati degli impiegati di Unicredit

Articolo di Arturo Di Corinto pubblicato su Il Manifesto il 22/04/2020

Hacker’s Dictionary. Mille dollari per tremila profili di bancari. Un hacker di nome c0c0linoz li vende nell’undeground in cambio di cryptovaluta Monero. Intanto partono le prime truffe col pretesto di installare l’app di tracciamento contro la pandemia

Domenica sera un hacker di nome c0c0linoz ha messo in vendita un intero database di dipendenti Unicredit. L’annuncio è stato dato in un forum underground e intercettato dai ricercatori di Telsy, una società di sicurezza del gruppo Tim.

L’offerta è di tremila profili, con tanto di e-mail, telefono, password, cognome e nome, per 1.000 dollari, oppure di 150 mila «righe» di dati per 10mila, ma in moneta elettronica Monero.

Da una prima analisi tecnica, il database, dicono a Telsy, sembra essere autentico, e potrebbe essere il risultato di un attacco da SQL Injection (iniezione di codice malevolo).

Ma potrebbe anche essere frutto di un’ampia compromissione della rete della banca e della copia (il dump) del database da uno dei server interni. c0c0linoz ne ha mostrato alcuni dati parziali relativi al 2018-2019, al fine di confermarne l’autenticità, e ha affermato che ne pubblicherà altri nelle prossime ore come esempio di autenticità.

UniCredit S.p.A. è la maggiore società bancaria italiana ed offre servizi finanziari globali. È presente in 17 paesi e ha quasi 100.000 dipendenti in tutto il mondo. Ha appena fatto una ristrutturazione della sua forza lavoro e, a causa della pandemia, ha ridotto al 30% l’attività delle filiali.

In qualità di big player però è da sempre bersaglio dei delinquenti con la tastiera. In passato ha subito diversi attacchi che potrebbero essere coerenti con le date indicate dal malfattore.

Il 21 ottobre 2018, infatti, Unicredit ha subito un attacco informatico che ha violato i dati dei suoi clienti, mentre nell’ottobre 2019 aveva dovuto ammettere di aver subito una grave violazione di riservatezza avvenuta però nel 2015. La messa in vendita del suo database dimostra che i cattivi non dormono mai. Anzi. Proprio in questo periodo sono aumentati esponenzialmente gli attacchi a strutture sanitarie, farmaceutiche e di ricerca che operano nel contrasto al Coronavirus proprio con l’obbiettivo di rubarne la proprietà intellettuale ed estorcere del denaro con la tecnica del ransomware.

Secondo Check Point Software sono inoltre aumentate le truffe via phishing, arrivate all’89% dei casi totali che usano prevalentemente come vettore d’attacco l’email e gli allegati Excel. Un dato che si ritrova anche nel rapporto annuale di Yoroi secondo cui è tutta la suite di Microsoft Office ad essere sfruttata per infettare i computer degli utenti.

Così, approfittando della quarantena, i cracker aumentano pure gli attacchi informatici alle piattaforme di videoconferenza – 500 mila account Zoom sono in vendita nel Dark Web a 0,002 centesimi di dollari ciascuno -, e il furto delle credenziali di Netflix e Spotify. Ma già ci sono le prime truffe che prendono a pretesto l’installazione delle app di tracciamento contro la pandemia.

Quella più recente circola via SMS e chiede di cliccare su un link se si è entrati in contatto con una persona contagiata, e negli Usa un altro chiede di cliccarci per accedere ai contributi statali. Ma i messaggi sono falsi, e non arrivano né dal governo né dalle autorità sanitarie.

Insieme a quelle cattive, arrivano però anche le buone notizie. Dal 5 maggio sarà pienamente operativo lo Csirt Italia, un centro unico per la risposta immediata agli incidenti informatici presso il Dipartimento Informazioni per la Sicurezza, che già raccoglie le segnalazioni degli operatori di servizi essenziali come previsto dalla direttiva europea sulla protezione dei servizi e delle reti, NIS. Dal giorno dopo il Cert-PA e il Cert Nazionale, termineranno tutti i servizi delegandoli al nuovo team.