Che effetti ha il crimine informatico sulle persone? Leggi questo caso avvenuto realmente. Per evitare di diventare una vittima del crimine informatico, è necessario conoscere i fondamenti della protezione online.

Storia di Sandra

Sandra è una professionista delle risorse umane che vive a Miami, Florida. Utilizza il computer per lavoro da più di dieci anni. In ufficio, la manutenzione dei computer viene effettuata dal reparto IT dell'organizzazione e Sandra non ha mai avuto problemi di sicurezza.

Si considera abbastanza esperta di computer e ritiene di correre pochi rischi di diventare vittima di una frode online per i seguenti motivi:

  • Sandra non acquista mai online perché preferisce non correre il rischio di esporre i dati della propria carta di credito e perché non le piace l'idea che le informazioni riguardanti i suoi acquisti possano essere memorizzate e usate per creare un profilo dei suoi gusti e interessi personali.
  • Utilizza il computer di casa solo per scambiare e-mail personali con amici e familiari, per navigare sul Web alla ricerca di informazioni sugli sviluppi nel suo settore professionale e per effettuare una volta al mese operazioni bancarie sul sito Web della sua banca.
  • Qualche volta utilizza Internet anche per altro, ma abbastanza raramente.

La situazione di Sandra sembrerebbe sicura, non è vero?

Sfortunatamente, l'apparenza inganna. L'estate scorsa, mentre era in ufficio, Sandra è venuta a conoscenza di una nuova vulnerabilità specifica del browser Internet che utilizzava. Era così rischioso che il giorno stesso il reparto IT distribuì patch di emergenza per tutti i computer dell'organizzazione. Per assicurarsi che anche il suo computer di casa fosse protetto, una volta arrivata a casa Sandra è andata in Internet per ottenere maggiori informazioni sulla vulnerabilità e stabilire se era protetta.

Tramite un popolare motore di ricerca, ha trovato un sito Web che offriva non solo informazioni sulla vulnerabilità, ma anche l'opportunità di scaricare una patch e installarla automaticamente sul suo computer. Sandra ha letto le informazioni, ma ha deciso di non accettare il download in quanto le era stato insegnato di scaricare informazioni solo da fonti autorizzate. Quindi è andata sul sito ufficiale del browser Internet per ottenere la patch.

Che cosa è andato storto dunque?

Sfortunatamente, mentre Sandra stava leggendo le informazioni sulla vulnerabilità del primo sito, il criminale che lo aveva creato sfruttava il fatto che il computer di Sandra avesse questa vulnerabilità. Infatti, mentre lei faceva clic su "No" per rifiutare il download, a sua insaputa veniva installato automaticamente sul suo computer un programma crimeware piccolo ma potente.

Si trattava di un keystroke logger, un programma che registra quanto viene digitato dall'utente. Contemporaneamente, il proprietario del sito Web stava già ricevendo una notifica che il keystroke logger era stato installato segretamente e con successo sul computer di Sandra. Il programma era stato progettato per registrare in modo invisibile tutto ciò che lei avrebbe digitato da quel momento e per inviare tutte le informazioni al proprietario del sito Web. Il programma ha funzionato perfettamente, registrando tutto ciò che Sandra digitava. Ogni sito Web visitato, ogni e-mail inviata, sono stati trasmessi al criminale informatico.

Più tardi quella sera, Sandra ha effettuato delle transazioni bancarie online. Mentre accedeva al conto corrente personale, il keystroke logger ha registrato anche tutte queste informazioni riservate: il nome della banca, l'ID utente, la password, le ultime quattro cifre del codice di previdenza sociale e il nome da nubile della madre. Il sistema della banca era protetto e i dati digitati venivano crittografati in modo che nessuno lungo il percorso avrebbe potuto vedere le informazioni. Tuttavia, il keystroke logger registrava le informazioni in tempo reale, mentre lei le digitava e prima che venissero crittografate, aggirando così il sistema di sicurezza.

Era solo una questione di tempo prima che il nome della banca, l'ID utente, la password e il nome da nubile della madre finissero nelle mani del criminale informatico. Ha aggiunto il nome di Sandra e tutte le informazioni a lei associate a una lunga lista di nomi di altri utenti inconsapevoli e l'ha venduta a un individuo incontrato su Internet, specializzato nell'utilizzo di dati bancari rubati per effettuare prelievi illegali di denaro. Quando Sandra è andata in banca a fare un deposito alcune settimane più tardi e ha chiesto di vedere il saldo del suo conto ha fatto la scioccante scoperta di trovare il conto quasi vuoto. Sandra era stata la vittima di un crimine informatico.