I 15 tipi più comuni di attacchi informatici 

Gli attacchi informatici si presentano in molte forme, ognuna delle quali utilizza tecniche diverse e prende di mira varie vulnerabilità. Di seguito sono riportati alcuni dei tipi più comuni: 

Il termine malware o software dannoso si riferisce a un'ampia gamma di programmi dannosi volti a interrompere, danneggiare o ottenere l'accesso non autorizzato ai sistemi informatici. Ciò include virus, worm, trojan, ransomware, spyware e adware. Il malware può infettare i dispositivi attraverso una varietà di percorsi, tra cui allegati email, siti web compromessi e download di software. Una volta installato, esegue azioni dannose come il furto di dati, il dirottamento del sistema e l'inabilità del dispositivo. Può operare in modo furtivo per eludere il rilevamento, sfruttare le vulnerabilità nel software o utilizzare tattiche di ingegneria sociale per indurre gli utenti a installarlo inavvertitamente, ponendo rischi significativi per la cybersecurity e la privacy dei dati. La rimozione del malware in genere comporta l'utilizzo di software antivirus specializzato per scansionare, rilevare e mettere in quarantena o eliminare file o programmi dannosi, ripristinando il dispositivo infetto a uno stato sicuro.

Il phishing è un tipo di attacco informatico che prevede l'invio di e-mail generiche da parte di criminali informatici che fingono di essere legittimi. Queste e-mail contengono link fraudolenti per rubare le informazioni private degli utenti. Gli attacchi di phishing sono più efficaci quando gli utenti non ne sono consapevoli.

Il termine phishing è usato principalmente in riferimento a generici attacchi tramite email. Si tratta dei casi in cui un aggressore invia email a più indirizzi possibili, facendo riferimento a servizi comuni come PayPal o Bank of America.

Il phishing si è evoluto nel corso degli anni per includere attacchi che riguardano diversi tipi di dati. Oltre al denaro, gli attacchi possono anche prendere di mira dati sensibili o foto.

Lo spear phishing si distingue come una delle forme più pericolose e mirate di attacchi informatici. A differenza dei normali attacchi di phishing, che creano un'ampia rete nella speranza di catturare vittime ignare, lo spear phishing è una forma altamente personalizzata e mirata di un attacco di phishing che prende di mira un utente piuttosto che una rete.

Esempio di attacco di phishing

Un attacco DDoS è progettato per interrompere o arrestare una rete, un servizio o un sito web. Un attacco DDoS si verifica quando gli aggressori utilizzano un'ampia rete di PC remoti chiamati botnet per sopraffare la connessione o il processore di un altro sistema, causando il rifiuto del servizio al traffico legittimo che ricevono. L'obiettivo e il risultato finale di un attacco DDoS riuscito è rendere il sito web del server di destinazione non disponibile per richieste di traffico legittime. 

Gli attacchi DDoS hanno una varietà di scopi, da scherzi e vendette personali contro aziende e organizzazioni a criminali che utilizzano gli attacchi DDoS come forma di ricatto per ottenere guadagni finanziari e proteste per attirare l'attenzione sociale (ad esempio, hacktivisti). Per questi scopi, ad esempio, le agenzie governative e le aziende sono state spesso colpite da attacchi DDoS negli ultimi anni, rendendo un tipo di attacco informatico di cui diffidare. Ci sono anche criminali nel mercato sotterraneo che vendono strumenti per gli attacchi e i servizi DDoS per eseguire gli attacchi DDoS. Pertanto, le barriere all'esecuzione degli attacchi DDoS sono state ridotte e si prevede che la minaccia degli attacchi DDoS continuerà a crescere. 

Un attacco Man-in-the-Middle (MitM) è un tipo di attacco che implica un elemento dannoso che "ascolta" le comunicazioni tra le parti ed è una minaccia significativa per le organizzazioni. Tali attacchi compromettono i dati inviati e ricevuti, poiché gli intercettatori non solo hanno accesso alle informazioni, ma possono anche inserire i propri dati. Data l'importanza delle informazioni che vanno avanti e indietro all'interno di un'organizzazione, gli attacchi MiTM rappresentano una minaccia molto reale e potente che i professionisti IT devono essere in grado di affrontare. 

SQL injection è un attacco che manipola illegalmente un database iniettando istruzioni Structured Query Language (SQL) indesiderate in un'applicazione che dispone di un database relazionale (RDBMS). Esistono diversi tipi di SQL injection a seconda del metodo e dello scopo e, dal punto di vista degli aggressori informatici, vanno dal furto di informazioni, alla falsificazione dei dati e all'indagine delle vulnerabilità. Sebbene si tratti di un vecchio attacco, oggi sta ancora causando molti danni, quindi è uno degli attacchi di cui le organizzazioni aziendali dovrebbero essere particolarmente diffidenti. 

Sebbene SQL injection sia un vecchio attacco, negli ultimi anni ci sono ancora molti casi confermati che causano grandi danni. Pertanto, è ancora un attacco di cui le organizzazioni dovrebbero fare attenzione. Se viene utilizzata una tecnica come l'iniezione UNION e l'attacco ha successo, potrebbe verificarsi una perdita di informazioni su larga scala. Tuttavia, adottando misure appropriate, è possibile prevenire tali danni prima che si verifichino. Come misura di sicurezza per le organizzazioni aziendali, oltre alle misure dal punto di vista della difesa in profondità sopra menzionate, consigliamo di eseguire regolarmente valutazioni di sicurezza, come test di penetrazione esterni e diagnosi di vulnerabilità. 

Una vulnerabilità zero-day è un difetto, una debolezza o un bug nel software, nel firmware o nell'hardware che potrebbe essere già stato divulgato pubblicamente ma che rimane privo di patch. I ricercatori potrebbero aver già rivelato la vulnerabilità e il fornitore o lo sviluppatore potrebbe essere già a conoscenza del problema di sicurezza, ma una patch o un aggiornamento ufficiale che li affronti potrebbe non essere stato rilasciato. 

Il difetto viene definito vulnerabilità "zero-day" perché il fornitore o lo sviluppatore, e di conseguenza, gli utenti e le organizzazioni i cui sistemi sono interessati dalla vulnerabilità, hanno appena appreso della vulnerabilità. Una volta che la vulnerabilità diventa pubblica e il fornitore o lo sviluppatore ha già distribuito una patch per essa, diventa una vulnerabilità nota o "no-day".

Quando gli hacker o gli attori delle minacce sviluppano e distribuiscono con successo proof of concept (PoC) o un malware effettivo che sfrutta la vulnerabilità mentre il fornitore sta ancora lavorando per implementare una patch (o a volte, inconsapevole dell'esistenza della vulnerabilità), diventa un exploit o un attacco zero-day. Mentre sviluppatori e fornitori, nonché ricercatori ed esperti di sicurezza, investono continuamente tempo e sforzi per trovare e risolvere i difetti di sicurezza, lo stesso può essere detto anche per gli attori delle minacce. Il risultato è una corsa alle armi tra gli attori delle minacce che trovano e cercano di sfruttare una vulnerabilità e i fornitori che lavorano per rilasciare una patch per risolverla.

Il ransomware è un malware che cripta file importanti sui sistemi di archiviazione locale e di rete e chiede un riscatto per decriptarli. Gli hacker sviluppano questo malware per ottenere denaro attraverso l'estorsione digitale. Il ransomware cripta i file, la chiave non può essere forzata e l'unico modo per recuperare le informazioni è da un backup.

Il modo in cui funziona il ransomware lo rende particolarmente dannoso. Altri tipi di malware distruggono o rubano i dati ma lasciano aperte altre opzioni di recupero. Con il ransomware, se non ci sono backup, è necessario pagare il riscatto per recuperare i dati. A volte le aziende pagano il riscatto e l'aggressore non invia comunque la chiave di decrittazione.

Una volta che il ransomware inizia a lavorare, scansiona i sistemi di archiviazione locali e di rete, alla ricerca di file da criptare. Prende di mira i file che ritiene importanti per l'azienda o per gli individui. Questi includono i file di backup che potrebbero aiutare a recuperare le informazioni. 

Diversi tipi di ransomware prendono di mira diversi insiemi di file, ma ci sono anche obiettivi comuni. La maggior parte dei ransomware prende di mira i file di Microsoft Office perché spesso contengono informazioni aziendali critiche. Prendere di mira i file importanti aumenta la possibilità di ottenere il pagamento del riscatto.

Supply Chain Attack è un tipo di attacco informatico che prende di mira elementi meno sicuri nella supply chain di un'organizzazione piuttosto che attaccare direttamente l'organizzazione. L'obiettivo è infiltrarsi nella rete o nei sistemi di un'organizzazione compromettendo un fornitore, un partner o un fornitore terzo che ha accesso ai suoi dati, software o infrastruttura di rete. 

Invece di attaccare direttamente l'organizzazione bersaglio, gli aggressori compromettono una terza parte fidata, come un fornitore di software, hardware o servizi. Questa terza parte diventa quindi un canale per consegnare il payload malevolo al target finale. 

L'impatto di un attacco alla supply chain può essere significativo, interessando non solo l'obiettivo primario, ma potenzialmente migliaia di altre organizzazioni che si affidano alla terza parte compromessa. 

Cross-site Scripting (XSS) è una vulnerabilità della sicurezza che si trova solitamente in siti web e/o applicazioni web che accettano l'input dell'utente. Esempi di questi includono motori di ricerca, moduli di accesso, bacheche e caselle di commento. 

I cyber criminali sfruttano questa vulnerabilità inserendo stringhe di codice dannoso eseguibile in queste funzioni. In questo modo il codice dannoso viene inserito nel contenuto del sito Web di destinazione, rendendolo parte del sito Web e consentendogli così di colpire le vittime che possono visitare o visualizzare tale sito Web. Il codice può anche presentarsi come contenuto transitorio che non fa effettivamente parte del sito web, ma sembra essere solo per il visitatore. Ciò fa sembrare che il sito web sia effettivamente compromesso dai cyber criminali. 

I cyber criminali possono anche utilizzare questa vulnerabilità per assumere il controllo o compromettere direttamente un sito web, nonché sfruttare altre vulnerabilità esistenti sul server o sul software del sito web. 

L'ingegneria sociale è un tipo di attacco che utilizza l'interazione e la manipolazione umana per raggiungere gli obiettivi dell'aggressore. Spesso comporta la persuasione delle vittime a compromettere la loro sicurezza o a violare le best practice di sicurezza per il guadagno finanziario o informativo dell'aggressore. Gli attori delle minacce utilizzano l'ingegneria sociale per mascherare se stessi e le loro motivazioni, spesso agendo come individui fidati. 

In definitiva, l'obiettivo principale è influenzare, aggredire la mente, piuttosto che un sistema. Molti di questi exploit si basano sulla buona natura delle persone o sulla paura di situazioni negative. L'ingegneria sociale è popolare tra gli aggressori perché è più facile sfruttare le persone piuttosto che le vulnerabilità di rete e software. 

Il Whaling è un tipo specializzato di attacco di phishing che prende di mira individui di livello C o High-Profile all'interno di organizzazioni, come dirigenti, manager e altri leader senior. Il termine "il Whaling" riflette l'attenzione dell'attacco sul "grande pesce", che detiene un'autorità significativa e l'accesso a informazioni sensibili. A differenza dei tradizionali attacchi di phishing che possono colpire la persona media e fare affidamento sul volume, il Whaling è un attacco altamente mirato, che utilizza informazioni dettagliate sulla vittima per creare email convincenti e personalizzate.

Gli individui di alto profilo sono obiettivi interessanti per i cyber criminali perché spesso hanno accesso a informazioni preziose, risorse finanziarie e potere decisionale. Compromettendo l'account email di un dirigente, gli aggressori possono autorizzare transazioni fraudolente, accedere a dati riservati e manipolare i processi organizzativi.

Phishing vs. whaling

Nella cybersecurity, il termine "Trojan" o "Trojan Horse" si riferisce a un tipo di malware che inganna gli utenti mascherandosi come software legittimo. Questa minaccia digitale prende il nome dall'antica leggenda greca del Cavallo di Troia, dove i soldati greci si nascosero all'interno di un cavallo di legno per infiltrarsi e catturare la città di Troia. Allo stesso modo, un trojan nella cybersecurity nasconde il suo intento dannoso sotto la maschera di un'applicazione innocua, inducendo gli utenti a eseguire codice dannoso sui loro dispositivi. I trojan si sono evoluti in una delle forme più comuni e versatili di malware, ponendo grandi rischi sia per le persone sia per le organizzazioni. A differenza dei virus o dei worm, i trojan non possono replicarsi o autoeseguirsi e si affidano invece alle tecniche di ingegneria sociale da installare.

Se un Trojan viene installato correttamente sul dispositivo di un utente, può eseguire diverse azioni malevole a seconda del tipo e dello scopo. Ad esempio, fornire un ingresso back door agli hacker, accedere a dati, password e altre informazioni sensibili.

Watering Hole Attack è una minaccia informatica furtiva in cui gli hacker compromettono un sito web affidabile visitato frequentemente da un gruppo specifico, come i dipendenti di un'organizzazione mirata. Iniettando malware nel sito, gli aggressori infettano i dispositivi dei visitatori, ottenendo l'accesso alle reti e ai dati sensibili. Spesso collegati a minacce persistenti avanzate (APT), questi attacchi sono difficili da rilevare e possono portare a violazioni su larga scala.

Gli APT sono attacchi mirati volti a ottenere l'accesso a lungo termine a una rete per rubare dati sensibili nel tempo. Gli attori sponsorizzati dallo stato o i cyber criminali ben finanziati spesso conducono APT, prendendo di mira settori critici come il governo e la finanza. La delicatezza degli APT li rende particolarmente difficili da rilevare, consentendo agli aggressori di esfiltrare tranquillamente informazioni preziose e di eludere le difese di sicurezza. 

L'ascesa dei dispositivi Internet of Things (IoT) ha introdotto nuove sfide di sicurezza, poiché molti gadget IoT non dispongono di una solida protezione. Gli aggressori cercheranno di sfruttare queste vulnerabilità, spesso utilizzando dispositivi compromessi in botnet su larga scala, come la famigerata botnet Mirai, per lanciare attacchi DDoS o infiltrarsi in reti più ampie. La protezione dei dispositivi IoT è diventata essenziale per ridurre al minimo i rischi associati a queste connessioni digitali in rapida espansione.