L'Unità Crimini Digitali di Microsoft: la difesa dal crimine digitale

"Dico spesso alla gente che ho il lavoro più bello in Microsoft. Una delle ragioni è che a differenza di altri che si occupano di sicurezza, noi possiamo proattivamente andare a caccia dei cybercriminali." Con queste parole Amy Hogan-Burney, direttrice generale dell'Unità Crimini Digitali di Microsoft, descrive la sua esperienza. Questa unità di Microsoft si occupa da anni di smantellare botnet, fermare operazioni di phishing e cercare di mettere un freno alla crescita del cybercrimine grazie anche alla cooperazione con le forze dell'ordine a livello internazionale.

L'Unità Crimini Digitali di Microsoft: fermare i criminali con la collaborazione

Negli ultimi anni l'attività dei cybercriminali ha visto un'impennata che ha portato a una sempre maggiore diffusione di attacchi, malware, compromissione delle credenziali e furto di identità. Uno scenario che, preso nel suo insieme, è ben poco confortante, ma all'interno del quale si muovono anche molte forze che cercano di opporsi a queste attività. Tra queste c'è una particolare unità che si occupa di cybersicurezza all'interno di Microsoft, l'Unità Crimini Digitali (Digital Crimes Unit in inglese).

Questa unità, come afferma Hogan-Burney, si occupa di andare attivamente a caccia dei criminali e non si limita a creare difese dai loro attacchi. L'Unità Crimini Digitali svolge indagini attive per cercare di identificare i criminali e smantellare le loro operazioni, per tentare di rendere il panorama digitale più sicuro.

Microsoft lavora attivamente con altre realtà: non essendo un ente governativo o con alcun potere di polizia, l'azienda lavora con le forze dell'ordine e con le autorità giudiziarie per fermare il crimine in ambito digitale. "Lavoriamo con l'Europol, l'Interpol, la National Crime Agency nel Regno Unito. Abbiamo creato una partnership con il Forum Mondiale dell'Economia per parlare di come si smantella l'infrastruttura criminale. Stiamo cercando dei modi per educare le persone così da ridurre il cybercrimine", afferma Hogan-Burney. "Siamo convinti che l'arresto [dei criminali sia] uno degli unici modi per scoraggiare il cybercrimine. Anche se l'arresto è diventato sempre più difficile in questo contesto a causa della localizzazione di alcuni dei criminali."

L'azione di Microsoft si svolge grazie anche alla collaborazione con vari altri attori: ad esempio, l'azienda lavora con i registrar per togliere i domini dal controllo dei criminali, oppure con i fornitori di hosting per fermare le attività che risiedono sui loro server. Grazie a questa collaborazione, Microsoft è stata in grado di bloccare il 70% delle attività criminali che ha incontrato che facevano uso di domini specifici e spazi di hosting.

"Passiamo la maggior parte del tempo nell'attività investigativa, perché effettuare il reverse engineering del malware richiede molte competenze tecniche e molto tempo e ci vuole un grande sforzo per scoprire le infrastrutture utilizzate. Queste operazioni possono richiedere anni perché ci assicuriamo di comprendere cosa stanno usando i criminali."

Il problema sta poi anche nella disponibilità dei mezzi per i criminali, talvolta dotati di sponsor importanti. "Vediamo anche malware disponibile all'acquisto, malware utilizzato con finalità finanziarie, Stati-nazione che si avvalgono di malware opportunisticamente per centrare i propri obiettivi." Una situazione intricata che rende particolarmente difficile intervenire per fermare le operazioni dei criminali.

Phishing, compromissione delle email e supporto truffaldino: le tre principali attività criminali

Abbiamo già avuto modo di parlare in passato della piaga del phishing, così come di quella della compromissione delle email aziendali (nota anche con la locuzione inglese business email compromise). Nel primo caso parliamo di email che cercano di passare per messaggi provenienti da mittenti fidati, come la banca o il datore di lavoro, per portare gli utenti su siti Web con i quali vengono rubate le password, o che chiedono loro di aprire allegati che contengono in realtà malware di vario tipo (come dei ransomware). La compromissione delle email aziendali, dall'altro lato, cerca di sfruttare la stessa meccanica per avere accesso alle caselle di posta aziendali, tramite le quali vengono inviate richieste di trasferimento di fondi.

"La maggior parte delle attività criminali inizia con il phishing. Un dominio viene utilizzato per il phishing e per inviare e-mail che, una volta ricevute dai consumatori, vengono poi impiegate per distribuire malware che potrebbe anche essere ransomware. Abbiamo visto questa tecnica utilizzata anche per colpire gli ospedali", dice Hogan-Burney. "Ciò è davvero scoraggiante, perché in aggiunta al portare avanti attività criminali, si va contro luoghi che sono essenziali durante la risposta al COVID-19 e questo è qualcosa che non vogliamo tollerare, quindi abbiamo dedicato tutte le nostre risorse a questa lotta."

Ma i criminali non si fermano al phishing. "Una compromissione di email aziendali inizia col phishing o la compromissione di un account di email individuale, all'interno del quale i criminali cercano transazioni di danaro ad alto valore - che cercano poi di dirottare modificando le fatture o cambiando le informazioni. Questa è l'attività criminale via Internet più costosa per le aziende. Di recente abbiamo visto i criminali utilizzare il COVID, con temi associati al virus e fogli di calcolo che si chiamano "COVID-19 informazioni bonus" o "COVID-19 cambiamenti nelle paghe". Sono in realtà mezzi per scaricare software malevolo o altri meccanismi per ottenere le informazioni delle persone. C'è stato un picco a fine marzo o inizio aprile ma ora sta scendendo perché, come molte delle truffe che si avvalgono dell'ingegneria sociale, più c'è formazione e informazione e più decresce la capacità dei criminali di utilizzare questi temi."

Un altro elemento di interesse è quello del supporto truffaldino: segnalazioni che qualcosa non va nel computer e che bisogna risolvere il problema. "All'inizio erano chiamate casuali a casa della gente. Ma ora sono pop up che appaiono sullo schermo: ti dicono che il computer è infetto, tu ci clicchi sopra e ti connettono a un call center che di solito è in India, e ti assistono accedendo da remoto al tuo computer chiedendo poi un pagamento per aver risolto un problema che non c'è mai effettivamente stato. Tre persone su cinque hanno avuto un problema di questo tipo."

La mole di tentativi è estremamente elevata: Microsoft riporta di ricevere 150.000 pop up al giorno. Una quantità di dati estremamente elevata che l'azienda combatte con l'intelligenza artificiale: i dati vengono categorizzati dall'IA, accorpati in base all'origine e quindi sottoposti alla revisione da parte di addetti specializzati, che verificano che si tratti di tentativi di frode. A quel punto l'azienda coinvolge le autorità per cercare di fermare i criminali.

E contrariamente a quanto si possa pensare, non sono solo gli anziani a cadere vittime di questi tentativi di truffa. "Quando usavano le chiamate erano particolarmente gli anziani a essere vittime. Ma quello che vediamo ora è che sono sempre più Millennial e persone della Generazione Z, che si fidano di Internet perché ci sono cresciuti."

Abbiamo chiesto a Hogan-Burney se abbia visto dei cambiamenti da parte delle aziende e cosa queste possano fare per migliorare la propria risposta. "Le aziende cercano costantemente di combattere i criminali. Penso che la formazione sia migliorata molto. Penso che sia molto meno probabile che la gente clicchi su link [malevoli] o su altre cose che possono portare i criminali a entrare nel sistema. L'autenticazione a due fattori fa un'enorme differenza nel riuscire a rendere i sistemi sicuri e in particolare per quanto riguarda la compromissione delle email aziendali."

L'esempio principe è quello dei trasferimenti di danaro: "Una delle cose a cui abbiamo assistito è che ora le banche chiedono una verifica telefonica per i grossi trasferimenti di fondi e queste chiamate telefoniche sono l'elemento che, da solo, ha fermato più trasferimenti fraudolenti di quanto abbia mai visto in passato. Le aziende stanno cercando di inserire questi elementi di frizione nei propri sistemi per fare questo tipo di verifiche. Quindi penso che l'evoluzione dei sistemi aziendali vada in questa direzione: un'azione che richiede un consenso da parte di un amministratore può essere fatta solo da questi. Non deve poter essere fatta da chiunque nell'azienda."

Microsoft punta a diventare leader nell'ambito della lotta al cybercrimine e l'intervento dell'Unità Crimini Digitali sta aiutando l'azienda in questo senso, dato che le ha permesso di smantellare molte operazioni criminali nel corso degli ultimi anni. A vantaggio di tutti, che siano clienti di Microsoft o no.