Lo scenario attuale di Cyber Security è tale che ogni giorno i grandi istituti finanziari si trovano costretti a contrastare centinaia di migliaia di Cyber attacchi o presunti tali.
Sfortunatamente, dall’altra parte dello schieramento, ai Criminal hacker basta essere fortunati una sola volta per causare danni irreparabili.
È questo il caso di Capital One, il quinto istituto bancario negli Stati Uniti, che ha recentemente subito un ingente Data breach che ha esposto i dati personali di quasi 100 milioni di utenti negli Stati Uniti e altri 6 milioni in Canada.
La violazione – avvenuta il 22 e 23 marzo di quest’anno – ha permesso agli aggressori di sottrarre informazioni sui clienti che avevano richiesto una carta di credito tra il 2005 e il 2019, ha dovuto ammettere Capital One in un comunicato stampa.
Le grandi banche come Capital One sono indubbiamente un bersaglio ambito in quanto offrono uno dei ritorni migliori sulla scala risk-reward che spinge molti Criminal Hacker all’azione.
D’altronde basta, come accennato, una singola falla nei sistemi di sicurezza o nelle infrastrutture informatiche per causare scompiglio e sfortunatamente questi attori stanno diventando sempre più abili a scovarle ed exploitarle.
La riprova? Già quest’anno, secondo i rapporti presentati al Financial Crimes Enforcement Network del Dipartimento del Tesoro americano, ci sono stati 3.494 Cyber attacchi di successo contro istituzioni finanziarie.
Indice degli argomenti
Capital One, i dettagli
Tornando al caso specifico di Capital One, lunedì 29 luglio gli agenti federali statunitensi hanno preso in custodia Paige Thompson, ingegnere informatico di Seattle impiegata come contractor.
Per portare a termine il suo attacco la Thompson aveva individuato e sfruttato una vulnerabilità del Framework di sicurezza di Capital One causato da una configurazione errata nel firewall (insomma, come lasciare aperta la porta di casa aperta e andarsene in vacanza…)
Una volta all’interno, è stata in grado di scaricare una serie di materiale personale dai clienti, tra cui documentazione per ricevere carte di credito e numeri di previdenza sociale, sempre secondo gli atti giudiziari forniti dal Governo statunitense.
Tre anni fa, la signora Thompson ha lavorato per Amazon Web Services, il servizio di cloud computing che fa da host per i dati di Capital One, anche se ha lasciato l’azienda molto prima della violazione.
Amazon ancora oggi gestisce il cuore dell’infrastruttura IT di Capital One – dai server alla tecnologia di rete che tiene insieme il tutto. Ma il firewall che la Thompson avrebbe preso di mira sarebbe stato gestito dalla banca stessa.
Oltrepassato questo è riuscita ad ottenere le credenziali di sicurezza necessarie per scaricare tutti i dati contenuti nel cloud Amazon.
Non è chiaro se qualche tipo di informazione proveniente da fonti interne all’azienda abbia aiutato la Thompson a “bucare” la rete di Capital One, come speculano i responsabili delle indagini.
Questo perché, sebbene, il suo curriculum online suggerisca una vasta gamma di competenze di programmazione, non sembrava che la violazione sia stata frutto di un’operazione particolarmente sofisticata.
Unicredit coinvolta?
Nel turbinio di comunicati e contro comunicati è emerso come anche UniCredit potrebbe essere stata coinvolta.
Stando a quanto riportato dal Wall Street Journal, la banca italiana sta esaminando se una sua directory che si trova su un server cloud è stata raggiunta senza autorizzazione.
UniCredit, che ricordiamo è la più grande banca italiana, ha dichiarato in una nota di aver contattato le autorità competenti e di effettuare tutti gli approfondimenti necessari.
“Il 30 luglio UniCredit è venuto a conoscenza del fatto che il suo nome è stato menzionato in relazione all’emissione di Capital One“, ha dichiarato il portavoce in una nota. “La sicurezza dei dati e la privacy sono le priorità chiave da sempre. UniCredit ha contattato le autorità interessate e sta effettuando tutti gli approfondimenti necessari”.
Attacchi alle banche, un fenomeno in crescita
È difficile biasimare eccessivamente Capital One, vittima dell’attacco, ogni grande organizzazione deve affrontare così tante minacce provenienti da così tante fonti che può essere difficile decidere cosa è importante e dove concentrare i propri sforzi.
Mastercard, per esempio, combatte circa 460mila tentativi di intrusione in una giornata tipo, un aumento su base annua del 70%.
L’episodio di Capital One non fa altro che ricordarci la complessità delle reti informatiche delle grandi istituzioni finanziarie e la loro vulnerabilità.
Negli ultimi anni, aziende come Equifax e Morgan Stanley sono state attaccate con vari metodi di Criminal hacking.
Come riescono a bucare le banche
I Data Breach possono verificarsi per una serie di motivi, anche accidentali, ma gli attacchi mirati sono generalmente effettuati in questi quattro modi:
- Utilizzando le vulnerabilità di sistema: Un software obsoleto può creare una falla che consente all’aggressore di introdurre malware sulla rete aziendale per sottrarre dati.
- Password deboli: Le password utente deboli e insicure sono più facili da indovinare per i criminal hacker, soprattutto se contengono intere parole o frasi.
- Download drive-by: È possibile scaricare involontariamente un virus o un malware semplicemente visitando una pagina web compromessa. Un download drive-by in genere sfrutta un browser, un’applicazione o un sistema operativo che non è aggiornato o ha una falla di sicurezza.
- Attacchi malware mirati: Gli aggressori utilizzano le tattiche di spam e phishing per cercare di indurre l’utente a rivelare le credenziali dell’utente, scaricare allegati di malware o indirizzare gli utenti verso siti web vulnerabili. L’e-mail è un modo comune per far sì che il malware finisca sul computer.
Il primo di un nuovo filone di attacchi?
Si tratta di una vera e propria escalation, le violazioni in atto ai danni degli istituti di credito sono portate avanti dai migliori Criminal hacker del mondo.
Secondo un tracker gestito dal Privacy Rights Clearinghouse, una no profit californiana, più di 11 miliardi di record sono stati esposti a causa i Data breach dal 2005.
La Cyber Security è stata per decenni trattata nella maggior parte dei settori industriali come una spesa fastidiosa. Le banche sono sempre state un’eccezione, con budget elevati e team di sicurezza molto formati.
Mastercard, per esempio, ha un bunker senza finestre nel suo data center nel Missouri, dove lavora un gruppo di esperti di sicurezza. Citigroup gestisce tre Response center – a Budapest, New York e Singapore – che forniscono una copertura 24 ore su 24. JPMorgan Chase spende quasi 600 milioni di dollari all’anno per la sicurezza, e l’AD della Bank of America ha dichiarato che il team di sicurezza della banca ha un “assegno in bianco” per le sue spese.
Ma tutto questo sembra non bastare, secondo uno studio il costo medio di un Data Breach è aumentato negli ultimi anni a 8,2 milioni di dollari. Possiamo solo immaginare a quanto ammonteranno le spese per Capital One, in particolare quando entreranno in gioco le class action e le multe delle autorità di regolamentazione statunitense.
Dal canto suo la società ha detto che prevede di spendere almeno 100 milioni di dollari quest’anno per questo Data Breach.
La violazione è doppiamente imbarazzante per Capital One perché è stata una delle prime grandi istituzioni finanziarie a spostare i suoi sistemi in cloud. L’azienda ha funzionato quasi come una cavia per le autorità di regolamentazione che cercavano di vedere se la migrazione in cloud poteva essere fatta in modo sicuro.
Gli esperti di sicurezza informatica si sono chiesti perché le difese di sicurezza dell’azienda non abbiano rilevato l’intrusione della Thompson.
La maggior parte delle istituzioni finanziarie utilizzano una tecnologia in grado di rilevare comportamenti insoliti che indicano che un utente potrebbe tentare di causare danno alla banca.
Capital One ha saputo dell’attacco da un estraneo circa tre mesi dopo l’accaduto. Il 17 luglio, l’azienda ha ricevuto un’e-mail che gli ha fatto capire che i dati pubblicati su GitHub.
Il vero dubbio e spauracchio ad oggi non quanto già esposto con questo Data Breach, ma se altri hanno approfittato della falla trovata dalla Thompson.
