La geografia del cybercrimine: Europa Occidentale e Nord America

18 set
Notizie Virus

Internet, per sua stessa natura, non conosce frontiere. Tuttavia, come dimostrano i dati da noi raccolti ed elaborati, esiste una specifica connotazione geografica per ogni diversa tipologia di cybercrimine. In effetti, i programmi nocivi che popolano la scena del malware, così come gli obiettivi prioritari dei cyber-attacchi ed i metodi di arricchimento di cui si avvalgono i criminali informatici, si differenziano a seconda delle varie aree geografiche mondiali. Naturalmente, ciò è determinato non solo dal luogo specifico in cui risultano “fisicamente” insediati i malintenzionati, ma anche dalle peculiarità che caratterizzano i paesi in cui risiedono le vittime potenziali del cybercrimine. In tal senso, sono in particolar modo tre fattori a giocare un ruolo di fondamentale importanza: il livello di sviluppo economico, il numero di utenti della Rete ed il livello di penetrazione di Internet nel paese.

Esamineremo, nel presente articolo, i tratti peculiari che contraddistinguono l’intensa attività condotta dai cybercriminali sul territorio dei paesi dell’Occidente, nella fattispecie Stati Uniti, Canada e paesi dell’Europa Occidentale (Gran Bretagna, Austria, Belgio, Danimarca, Francia, Germania, Paesi Bassi, Lussemburgo, Irlanda, Italia, Spagna, Svizzera e Portogallo).

Brevi note informative

  • PIB (a parità di potere d'acquisto; fonte: cia.gov) :
    • Stati Uniti — 14,66 trilioni di dollari USA (stima del 2010), 2° posto nel mondo;
    • Unione Europea — 14,82 trilioni di dollari USA (stima del 2010), 1° posto.
  • Numero di utenti Internet (fonte: cia.gov) :
    • Stati Uniti – 245 milioni, 2° posto nel mondo;
    • Germania – 65,125 milioni, 5° posto;
    • Gran Bretagna — 51,444 milioni, 7° posto;
    • Francia — 45,262 milioni, 8° posto;
    • Italia — 29,235 milioni, 13° posto.
  • Livello di penetrazione di Internet (fonte : http://www.internetworldstats.com) :
    • America Settentrionale — 78,3%, 1° posto nel mondo;
    • Europa (complessivamente) – 58,3%, 3° posto nel mondo.
  • Peculiarità relative all’utilizzo di Internet:
    • Internet è presente ovunque: scuole, enti pubblici, casa, lavoro.
    • Connessione Internet sempre disponibile per gli utenti: Internet mobile a costi contenuti, larga diffusione di dispositivi mobili per accedere alla Rete (tablet e smartphone).
    • Ampio utilizzo di Internet per effettuare il pagamento di servizi pubblici, acquistare prodotti e gestire i conti bancari.
  • Quota percentuale di utenti sottoposti ad attacchi provenienti dal Web (1° semestre del 2012):
    • Stati Uniti – 38,8%, 31° posto nel mondo;
    • Germania — 28,8%, 101° posto;
    • Gran Bretagna — 36,8%, 42° posto;
    • Francia – 36,3%, 44° posto;
    • Italia – 43,5%, 18° posto;
    • Unione Europea – 32,1%.
  • Elevato numero di utenti Mac OS X, crescita costante del numero di smartphone dotati di sistema operativo mobile Android.
  • Sistemi operativi sottoposti al maggior numero di attacch:
    • Windows,
    • Android,
    • Mac OS X.

All’incirca la metà dei paesi convenzionalmente indicati come “occidentali” è presente nella TOP 20 relativa al numero complessivo di utenti Internet; si tratta, nella fattispecie, di utenti particolarmente attivi in Rete. La maggior parte di essi considera difatti il World Wide Web non solo una preziosa fonte di informazioni, ma anche il modo più semplice ed agevole per comunicare con gli altri, nonché la piattaforma più comoda ed accessibile per effettuare acquisti e pagare i servizi di cui si vuole beneficiare. Inoltre, gli abitanti dei paesi occidentali sono soliti custodire la maggior parte dei loro risparmi presso gli istituti di credito; per la conduzione di transazioni finanziarie attraverso i propri conti bancari, essi fanno attivamente ricorso agli ordinari servizi di banking online o addirittura al mobile banking.

Allo stesso tempo, nei suddetti paesi, i computer sono in genere ben protetti nei confronti delle minacce IT e, di conseguenza, risultano di difficile accesso per i malintenzionati. Gli utenti Internet ubicati nei paesi dell’Occidente possiedono un livello di esperienza e conoscenza in materia di sicurezza informatica che si rivela in molti casi sufficiente al fine di prevenire il manifestarsi di pericolose infezioni informatiche sul proprio computer. In particolare, per i cittadini statunitensi o per gli abitanti dei paesi dell’Europa Occidentale, l’installazione di un efficace software antivirus è divenuta una prassi di sicurezza IT ormai ampiamente consolidata.

La rapida migrazione alle nuove versioni dei sistemi operativi da parte degli utenti situati nelle macro-regioni geografiche dell’Europa Occidentale e del Nord America complica inoltre considerevolmente il perenne intento dei cybercriminali di eludere i sistemi di protezione informatica. Ad esempio, nel primo semestre del 2012, oltre la metà dei computer (62,4%) dislocati nelle aree geografiche in questione è risultata provvista del sistema operativo Windows 7; prendendo invece in considerazione tutti i paesi del globo, al 100%, tale quota si riduce di ben 6 punti percentuali.

In genere, la versione più recente di ogni sistema operativo incorpora dispositivi di sicurezza sempre più perfezionati e sofisticati; negli OS moderni è stata in effetti implementata tutta una serie di meccanismi di difesa preposti a contrastare l’azione del malware, quali il DEP (Data Execution Prevention) e l’ASLR (Address Space Layout Randomization). Di particolare rilievo, tra i numerosi elementi esistenti a tal riguardo, è ad esempio il fatto che l’utente possa effettuare esclusivamente l’installazione di driver provvisti di firma digitale. Inoltre, la maggior parte dei sistemi operativi installati sui computer risulta dotata di regolare licenza d’uso, e quindi riceve costantemente nuovi aggiornamenti, in maniera del tutto automatica. Tali update si rivelano spesso di fondamentale importanza a livello di sicurezza informatica.

Tratti peculiari dei programmi nocivi

L’elevato livello di protezione IT presente nei computer degli utenti ubicati nei paesi occidentali obbliga i malintenzionati a sviluppare tecnologie e metodi di attacco particolarmente ingegnosi e sofisticati. La caratteristica saliente dei programmi malware distribuiti dai virus writer nelle regioni geografiche analizzate nel presente articolo è rappresentata proprio dalla notevole complessità tecnologica di tali software nocivi. Le principali novità che emergono dal mondo della criminalità informatica vengono in sostanza “sperimentate” proprio a scapito dagli utenti della Rete europei e nordamericani; si tratta, nella circostanza, di complesse tecnologie dispiegate per infettare i computer-vittima ed occultare al meglio i codici nocivi iniettati all’interno di questi ultimi; assumono inoltre particolare rilevanza, per i malintenzionati, quei meccanismi dannosi in grado di generare cospicue raccolte di denaro altrui.

L’obiettivo principale delle azioni criminose intraprese dai malintenzionati della Rete nei confronti degli utenti ubicati nelle due macro-regioni geografiche in questione è indubbiamente costituito dal denaro posseduto da questi ultimi; a sua volta, il “mezzo d’assalto” per eccellenza, utilizzato dai cybercriminali per raggiungere tale scopo, è rappresentato dai programmi Trojan.

Convenzionalmente, l’insieme dei programmi Trojan distribuiti dai malfattori sul territorio dei paesi occidentali può essere suddiviso in quattro diversi gruppi.

Suddivisione dei programmi Trojan in base alle varie tipologie esistenti. Europa Occidentale e Nord America, dati relativi al 1° semestre del 2012

Il primo e più folto gruppo è formato da quei Trojan appositamente creati e sviluppati dagli autori di virus per convogliare ulteriori programmi nocivi verso i computer-vittima. L’ampio numero di Trojan riconducibili a questa prima tipologia è dovuto al fatto che i virus writer provvedono a modificare spesso tali software nocivi, allo scopo di evitare il loro rilevamento da parte delle soluzioni anti-malware. Attorno alla distribuzione mirata di altri programmi nocivi si è rapidamente sviluppato un ulteriore business criminoso.

I software nocivi di maggior interesse per le folte schiere dei malintenzionati della Rete sono in effetti i programmi malware riconducibili al secondo gruppo, preposti a monitorare le attività online degli utenti e ad effettuare il furto di informazioni e dati sensibili. Tra di essi troviamo i programmi Trojan più pericolosi in senso assoluto, ovvero quelli che mirano a carpire i dati riservati che consentono ai clienti degli istituti di credito di accedere ai sistemi di banking online: si tratta, nella fattispecie, di Trojan-Banker, Trojan-Spy.Win32.Zbot, Trojan-Spy.Win32.Spyeyes e Backdoor.Win32.Sinowal. In caso di esito positivo dell’attacco informatico condotto per mezzo di uno qualsiasi dei malware qui sopra elencati, i malintenzionati ottengono agevolmente l’accesso ai conti bancari altrui e possono in tal modo disporre a loro piacimento del denaro custodito negli accounti di banca violati.

Un ulteriore raggruppamento particolarmente insidioso è poi rappresentato da quei programmi Trojan i quali, avvalendosi di un pretesto o dell’altro, mirano ad estorcere denaro agli utenti del Web. Fanno parte di tale gruppo sia i falsi antivirus che i cosiddetti programmi-blocker.

I Trojan multifunzionali, infine, sono in grado di eseguire contemporaneamente due o più funzioni. Essi compiono, ad esempio, il furto di dati sensibili e, al tempo stesso, generano il download di ulteriori programmi nocivi sul computer-vittima.

Malware e denaro

Principali metodi utilizzati per realizzare profitti illecitiProgrammi malware utilizzati (in base alle classificazioni eseguite da «Kaspersky Lab»)
Furto di informazioni finanziarie (accesso agli account utilizzati dagli utenti per condurre operazioni finanziarie online: Internet banking, PayPal, Ebay)Trojan-Banker, Trojan-Spy, Backdoor
Installazione e “vendita” di falsi antivirusTrojan-FakeAV
Furto degli account relativi a servizi Internet a pagamento, giochi e servizi online (Steam, WoW, Facebook, Skype e similari)Trojan-PSW, Trojan-GameThief, Trojan-Spy
Furto dei dati personaliBackdoor, Trojan-Spy
Sostituzione dei risultati restituiti dai motori di ricerca, pubblicità, click fraudTrojan-Clicker, Trojan.Win32.DnsChanger, Backdoor
Estorsioni onlineTrojan-Ransom

Esamineremo adesso in dettaglio i principali metodi utilizzati dai cybercriminali per arricchirsi a danno degli utenti-vittima i cui computer o dispositivi mobili vengono infettati dai programmi malware citati nella tabella qui sopra riportata.

Furto di informazioni finanziarie

L’utilizzo quantomai attivo dell’Internet banking da parte degli utenti della Rete di USA, Canada ed Europa Occidentale rende questi ultimi un bersaglio particolarmente appetibile per i malintenzionati. Nella macro-area geografica che comprende l’insieme dei paesi occidentali vengono in effetti distribuiti i programmi Trojan più noti e diffusi in assoluto tra quelli preposti alla raccolta di informazioni di natura finanziaria:

  • Sinowal (Mebroot) — Backdoor appositamente sviluppato dai virus writer per realizzare il furto di informazioni finanziarie. Per insediarsi all’interno del sistema informatico contagiato, esso provvede ad infettare l’MBR (Master Boot Record) dell’hard disk.
  • Zbot (ZeuS) — Trojan universale, volto a colpire i conti bancari dei clienti di numerosi istituti di credito. Gli autori di virus ne realizzano lo sviluppo sulla base dei codici sorgente della seconda versione del malware, codici peraltro resi di pubblico dominio su Internet.
  • SpyEye — Trojan universale, creato per violare gli account dei clienti di un cospicuo numero di banche. Si tratta di un diretto concorrente di Zbot (ZeuS); i suoi codici sorgente, tuttavia, non risultano pubblicamente accessibili.

Nella prima metà del 2012, negli Stati Uniti, in Canada e nei paesi dell’Europa Occidentale è stato complessivamente registrato il 70% del volume totale di attacchi informatici condotti dai cybercriminali tramite il programma malevolo Backdoor.Win32.Sinowal (Mebroot), il 41% degli assalti eseguiti attraverso Trojan-Spy.Win32.SpyEye e quasi un quarto del numero totale di attacchi portati da Trojan-Spy.Win32.Zbot e respinti dalle soluzioni anti-malware.

I criminali informatici cercano non solo di ottenere l’accesso ai conti bancari degli utenti, ma si interessano attivamente anche agli account relativi a PayPal, il noto sistema di pagamento, e ad eBay, la celebre casa d’aste online. In effetti, nel primo semestre dell’anno in corso, tali risorse Internet sono risultate rispettivamente sottoposte al 34% e al 9% del volume complessivo degli attacchi ordinati in Rete dai phisher. In entrambi i sistemi online sopra citati, gli account aperti dagli utenti sono strettamente legati all’utilizzo delle carte di credito di cui questi ultimi risultano titolari; ciò fornisce naturalmente ai malintenzionati la ghiotta opportunità di poter prosciugare i conti bancari in questione. Oltre che agli account sopra menzionati, i phisher si dimostrano ugualmente interessati a dati personali di altra natura, quali il numero di previdenza sociale, la data di nascita ed il codice di sicurezza cvv2 presente sul retro di ogni carta di credito.

Gli istituti bancari europei ed americani, così come i sistemi di pagamento online, dedicano sempre maggiori attenzioni a tale problema, e mettono a disposizione dei propri utenti numerosi metodi e strumenti atti ad incrementare il livello di sicurezza durante l’esecuzione delle transazioni finanziarie online. Citiamo, tra quelli maggiormente diffusi, il processo di autenticazione tramite token, le password monouso, la conferma della transazione attraverso un particolare codice segreto trasmesso tramite SMS sul telefono del cliente, e via dicendo. I malintenzionati, tuttavia, sviluppano costantemente nuovi software nocivi in grado di eludere anche i suddetti dispositivi di sicurezza. Un concreto esempio in tal senso è rappresentato dai malware riconducibili alla famiglia denominata Zitmo, appositamente sviluppati dai virus writer per attaccare i telefoni cellulari degli utenti; tali software nocivi sono in grado di bypassare il duplice sistema di autenticazione in genere implementato dagli istituti bancari europei. I suddetti malware mobili operano in stretta simbiosi con il famigerato programma Trojan per personal computer denominato Zbot (ZeuS); inizialmente Zbot provvede a carpire dal computer-vittima infetto il login e la password utilizzati dall’utente per accedere al sistema di banking online; successivamente, nel momento in cui effettivamente si procede al trasferimento del denaro, entra in gioco Zitmo, la “controparte” mobile di Zbot, il quale provvede ad intercettare e trasmettere ai cybercriminali il codice segreto (TAN), utilizzato per procedere all’autorizzazione della transazione finanziaria.

I dati ufficiali di cui disponiamo rendono esattamente l’idea dell’ordine di grandezza delle somme illegalmente carpite dai malfattori a seguito del furto di preziose informazioni finanziarie. I diciannove cybercriminali catturati alla fine di settembre dell’anno 2010 dalle forze dell’ordine britanniche - i quali, per realizzare i loro loschi fini, si avvalevano del malware Trojan-Spy.Win32.Zbot - in soli tre mesi erano riusciti ad impossessarsi dell’iperbolica cifra di 9 milioni di dollari USA, “ripulendo” oltre 600 conti bancari. Questo, tuttavia, è solo l’ammontare del danno finanziario effettivamente individuato e provato. Considerando che il temibile Trojan in questione costituisce lo “strumento di lavoro” di vari gruppi di cybercriminali, i profitti illeciti complessivamente realizzati dai malintenzionati nel breve volgere di un solo trimestre risultano probabilmente superiori di alcune decine di volte alla già cospicua somma sopra indicata.

Furto dei dati personali

Un’attività di particolare rilevanza, condotta dai criminali informatici sul territorio dei paesi dell’America Settentrionale e dell’Europa Occidentale, è indubbiamente rappresentata dal furto dei dati personali degli utenti della Rete. Nei forum degli hacker, ad esempio, si trovano spesso annunci riguardanti la vendita di database inerenti alla clientela di negozi Internet e servizi online. L’offerta è molto ampia, di conseguenza i prezzi risultano piuttosto bassi: solo pochi centesimi (acquistando “all’ingrosso”) per i dati relativi ad una singola persona. Riteniamo doveroso evidenziare, nella circostanza, come il motivo più frequente per cui tali informazioni - riguardanti migliaia di clienti dei più disparati servizi online - cadono nelle mani degli hacker è costituito da vulnerabilità ed errori di configurazione dei server e dei database.

Le vulnerabilità maggiormente diffuse, in grado di generare consistenti fughe di dati, sono rappresentate dalle cosiddette SQL injection - le quali consentono ai malintenzionati di accedere direttamente agli oggetti custoditi nel server web - e dagli errori presenti nei sistemi di autenticazione. Tuttavia, oltre alle vulnerabilità, in molti casi i cybercriminali sfruttano anche gli errori e le mancanze a livello di configurazione delle applicazioni web, quali, ad esempio, gli account creati di default e mai eliminati, il libero accesso alle directory presenti nel server, la custodia di password e di informazioni sensibili in forma non codificata, il file robots.txt non debitamente formulato, e via dicendo.

La modalità più ovvia di utilizzo dei dati illegalmente sottratti è rappresentata dalla conduzione di attacchi personalizzati nei confronti degli utenti. Tale genere di assalto informatico offre naturalmente ai malintenzionati le migliori possibilità di successo: l’invio mirato di e-mail nocive o di messaggi di phishing verso gli account relativi ad una determinata banca risulta difatti efficace solo nel caso in cui i messaggi e-mail in questione vadano a finire proprio nelle caselle di posta elettronica della clientela di tale istituto bancario.

Inoltre, i dati personali vengono comunemente utilizzati dal pubblico della Rete per ottenere l’accesso ad una vasta gamma di servizi finanziari online; per tale motivo, essi risultano particolarmente “graditi” a quella vasta schiera di malintenzionati specializzati in carding e losche pratiche con i sistemi di Internet banking.

Distribuzione di falsi antivirus

In pratica, tutti i falsi antivirus in circolazione sono dotati di un’interfaccia in lingua inglese; il loro bersaglio prediletto è difatti costituito, in primo luogo, dagli utenti ubicati nei paesi occidentali. Il «business» costruito attorno alla diffusione degli antivirus fasulli poggia interamente sul fatto che gli utenti desiderano disporre del massimo livello di protezione IT per i propri computer e, quindi, per “difendere” questi ultimi dall’aggressività delle minacce informatiche, sono disposti a pagare cifre piuttosto cospicue.

I falsi antivirus vengono in genere distribuiti attraverso i programmi di partenariato dediti ad attività cybercriminali.


Dinamiche relative al rilevamento dei falsi antivirus sul territorio di Stati Uniti, Canada e paesi dell’Europa Occidentale. Periodo: 2011-2012

Gli antivirus fasulli hanno iniziato ad essere distribuiti in maniera significativa sul territorio di Europa ed America Settentrionale sin dagli inizi del 2011; nel successivo mese di marzo hanno poi fatto la loro comparsa sulla scena del malware persino i falsi antivirus destinati alla piattaforma Mac OS X, anch’essi diffusi attraverso i programmi di affiliazione.

Il numero degli attacchi informatici che hanno visto quali protagonisti i fake antivirus ha raggiunto il suo picco massimo nel corso del mese di giugno 2011 (in tale periodo Kaspersky Lab ha individuato oltre 900.000 oggetti nocivi riconducibili a tale specifica categoria); il valore in questione ha successivamente fatto registrare una certa flessione, per poi stabilizzarsi sui livelli riscontrati ad inizio anno. Ciò ha coinciso con l’arresto di Pavel Vrublevsky. In quello stesso periodo le forze di cyberpolizia hanno acciuffato i membri di due raggruppamenti criminali dediti alla distribuzione in Rete di falsi antivirus. Da parte loro, i motori di ricerca hanno iniziato ad eliminare ancor più attivamente i link nocivi dai risultati restituiti a seguito delle query effettuate dagli utenti.

Sebbene nei mesi di dicembre 2011 – gennaio 2012 si sia registrato un nuovo aumento degli attacchi eseguiti attraverso gli antivirus fasulli, in seguito il numero di questi ultimi si è attestato sui livelli fatti segnare in precedenza.

Al momento attuale i fake antivirus hanno ormai cessato di generare sovraprofitti per i truffatori della Rete, ma continuano, tuttavia, a fornire ai malintenzionati entrate stabili, di sicuro in grado di soddisfare pienamente le aspettative di molti dei cosiddetti «partner». E’ possibile rendersi conto di quanto sia effettivamente redditizio tale business cybercriminale semplicemente osservando come, secondo le stime rese note dagli organi di polizia, quel noto gruppo di criminali informatici dedito alla distribuzione in Rete di falsi antivirus - i cui membri sono stati catturati dalle forze dell’ordine, in Lettonia, nel mese di giugno 2011 - in soli tre anni di attività sia riuscito a raggirare circa 960.000 utenti, causando a questi ultimi perdite finanziarie per un valore complessivo di 72 milioni di dollari USA.

Sostituzione dei risultati restituiti dai motori di ricerca

Allo stesso modo, anche il particolare schema criminoso che prevede di guadagnare denaro in maniera illecita ricorrendo all’alterazione dei risultati restituiti dai search engine in base alle query effettuate dagli utenti del Web, o alla modifica delle finestre pubblicitarie che compaiono nelle pagine dei motori di ricerca, nella maggior parte dei casi si prefigge proprio di colpire il pubblico della Rete che risiede nei paesi dell’Occidente. Quando tale schema viene dispiegato dai malintenzionati, gli utenti che effettuano ricerche tramite i search engine più popolari della Rete, vedono comparire ai primi posti delle pagine inerenti ai risultati restituiti tutta una serie di link riconducibili a varie reti pubblicitarie, e non i reali risultati normalmente prodotti dall’azione dei motori di ricerca consultati. Il numero di click accumulati su tali collegamenti ipertestuali falsati viene retribuito da coloro che commissionano le pubblicità da visualizzare “forzatamente”; il guadagno derivante da ogni click ottenuto va così dritto dritto nelle tasche dei cybercriminali che hanno provveduto a sostituire con blocchi pubblicitari i normali risultati delle ricerche effettuate dagli utenti.


Esempio di annuncio pubblicato su un forum di hacker, relativo alla sostituzione dei risultati restituiti dai motori di ricerca; nella circostanza, l’obiettivo dell’azione criminosa è costituito dagli utenti della Rete di USA, Canada, Gran Bretagna e Australia.

Dal punto di vista tecnico, lo schema cybercriminale qui illustrato viene realizzato tramite appositi programmi Trojan, i quali provvedono a modificare le impostazioni dei server DNS e dei file hosts, in maniera tale che tutte le query inoltrate dagli utenti passino inevitabilmente attraverso i server allestiti dai malintenzionati. Su tali server nocivi avviene poi la sostituzione dei risultati che il motore di ricerca violato normalmente restituirebbe; così, sulle pagine web relative ai risultati della query effettuata compaiono i link al centro dell’interesse dei malfattori.

Alla fine del 2011, ad esempio, è stato individuato un programma trojan classificato con la denominazione di Trojan-Downloader.OSX.Flashfake, appositamente creato e sviluppato dai virus writer per infettare i computer provvisti di sistema operativo Mac OS X, e preposto ad alterare i risultati restituiti dai search engine. Nella circostanza specifica sono stati complessivamente rilevati oltre 700.000 computer della Mela infetti, facenti parte di un’estesa botnet; in pratica, i malintenzionati hanno colpito l’ 1% del numero complessivo di utenti Mac OS X nel mondo. E’ di particolare importanza sottolineare come l’84% del numero totale di computer Apple infetti si trovasse “fisicamente” proprio sul territorio dell’Europa Occidentale e del Nord America.


Trojan-Downloader.OSX.Flashfake - TOP 10 dei paesi sul cui territorio sono stati rilevati tentativi di connessione di tale malware con i centri di comando e controllo

Costituisce un ulteriore esempio di Trojan provvisto di tale specifica funzionalità il programma malware denominato Backdoor.Win32.ZAccess (ZeroAccess); la maggior parte delle infezioni informatiche da esso provocate ha avuto luogo negli Stati Uniti (27,7%) e in Germania (11%).


Diffusione nel mondo del programma trojan Backdoor.Win32.ZAccess – Situazione relativa al mese di luglio 2012

Nel mese di novembre 2011, il Ministero della Giustizia statunitense ha ufficialmente incriminato sette membri di un raggruppamento cybercriminale dell’Europa dell’Est (sei cittadini estoni ed uno russo), con la pesante accusa di aver allestito un massiccio piano fraudolento in Internet, il quale prevedeva l’utilizzo di sofisticati metodi e tecnologie allo scopo di alterare i risultati forniti dai motori di ricerca. Secondo le informazioni ufficiali diramate dalle forze dell’ordine, in 5 anni di attività criminosa, avvalendosi del programma malware Trojan.Win32.DnsChanger, i malintenzionati in questione erano riusciti a ricavare 14 milioni di dollari USA.

Estorsioni online

Nei paesi occidentali, in questi ultimi tempi, hanno iniziato ad essere attivamente utilizzati anche quei particolari software fraudolenti denominati trojan “estorsori”, i quali, sino a qualche tempo fa risultavano quasi del tutto sconosciuti oltre i confini dei paesi facenti parte della Comunità degli Stati Indipendenti (CSI). Il principio su cui tali programmi malware fondano il loro funzionamento è estremamente semplice: una volta realizzata l’infezione informatica, essi bloccano l’accesso al computer-vittima, modificando le impostazioni di sistema o aprendo la propria finestra al di sopra di tutte le altre.

Nei paesi CSI, nella maggior parte dei casi, è facile imbattersi in programmi blocker di due tipi: in primo luogo i porno-blocker - i quali richiedono il pagamento di una certa somma di denaro affinché venga chiusa la finestra (dai contenuti osceni) che impedisce di continuare la sessione di lavoro al computer - e poi quei fastidiosissimi programmi nocivi che bloccano il caricamento stesso del sistema operativo, con il falso pretesto che nel computer sottoposto ad attacco non si fa uso di software provvisti di regolare licenza d’uso.

In Europa, invece, sotterfugi del genere hanno ben scarse probabilità di successo. Nel caso in cui divenga vittima di qualche tentativo di estorsione, ogni cittadino rispettoso delle leggi vigenti si rivolge di solito immediatamente alla Polizia; oltretutto, i software di cui egli dispone, verosimilmente, sono del tutto legittimi. E’ per tale motivo che, nei confronti del pubblico della Rete “occidentale”, i malintenzionati hanno messo a punto un altro genere di trucco: essi provvedono innanzitutto a bloccare il regolare funzionamento del computer dell’utente-vittima, per poi richiedere - apparentemente a nome di qualche Dipartimento di Polizia “ad hoc” - il pagamento di una sostanziosa multa affibbiata a causa della “frequentazione” di siti web contenenti materiale pedopornografico, oppure scene di violenza sui bambini.


Esempio di finestra aperta da un trojan-estorsore preposto ad attaccare gli utenti britannici

Al momento attuale, risultano note varie versioni di programmi trojan del genere, software nocivi che fanno indebitamente uso del buon nome e dei simboli che contraddistinguono gli organi di polizia di Germania, Francia, Inghilterra, Svizzera, Paesi Bassi, Finlandia e Spagna. E’ purtroppo molto difficile stabilire chi siano realmente i malintenzionati che percepiscono il denaro estorto agli utenti, in quanto per effettuare i trasferimenti online, in genere, vengono utilizzati i sistemi di pagamento Ukash, Epay e PayPoint, in maniera tale che non risulta poi sempre possibile seguire le tracce della transazione effettuata. Evidenziamo, nella circostanza, come Ukash sia stato utilizzato per la prima volta dai malfattori, nell’ambito dello schema cybercriminale sopra descritto, per ricevere il denaro illegalmente sottratto agli utenti della Rete vittime del programma trojan”codificatore” denominato GpCode, creato da virus writer insediati sul territorio dell’ex-Unione Sovietica.

Caratteristiche e dinamiche del processo di distribuzione dei programmi malware

Per poter dispiegare il potenziale nocivo di un programma nocivo, i malintenzionati debbono in primo luogo riuscire nell’intento di convogliare il software dannoso da essi utilizzato verso il computer dell’utente-vittima, dove il programma malware in questione dovrebbe essere avviato ed eseguito. I principali canali utilizzati dai cybercriminali per diffondere in ogni angolo del globo pericolosi codici nocivi sono rappresentati da Internet e dai dispositivi di memoria portatili. Le ricerche da noi condotte hanno tuttavia evidenziato come i programmi dannosi che penetrano nei computer attraverso i supporti di memoria rimovibili, al pari dei virus di stampo tradizionale (quelli che, tanto per intenderci, provvedono ad infettare i file), non risultano in pratica operativi nelle macro-aree geografiche oggetto del presente articolo. Le efficienti soluzioni antivirus installate nella maggior parte dei computer degli utenti dell’Europa Occidentale e del Nord America, non permettono difatti a worm e virus di riuscire ad infettare un numero di macchine sufficiente per poter realizzare un vasto e duraturo processo di auto-propagazione; le capacità “riproduttive” insite nei worm e nei virus sono pertanto destinate ad esaurirsi piuttosto rapidamente.

Il diagramma qui di seguito riportato pone in evidenza le modalità di penetrazione dei programmi malware all’interno dei computer degli utenti della Rete situati nei paesi occidentali.


I vettori degli attacchi informatici condotti sul territorio dell’Europa Occidentale e del Nord America* - Situazione relativa al 1° semestre del 2012

* Quote percentuali relative al numero di utenti Kaspersky Lab attaccati dal malware attraverso un determinato canale, rispetto al numero complessivo di utenti Kaspersky Lab sottoposti ad attacco nella macro-area geografica occidentale.

Il vettore di attacco maggiormente efficace nella conduzione di attacchi informatici rivolti agli utenti europei ed americani si è indubbiamente dimostrato essere Internet. Secondo i dati da noi raccolti ed elaborati, l’80% del numero complessivo di computer assaltati dal malware nel corso del primo semestre del 2012, è risultato sottoposto al rischio di infezioni informatiche proprio durante la quotidiana esplorazione del World Wide Web da parte degli utenti della Rete.

Le prime due posizioni del rating qui di seguito inserito risultano occupate da Italia e Spagna, nazioni che fanno parte di quel gruppo di paesi in cui è presente un “alto rischio” di infezione durante la navigazione in Internet (tale gruppo comprende quei paesi in cui la quota degli utenti sottoposti ad attacco informatico via web supera il 40%).


Paesi del Nord America e dell’Europa Occidentale i cui utenti sono risultati sottoposti ai maggiori rischi di infezioni informatiche diffuse attraverso Internet* - Periodo: 1° semestre del 2012

* Quote percentuali relative al numero di utenti unici sottoposti ad attacchi web rispetto al numero complessivo di utenti unici dei prodotti Kaspersky Lab nel paese.

Tutti gli altri paesi dell’Occidente, ad eccezione della Danimarca, fanno parte del cosiddetto “Gruppo a rischio”, caratterizzato da indici percentuali che spaziano nel range 21-40%; sottolineiamo, tuttavia, come in Svizzera, Germania, Austria e Lussemburgo, nei primi sei mesi dell’anno in corso, la quota relativa agli utenti sottoposti ad attacchi via Internet non abbia superato il valore del 30%. La Danimarca, fanalino di coda della speciale graduatoria qui sopra riportata, nel periodo sopra indicato ha fatto addirittura registrare un indice inferiore al 20%, rientrando così di diritto nel novero dei paesi in cui la navigazione in Rete risulta in assoluto più sicura.

Per generare pericolose infezioni informatiche sui computer degli utenti che navigano in Internet, i malintenzionati sono soliti ricorrere ad una serie di tecniche e metodi che si dimostrano, purtroppo, di particolare efficacia:

  • Violazione di siti web legittimi
  • Pratiche illecite a livello di motori di ricerca
  • Inserimento di spam nocivo all’interno dei social network e in Twitter

Violazione di risorse web legittime

Il diffuso metodo che prevede l’iniezione di malware all’interno di siti web perfettamente legittimi rappresenta, al tempo stesso, il fattore di maggior pericolo per gli utenti della Rete e la tecnica più efficace attualmente a disposizione dei malintenzionati. In sostanza, i cybercriminali, in un modo o nell’altro, ottengono l’accesso ad una risorsa web particolarmente popolare presso il pubblico Internet, ed apportano poi dei piccoli cambiamenti al codice che compone le pagine prese di mira. Così, quando i browser dei navigatori che visitano il sito compromesso vanno ad esplorare i link presenti nel codice di una determinata pagina Internet violata, e scaricano il contenuto di quest’ultima, la stringa nella quale è stato iniettato il codice nocivo provvede a reindirizzare i browser in questione verso un sito nocivo appositamente predisposto dai malfattori. Tale sito dannoso risulta in genere “imbottito” di exploit, ovverosia di programmi nocivi creati ad hoc per sfruttare al meglio le vulnerabilità individuate nei software legittimi e penetrare furtivamente all’interno del computer-vittima. E’ importante sottolineare come l’attacco informatico qui sopra descritto avvenga sempre a totale insaputa dell’utente, in quanto il sito legittimo violato dai cybercriminali continuerà ad essere visualizzato in maniera del tutto normale e non presenterà alcuna apparente anomalia di funzionamento.

Nel corso di tali attacchi vengono abitualmente utilizzati dei veri e propri “kit” di exploit, i quali, in primo luogo, effettuano una ricerca dei programmi vulnerabili installati nel computer sottoposto ad assalto, per poi indirizzare verso il computer-vittima l’exploit più appropriato al caso. In sostanza, per condurre in porto positivamente un attacco informatico del genere, per i cybercriminali sarà sufficiente scovare, all’interno del computer preso di mira, anche una sola applicazione vulnerabile, sprovvista degli indispensabili aggiornamenti di sicurezza.

Nel panorama del malware, il livello di “popolarità” dei vari exploit esistenti è in continua evoluzione: difatti, alla fine del 2011, era Java a divenire il bersaglio prediletto dagli hacker (4 dei 5 exploit maggiormente utilizzati dai malintenzionati risultavano difatti indirizzati proprio alla piattaforma Java), soppiantando di fatto nella speciale graduatoria Adobe Acrobat Reader e FlashPlayer, mentre nel primo semestre del 2012, loro malgrado, i prodotti Adobe si sono di nuovo attestati ai vertici del rating, come evidenziano le tabelle qui sotto riportate.

TOP 5 relativa agli exploit specificamente rivolti agli utenti della Rete nordamericani ed europei

2° semestre del 2011

 Denominazione dell’exploitPercentuale di utenti sottoposti ad attaccoApplicazione vulnerabile
1Exploit.Java.CVE-2010-4452.a20.6%Oracle Java (JRE)
2Exploit.JS.CVE-2010-4452.l3.4%Oracle Java (JRE)
3Exploit.JS.Pdfka.exr3.0%Adobe PDF Reader
4Exploit.JS.CVE-2010-4452.t2.9%Oracle Java (JRE)
5Exploit.Java.CVE-2010-0840.d2.6%Oracle Java (JRE)

1° semestre del 2012

 Denominazione dell’exploitPercentuale di utenti sottoposti ad attaccoApplicazione vulnerabile
1Exploit.JS.Pdfka.fhh20.1%Adobe PDF Reader
2Exploit.SWF.CVE-2011-0611.bt10.8%Adobe Flash Player
3Exploit.Java.CVE-2011-3544.ct6.9%Oracle Java (JRE)
4Exploit.JS.Agent.blb5.6%Oracle Java (JRE)
5Exploit.JS.Pdfka.fhp4.7%Adobe PDF Reader

Pratiche illecite con i motori di ricerca

Il secondo metodo maggiormente diffuso, utilizzato dai malintenzionati per scatenare infezioni informatiche di ogni genere sui computer degli utenti che navigano nel World Wide Web è rappresentato da quella particolare tecnica illegale, a livello di search engine, denominata “Black Hat SEO”. L’impiego di tale tecnologia permette ai cybercriminali di far comparire i siti web contenenti codici nocivi (siti appositamente creati per diffondere il malware) ai primi posti nei risultati restituiti dai motori di ricerca.

Come è noto, gli esperti che sviluppano le tecnologie implementate nei search engine, attribuiscono un ruolo fondamentale ai criteri di pertinenza e rilevanza, per ciò che riguarda i risultati forniti dai motori di ricerca. Per i malintenzionati, si rivelerebbe pertanto eccessivamente dispendioso in termini di tempo, e probabilmente poco redditizio, cercare di ottenere con le normali pratiche di ottimizzazione delle pagine web il posizionamento dei propri siti nocivi al top dei risultati restituiti dai motori di ricerca in base alle query quotidianamente formulate in Rete dagli utenti. I malfattori, per raggiungere i loro loschi fini, hanno così individuato una modalità di maggior efficacia e rapidità: essi ottimizzano i loro siti web in base alle query inerenti ai temi caldi del momento, le quali, normalmente, per un breve periodo di tempo assumono particolare rilievo e diffusione presso il pubblico della Rete (query relative, ad esempio, alla morte improvvisa di qualche noto personaggio, o al titolo di un film che sta sbancando i botteghini delle sale cinematografiche di mezzo mondo), in maniera tale che gli esperti che amministrano i search engine non hanno di fatto il tempo materiale per poter immediatamente verificare la bontà e la legittimità dei risultati forniti, sul momento, dal motore di ricerca.

Lo spam

L’utilizzo dello spam all’interno dei social network e in Twitter è rapidamente divenuto uno dei metodi maggiormente diffusi presso i malintenzionati della Rete al fine di distribuire link nocivi su larga scala. Anche in tale particolare genere di spam si fa spesso ricorso ai temi caldi dell’attualità.

Di recente, i cybercriminali specializzati nel condurre attacchi informatici nei confronti degli utenti Internet dei paesi occidentali, sembrano aver riscoperto con nuovo vigore la pratica riguardante il massiccio collocamento di messaggi di spam all’interno dei flussi di posta elettronica, quale uno dei metodi principe per realizzare la diffusione dei cosiddetti «carichi pericolosi». Attualmente, nei paesi dell’Occidente, le e-mail vengono soprattutto utilizzate per confermare i processi di registrazione ai più disparati servizi online, così come nelle comunicazioni che intercorrono con istituti bancari, fondi pensionistici, negozi online, enti statali e via dicendo. I malintenzionati, da parte loro, provvedono a mascherare i messaggi e-mail contenenti allegati nocivi (ed il malware in generale) sotto forma di notifiche e comunicazioni ufficiali apparentemente provenienti dagli e-mail client delle suddette organizzazioni. Nel corso del primo semestre del 2012, la quota media mensile relativa al numero di messaggi con allegati nocivi individuati nel traffico di posta elettronica è oscillata dal 2,8% al 4,3% del volume complessivo di messaggi e-mail circolanti in Rete; sottolineiamo come si tratti di valori significativamente superiori agli analoghi indici rilevati nel corso degli ultimi tre anni.

Secondo i dati statistici da noi raccolti, nella prima metà del 2012 la quota riconducibile alla posta elettronica, rispetto alla globalità delle fonti in grado di generare infezioni informatiche, si è attestata su un valore pari al 2,5%. Precisiamo che, nell’elaborare tali statistiche, sono state prese in considerazione soltanto le e-mail contenenti allegati e script nocivi (i messaggi di posta recanti link pericolosi vengono difatti classificati nel novero degli attacchi web), mentre non si è tenuto conto delle e-mail ricevute dagli utenti attraverso i numerosi client di posta che operano sul web.

Le infrastrutture allestite dai cybercriminali

Le conduzione di attività cybercriminali non si rivelerebbe possibile senza il supporto di moderne ed avanzate infrastrutture, quali server di comando e controllo, piattaforme adibite alla diffusione dei programmi malware, proxy server e botnet. Tutte le componenti appena citate possiedono, anch’esse, una specifica connotazione geografica.

Hosting nocivi

Come è noto, nei paesi dell’Europa Occidentale, negli Stati Uniti ed in Canada esiste un solido quadro giuridico-legislativo atto a contrastare i contenuti informatici dannosi. Tuttavia, paradossalmente, proprio nei suddetti paesi, nel primo semestre del 2012, è risultato dislocato addirittura il 69% di tutti gli hosting nocivi esistenti: ciò significa, in pratica, che ben più della metà dei programmi malware presenti in Internet viene attualmente distribuita attraverso server nocivi ubicati nella macro-regione geografica che raggruppa i paesi dell’Occidente.


Dinamiche relative alla ripartizione per paesi degli hosting dannosi
Periodo: 2010 - primo semestre del 2012

Tutto questo ha una logica spiegazione. In primo luogo, è proprio nei paesi occidentali che si concentra la stragrande maggioranza dei data center in grado di fornire servizi di hosting altamente affidabili, di tipo “failover”. Sono tra l’altro molto numerosi i progetti web che si avvalgono di tali piattaforme di hosting. I criminali informatici, da parte loro, prediligono violare proprio questa specifica tipologia di server, in grado di assicurare servizi hosting di elevata qualità. Un altro evidente vantaggio connesso all’utilizzo dei server in questione consiste nel fatto che gli attacchi lanciati per infettare i computer degli utenti risultano in tal modo provenire da siti web del tutto legittimi, e ciò complica ulteriormente l’azione di difesa svolta dalle soluzioni anti-malware.

In secondo luogo, risulta estremamente difficile poter distinguere un server cybercriminale da un normale provider. Gli hacker, da parte loro, ricorrono senza particolari problemi ai servizi forniti dai provider che operano in maniera del tutto legittima. Sebbene nei paesi occidentali i servizi di hosting non siano particolarmente a buon mercato, i notevoli profitti realizzati dai criminali informatici permettono a questi ultimi di poter scegliere piattaforme di hosting di elevata qualità per condurre le loro losche iniziative.

Zone di dominio

Per poter realizzare la diffusione del malware, ai cybercriminali non occorrono soltanto server fisici, ma anche specifici nomi di dominio per i siti web da essi allestiti. Al momento attuale, le zone di dominio che godono di maggior popolarità presso i malintenzionati della Rete risultano essere .net, .com, .info e .org. Il 44,5% degli attacchi informatici provenienti da siti malevoli (e respinti con successo dalle soluzioni anti-malware), indirizzati verso gli utenti Internet ubicati sul territorio nordamericano e dell’Europa Occidentale, è direttamente riconducibile alle zone di dominio sopra elencate.

Esiste tuttavia un considerevole numero di zone di dominio “nazionali” che vengono abitualmente ed attivamente utilizzate dai criminali informatici per la distribuzione dei codici nocivi.


Top 15 relativa alle zone di dominio nazionali in cui sono risultati collocati i siti web nocivi dai quali sono stati condotti attacchi informatici nei confronti degli utenti della Rete ubicati in Nord America e in Europa Occidentale

Gli utenti della Rete di USA, Canada e dell’Europa Occidentale vengono principalmente reindirizzati verso i siti infetti collocati nelle zone di dominio corrispondenti ad India (.in), Russia (.ru) e Isole Cocos (co.сс). La zona <co.cc>, nella quale i nomi di dominio possono tra l’altro essere registrati gratuitamente, risulta talmente “inquinata” al punto che, nel 2011, Google ha deciso di non indicizzare più i siti in essa presenti; i domini gratuiti, tuttavia, continuano ugualmente ad attirare le attenzioni dei malintenzionati.

Al quarto e al quinto posto della graduatoria sopra riportata sono andati a collocarsi i siti registrati nelle zone di dominio riconducibili a Spagna (.com.es) e Italia (.it). La sigla che indica la zona corrispondente al Montenegro — .me — appare ovviamente identica alla parola inglese «io»; è per tale motivo che tale dominio nazionale di primo livello ospita attualmente una moltitudine di siti web in lingua inglese, quali, ad esempio, <love.me>. Una situazione analoga riguarda la zona di dominio relativa all’Italia (.it): in effetti, sono molte le società e le organizzazioni che sfruttano l’inglese «it» come parte del nome del proprio sito web (do.it, get.it e via dicendo). Quindi, i siti web collocati in tali zone di dominio, siano essi semplicemente siti violati, oppure siti creati “ex novo” dai malfattori, si rivolgono ad un pubblico composto sia dagli utenti locali che dagli utenti della Rete di lingua inglese.

Completano infine la Top 10 relativa ai domini nazionali maggiormente sfruttati dai malintenzionati per condurre attacchi informatici nei confronti degli abitanti dell’Europa Occidentale e dell’America Settentrionale, le zone di dominio corrispondenti ad Unione Europea (.eu), Germania (.de) e USA (.us).

Botnet

Nella macro-regione geografica che comprende l’insieme dei paesi dell’Occidente, un’ulteriore significativa porzione delle infrastrutture cybercriminali attualmente dispiegate dai malfattori della Rete è indubbiamente rappresentata dalle botnet che operano in stretta collaborazione con i cosiddetti programmi di partenariato (ugualmente denominati “programmi di affiliazione”).

Nell’ambito di tali partnership opera uno specifico schema cybercriminale, il quale prevede una netta suddivisione dei ruoli: vi sono, in primo luogo, coloro che sviluppano i programmi nocivi e coloro che li commissionano, pronti a pagare consistenti somme di denaro per la diffusione in Rete dei software nocivi. Segue poi la categoria degli esecutori, preposti a distribuire, dietro compenso, i programmi malware creati. Completano il quadro quei malintenzionati che curano gli aspetti organizzativi delle partnership: essi si preoccupano di allestire piattaforme in grado di garantire la migliore interazione possibile tra i gruppi di malfattori sopra menzionati.

Molte botnet (ricordiamo che tali network malevoli sono anche conosciuti con l’inquietante denominazione di “reti-zombie”) costituiscono indubbiamente un’estesa base per poter realizzare agevolmente l’installazione di ulteriori programmi malware sui computer-vittima. I bot vengono difatti appositamente elaborati e sviluppati per generare il download di altri software dannosi sui computer da essi infettati, in base agli ordini specifici effettuati dai «clienti». I programmi bot possono inoltre essere in grado di nascondere, all’interno del sistema informatico contagiato, la presenza degli ulteriori software nocivi scaricati; spesso, poi, i bot presentano tutta una serie di «frecce» aggiuntive al loro arco. L’esempio più calzante per inquadrare alla perfezione un programma nocivo del genere è rappresentato dal famigerato TDSS in grado di convogliare verso il computer infetto pericolosi ed insidiosi malware, quali trojan-banker, dns-changer e falsi antivirus. E’ risultato che, nel 2011, il 41,5% dei computer violati da TDSS si trovava proprio sul territorio di Nord America ed Europa Occidentale.

Coloro che commissionano l’esecuzione degli attacchi informatici possono scegliere di colpire gli utenti di determinati paesi, ai quali destinare uno specifico programma malware. A tal proposito, è di particolare interesse osservare come l’installazione di software nocivi sui computer degli utenti di Europa e Stati Uniti risulti in assoluto la “performance” meglio retribuita, in quanto potenzialmente in grado di produrre i maggiori profitti illeciti: l’infezione di 1.000 computer ubicati nelle suddette macro-aree geografiche viene valutata all’incirca 100-150 dollari USA. Per una debita comparazione, basti pensare che il contagio dei computer degli utenti situati nel continente asiatico vale, sul mercato del cybercrimine, addirittura 10 (!) volte di meno.

Conclusioni

Come abbiamo visto nel capitolo iniziale del presente report, le prime posizioni del rating relativo al livello di penetrazione di Internet risultano per la maggior parte occupate dai paesi del Nord America e dell’Europa Occidentale. Quasi tutti gli abitanti dei paesi occidentali, oltretutto, sono soliti custodire le loro risorse finanziarie sui conti bancari aperti presso gli istituti di credito; gli utenti della Rete nordamericani ed europei utilizzano inoltre attivamente le loro carte di credito, direttamente relazionate ai conti bancari posseduti, per effettuare il pagamento di merci e servizi acquistati online.

I criminali informatici si arricchiscono alle spalle degli utenti ubicati nelle regioni geografiche oggetto del presente articolo praticando in primo luogo il furto di preziose informazioni finanziarie, conducendo truffe informatiche di vario genere ed estorcendo illecitamente denaro attraverso l’impiego di programmi malware ad hoc. Nei paesi dell’America Settentrionale e dell’Europa Occidentale si trova attualmente una grande quantità di computer infettati dai famigerati programmi bot, i quali carpiscono e raccolgono i dati finanziari degli utenti, diffondono antivirus fasulli e provvedono a falsare (sostituendoli) i risultati normalmente restituiti dai motori di ricerca. Nella circostanza, le cifre parlano chiaro e confermano in maniera inconfutabile quanto sopra riferito: nel primo semestre del 2012, oltre il 70% degli attacchi informatici condotti attraverso i programmi bot della famiglia Sinowal, così come più del 40% degli assalti realizzati tramite i bot SpyEyes – malware preposti a carpire le informazioni di natura finanziaria – ed il 67% dei casi di rilevamento di falsi antivirus sui computer-vittima, sono risultati riconducibili proprio agli utenti ubicati nelle macro-regioni geografiche qui analizzate.

Eppure, se andiamo ad esaminare in dettaglio le infrastrutture di cui si avvalgono i cybercriminali, appare ben evidente come, sul territorio dei paesi dell’Occidente, non operi affatto un elevato numero di botnet, le famigerate reti-zombie adibite ad un massiccio lavoro “sporco”, il quale consiste nell’invio di montagne di messaggi spam, nella conduzione di attacchi di tipo DDoS, nell’occultamento dei siti nocivi allestiti dai malintenzionati, e via dicendo. Nel nostro prossimo articolo illustreremo proprio in quali regioni del globo risulta dislocata la maggior parte dei computer-zombie preposti ad eseguire le suddette attività cybercriminali.

Nei paesi nordamericani e nell’Europa Occidentale, il processo di introduzione delle nuove versioni dei sistemi operativi avviene in tempi decisamente più rapidi rispetto alle altre macro-regioni mondiali; inoltre, su un elevato numero di computer risultano installate efficaci soluzioni antivirus; di non minore importanza è infine il fatto che, nei paesi occidentali, le forze di cyberpolizia e gli organi competenti stanno attualmente conducendo un’accanita lotta nei confronti della criminalità informatica. Occorre tuttavia sottolineare come, la palese maggior difficoltà di penetrazione nei computer degli utenti nordamericani ed europei da parte dei programmi malware, rispetto a quanto avviene nelle altre aree geografiche del pianeta, di fatto non arresti o scoraggi le attività nocive svolte dei cybercriminali: questi ultimi creano e sviluppano in continuazione nuove e ancor più sofisticate tecnologie di attacco. I programmi trojan di maggior complessità attualmente in circolazione (non teniamo conto, nella specifica circostanza, di quei software - vere e proprie cyberarmi - creati dalle agenzie di intelligence) stanno dispiegando il loro potenziale nocivo proprio sul territorio delle aree geografiche che definiscono l’Occidente, oggetto delle analisi condotte nel presente articolo. Come è noto, sono stati recentemente posti sotto attacco anche gli utenti Mac OS X: nel periodo in cui si è propagata l’epidemia informatica generata dal programma trojan FlashFake, appositamente creato dai virus writer per attaccare la piattaforma Mac, oltre l’ 80% delle infezioni che si sono manifestate sui computer della Mela ha avuto luogo su macchine fisicamente ubicate negli Stati Uniti d’America, in Canada e nei paesi dell’Europa Occidentale.

Nelle suddette aree geografiche, i malintenzionati utilizzano i siti web violati ed i servizi di hosting più affidabili e sicuri per allestire i server di comando e controllo preposti alla diffusione e alla gestione dei programmi malware. Quasi il 70% dei tentativi di caricamento di software nocivi sui computer-vittima è attualmente prodotto da server materialmente collocati sul territorio dei paesi dell’Occidente.

Le ricerche da noi condotte hanno evidenziato come, nei paesi occidentali, i malintenzionati della Rete utilizzino proprio Internet come principale vettore per l’esecuzione di attacchi informatici. L’80% degli attacchi registratisi in tale macro-regione geografica è stato in effetti portato attraverso il World Wide Web. Secondo i dati statistici raccolti nel corso del primo semestre del 2012, oltre il 40% dei computer appartenenti agli utenti Internet ubicati sul territorio di Italia e Spagna è risultato sottoposto al rischio di infezione informatica durante la quotidiana navigazione in Rete; l’analogo indice relativo alla Gran Bretagna si è attestato su un valore del 37%, mentre Francia e Germania hanno fatto rispettivamente segnare quote pari al 36% e al 29%. Oltreoceano, la situazione si è rivelata pressoché identica: in effetti, negli Stati Uniti, il 39% degli utenti del Kaspersky Security Network (KSN) ha subito, perlomeno una volta, tentativi di attacco via Web, mentre l’analogo indice relativo agli utenti canadesi è risultato di poco inferiore (37%).

Se la crisi economico-finanziaria che sta attualmente affliggendo gran parte dei paesi del globo continuerà a manifestarsi su tali preoccupanti livelli, essa eserciterà, di riflesso, una notevole influenza anche relativamente al grado di sicurezza informatica presente nei paesi oggetto del nostro report. Il numero dei computer sottoposti ad attacco può difatti ulteriormente aumentare, mentre il livello di protezione IT implementato sui computer degli utenti, al contrario, potrebbe gradualmente indebolirsi, in quanto questi ultimi potrebbero risparmiare sia sugli aggiornamenti da apportare ai sistemi operativi e alle applicazioni quotidianamente utilizzati, sia sull’acquisto delle nuovi versioni dei programmi via via rilasciate dalle software house.

Nell’immediato futuro, la crescente popolarità di cui godono i servizi di banking online presso il vasto pubblico dei proprietari di apparecchi smartphone e tablet, combinata al fatto che un consistente numero di dispositivi mobili non dispone di un’adeguata protezione antivirus, renderà verosimilmente la sfera del mobile banking uno dei vettori di attacco prediletti dai malintenzionati. E’ evidente come, nella circostanza, il bersaglio più probabile degli attacchi informatici condotti dai cybercriminali sarà rappresentato dai dispositivi provvisti di sistema operativo mobile Android.