Gli hacker sono determinati, flessibili, intelligenti e spietati. Sfruttano qualsiasi tragedia, anche l’attuale pandemia Covid-19, e traggono vantaggio da qualsiasi vulnerabilità di reti aziendali e domestiche.

A volte gli attacchi possono essere incredibilmente complessi e sofisticati, ma la maggior parte degli hacker prende la strada della minor resistenza e attacca le reti attraverso phishing, password deboli, sistemi senza patch e social engineering. A volte possono essere semplicemente stravaganti. Ecco sei esempi.

I dati passano dall’acquario

acquario hackerNel 2017 la società di cibersicurezza Darktrace ha scoperto un furto di dati ai danni un casinò americano (il cui nome non è stato divulgato) attraverso un acquario collegato a Internet. La vasca dell’acquario era dotata di sensori IoT collegati a un PC che monitorava e regolava la temperatura dell’acqua, la pulizia della vasca e l’alimentazione dei pesci.

Gli hacker hanno usato l’acquario per entrare nella rete del casinò, dove hanno trovato alcune vulnerabilità e si sono spostati lateralmente in altri nodi della rete”, ha spiegato Justin Fier, responsabile della cyber intelligence di Darktrace.

La telefonata del (finto) capo

voice phishingSiamo preparati agli attacchi di phishing via email, ma cosa succede se ci chiama il capo al telefono e ci chiede di fare qualcosa? Possiamo sospettare di essere vittime di un attacco di phishing o di vishing (voice-phishing)?

Il primo caso segnalato di vishing basato sull’AI si è verificato nel 2019 in Inghilterra. I criminali hanno utilizzato un software di intelligenza artificiale disponibile in commercio per riprodurre la voce del capo di un’azienda tedesca, proprietaria di una società energetica con sede nel Regno Unito. I criminali hanno chiamato il CEO del Regno Unito dicendogli di fare un bonifico di 243.000 dollari a un fornitore in Ungheria. Il CEO ha riconosciuto il leggero accento tedesco e gli schemi vocali del suo capo e la chiamata non ha suscitato sospetti. Fino a quando non ha ricevuto una seconda chiamata, con un’altra richiesta di versamento di una somma importante. La seconda volta il CEO ha avuto dei dubbi e lo stratagemma è stato svelato.

Le autorità non sono state in grado di catturare i colpevoli o recuperare i soldi. Questo potrebbe essere solo l’inizio di una nuova era di deepfake basati sull’intelligenza artificiale.

Carburante gratis

stazione servizio

Gli hacker di solito trafficano in contanti o criptovalute. Nel 2019 le autorità francesi hanno catturato cinque uomini che hanno rubato quasi 25.000 litri di carburante dalle stazioni di servizio nei dintorni di Parigi hackerando le pompe di benzina con un telecomando che sbloccava un particolare tipo di pompe installate nelle stazioni di servizio Total.

L’attacco è stato possibile perché i gestori delle stazioni non hanno modificato la password predefinita della pompa di gas dallo standard “0000”. Gli hacker hanno utilizzato il codice PIN per modificare i prezzi del carburante e i limiti di rifornimento.

Operando in team, mentre un hacker sbloccava la pompa di benzina attraverso il telecomando, un complice riempiva il serbatoio di un furgone. Cosa ne hanno fatto del carburante? Lo hanno pubblicizzato sui social media e rivenduto a prezzi scontati. La polizia stima che la banda abbia guadagnato circa 150.000 euro prima di essere catturata.

Burle con la segnaletica stradale

hacker segnali stradaliLe credenziali di accesso deboli sono un costante problema di sicurezza e, con l’avvento di cartelloni e segnali stradali elettronici, hacker intraprendenti hanno trovato il modo di prenderne il controllo per digitare messaggi divertenti o volgari.

Nel 2016, in Texas, un uomo stava portando a spasso il suo cane quando si imbatté in un cartello stradale che avvisava gli automobilisti della presenza di un cantiere. L’uomo ha facilmente indovinato il nome utente/password della bacheca elettronica e ha cambiato la scritta con “Drive Crazy Yall”. Un passante ha assistito alla scena e ha chiamato la polizia, che non ha apprezzato l’umorismo. L’uomo è stato arrestato e accusato di malizia criminale.

Lo scorso settembre, nel Michigan, due giovani hanno fatto irruzione in un piccolo edificio. Sul tetto c’era un tabellone pubblicitario visibile dalla vicina autostrada. I giovani hanno violato il sistema e l’hanno usato per proiettare un video pornografico. Secondo la polizia la coppia, catturata grazie a telecamere di sorveglianza, è entrata e uscita in meno di 15 minuti, mostrando la fragilità del sistema di sicurezza. Il video ha intrattenuto i conducenti per circa 20 minuti prima che intervenisse la polizia.

Falso allarme tornado

allarme tornadoIl 12 marzo 2019 era una notte tranquilla nella periferia di Dallas. Almeno alle 2.30, quando 30 sirene da tornado hanno improvvisamente iniziato a suonare e continuato ad accendersi e spegnersi fino alle 4.

Non ci fu nessun tornado, ma l’allarme era credibile, perché quella zona del Texas è conosciuta come “tornado alley” e il periodo tra marzo e maggio è la prima stagione dei tornado. Per di più, una settimana prima erano stati eseguiti i test delle sirene di allarme tornado e il bollettino meteorologico prevedeva forti temporali e possibili tempeste.

Le autorità locali hanno facilmente individuato l’attacco, ma per ripristinare il sistema hanno dovuto portarlo offline e disattivare tutte le sirene (in quel lasso di tempo, i residenti potevano ricevere avvisi di allarme tornado via SMS).

Scherzi di cattivo gusto

smart-home hackerLe potenziali vulnerabilità associate ai sistemi di monitoraggio della sicurezza domestica sono state ben documentate. Attraverso tecniche come il riempimento delle credenziali o l’utilizzo di password deboli o predefinite, gli hacker possono spiare gli ignari residenti, con risvolti imprevedibili.

E’ quello che è successo a una famiglia dell’Ohio. Un hacker aveva preso il controllo del sistema di monitoraggio dei bambini e, apparentemente annoiato, ha iniziato a gridare “Wake up baby!”. Quando i genitori si sono precipitati nella stanza del bambino, sono rimasti sbalorditi: l’hacker aveva puntato la telecamera direttamente verso di loro e urlava oscenità.

Pare che gli scherzi di cattivo gusto basati sull’IoT abbiano riscosso un certo successo tra gli hacker, poiché casi simili sono stati segnalati in tutto il paese.