Oggi giorno la maggior parte di noi è a conoscenza della prolifera rete di hacker il cui obiettivo principale è quello di rubare dati confidenziali dalle reti aziendali. E mentre sono stati scritti vari volumi su come i cyber criminali riescano ad infiltrarsi nei sistemi e nelle reti, i metodi attraverso i quali rimuovono i dati sono ancora piuttosto sconosciuti.
Tuttavia, è più facile di quello che sembra. Prima di tutto, un hacker ha bisogno di accedere ad una rete, infiltrandosi in essa attraverso una e-mail phishing contenente un PDF o un documento Word corrotto – un trucco con cui penetrano nel sistema o nella rete prescelta. Una volta dentro, l’hacker cercherà di individuare i punti deboli che gli permettono di saltare da un sistema all’altro, in cerca di dati interessanti – fogli contabili, documenti, dati bancari o qualsiasi altro dato che questi ritenga di valore.
Una volta che i dati sono stati localizzati, inizia il processo di esportazione dei dati, che prevede il trasferimento e l’organizzazione dei dati in un luogo sicuro. In genere, gli hacker preferiscono utilizzare, come scalo tecnico, un computer in rete invece di un server. Secondo Ryan Kazanciyan e Sean Coyne dell’azienda di sicurezza IT Mandiant, questo avviene perché gli utenti non prestano molta attenzione allo spazio disponibile nella memoria dei loro computer, ma in teoria gli amministratori di rete dovrebbero essere i primi ad accorgersi dell’aumento dell’utilizzo della memoria del server.
Alcuni hacker accumulano i dati che desiderano rubare dal computer danneggiato e poi estraggono i dati in un colpo solo. In altri casi, lo fanno poco a poco – sebbene il rischio di essere scoperti si fa più alto. Ci sono hacker che rubano solo alcuni tipi di dati, mentre altri rubano tutto quello che si trovano tra le mani. In quest’ultimo caso significa che i cyber criminali appartengono ad una organizzazione criminale sofisticata che ha le risorse sufficenti per trovare tra tutte le informazioni rubate, i dati di valore.
Un punto fondamentale è che non si tratta di riparare le vulnerabilità di un sistema una volta scoperte, ma di far sì che la rete sia sempre protetta, in modo da evitare fin dall’inizio questo genere di furti.
“È difficile quantificare l’impatto provocato da questo genere di furti perché ancora non si conosce il valore di molti dati” afferma Coyne. “In molti dei casi su cui abbiamo lavorato, gli hacker erano già presenti nei sistemi da mesi, se non da anni. Se pensi di risolvere il problema dopo che il fatto è già accaduto, ti sbagli perché sarà troppo tardi”.