Come funziona un attacco informatico: le fasi e le difese

Un attacco informatico non è un momento isolato di accesso non autorizzato, ma un processo articolato che segue fasi precise e metodiche. Chi conduce attacchi informatici lavora con lo stesso approccio di un investigatore: raccoglie informazioni, identifica vulnerabilità, guadagna accesso e estrae quello che gli serve. Comprendere come funziona questo processo è fondamentale per chi vuole proteggere i propri dati e quelli della propria organizzazione.

La fase di ricognizione: il sopralluogo digitale

Tutto inizia molto prima dell'attacco vero e proprio. La ricognizione è una fase di osservazione e raccolta informazioni del bersaglio, molto simile a un sopralluogo fisico prima di una azione. Durante questa fase, chi attacca esamina il sito web dell'azienda target, controlla i server accessibili pubblicamente, analizza i servizi esposti su internet, legge comunicati stampa e profili sui social network del personale.

Lo scopo è mappare l'infrastruttura digitale: quali servizi sono attivi, quali versioni utilizzano, chi lavora nell'organizzazione e quali potrebbero essere i contatti utili. Nessuna violazione vera accade ancora; è solo osservazione. Ma è la fase più critica, perché dalle informazioni raccolte dipende il successo di tutto il resto.

La ricerca delle vulnerabilità

Una volta mappato il terreno, arriva la fase di vulnerability scanning. Chi attacca utilizza strumenti automatizzati per cercare debolezze nel codice, errori di configurazione, software obsoleto con bug noti, porte aperte che non dovrebbero esserlo.

Una vulnerabilità è una falla nel sistema, di solito una debolezza nel codice del software o in una configurazione sbagliata. Ad esempio:

• Un server web che utilizza una versione vecchia del software, per cui esiste un bug pubblicamente noto
• Una credenziale di accesso lasciata per errore in un documento pubblico
• Un servizio di autenticazione che non funziona correttamente e permette di accedere senza inserire la password giusta
• Un form di login che accetta facilmente input modificati

Non tutte le vulnerabilità sono critiche: alcune permettono di causare problemi minori, altre aprono la strada a accessi profondi. L'attaccante cerca quelle che gli servono per il suo obiettivo specifico.

L'accesso iniziale

Trovata una vulnerabilità sfruttabile, arriva il momento dell'accesso iniziale. È il punto di rottura: il passaggio da osservatore esterno a entità che ha un piede dentro il sistema.

Questo può avvenire in molti modi. Il più comune è il phishing: un messaggio di posta elettronica che inganna un dipendente facendogli cliccare su un link malevolo o scaricare un file compromesso. Il file contiene codice che, una volta eseguito, dà all'attaccante accesso al dispositivo della persona.

Un altro metodo è sfruttare direttamente una vulnerabilità nota del software: se un'azienda non ha aggiornato il proprio server web, l'attaccante può inviare una richiesta costruita ad hoc che sfrutta quel bug e ottiene accesso.

C'è anche l'ingegneria sociale: convincere qualcuno a consegnare le credenziali di accesso tramite una telefonata che simula essere del supporto tecnico.

Il movimento laterale all'interno della rete

Avere accesso a un dispositivo non significa avere accesso a tutto. Un dipendente junior avrà permessi limitati. Allora l'attaccante lavora per spostarsi lateralmente dentro la rete: cerca di raggiungere server più importanti, accessi con privilegi superiori, banche dati.

Lo fa cercando altre vulnerabilità, rubare credenziali di altri utenti, sfruttare configurazioni errate della rete che permettono comunicazione tra sistemi che non dovrebbero comunicare.

È una fase di esplorazione metodica, spesso lenta: ogni movimento deve restare inosservato il più a lungo possibile. Un alert della sicurezza potrebbe far scattare un blocco.

L'estrazione dei dati

Una volta raggiunto il bersaglio, l'attaccante estrae i dati che gli interessano: informazioni riservate, database di clienti, proprietà intellettuale, dati finanziari. Questo può avvenire copiando i dati verso un server esterno controllato dall'attaccante, oppure usando un accesso specifico al database stesso.

La velocità è importante, ma non è il fattore principale: ciò che conta è non essere scoperti durante l'operazione. Molti attacchi rimangono indetectati per mesi o anni prima che l'azienda si accorga che i dati sono stati rubati.

Come proteggersi dagli attacchi informatici

Capire il funzionamento di un attacco informatico significa comprendere dove intervenire:

• Tenere aggiornato il software: le patch di sicurezza chiudono le vulnerabilità note. Un sistema obsoleto è un invito aperto
• Usare password forti e diverse: se una credenziale viene compromessa, l'attaccante non può usarla per accedere a tutti i sistemi
• Autenticazione a più fattori: anche se qualcuno ha la password, non potrà accedere senza il secondo fattore di verifica
• Monitoraggio della rete: rilevare movimenti anomali all'interno del sistema e bloccare l'attaccante prima che raggiunga i dati sensibili
• Educazione degli utenti: la maggior parte degli attacchi inizia con phishing. Riconoscere email sospette è la difesa più efficace
• Segmentazione della rete: dividere l'infrastruttura in zone separate in modo che l'accesso a una zona non apra automaticamente l'accesso a tutte

Domande frequenti

Quanto tempo impiega un attacco informatico dal inizio alla fine?

Dipende molto dal tipo di attacco e dal bersaglio. Un attacco semplice a una piccola azienda potrebbe richiedere poche ore. Gli attacchi mirati a grandi organizzazioni o infrastrutture critiche possono durare mesi o anni. La ricognizione iniziale a volte scorre per settimane, il movimento laterale per altri mesi. L'importante è capire che non è un evento istantaneo, ma un processo che ha tempo per dispiegarsi se le difese non sono in atto.

Come fa un attaccante a non essere scoperto durante un attacco?

Utilizza tecniche di stealth: legge i log dei sistemi per capire cosa registra e cosa no, disattiva gli avvisi se può, usa account legittimi rubati invece di crearne di nuovi, opera durante le ore lavorative per sembrare traffico normale. L'obiettivo è mimetizzarsi nel rumore delle operazioni quotidiane del sistema.

Chi conduce gli attacchi informatici?

Gli attaccanti sono variegati: criminali che cercano profitto, spioni industriali, stati nazionali che cercano informazioni sensibili, attivisti che vogliono danneggiare una specifica organizzazione, e semplici curiosi. Ognuno ha motivazioni diverse e usa tecniche di sofisticazione variabile. Non è una categoria omogenea.