skin

Pandemia mondiale e (anche) informatica: i rischi e gli attacchi in lockdown al poker online

20 marzo 2021 - 09:30

Con i lockdown è esploso il gioco online ma aumentano anche i rischi di cyber attacchi: ecco quali sono le minacce, quali sono i nemici e come potersi difendere dai malviventi della rete.

Scritto da Cesare Antonini

Una minaccia costante che, con l'esplosione delle attività digital online causata dai numerosi lockdown della pandemia da Covid-19, ha aumentato a dismisura i rischi di attacchi cyber e hacker alle aziende. L'aumento dei rischi rende indispensabile uno studio approfondito di queste criticità e necessita di un approccio molto professionale dal punto di vista della sicurezza. Questo per tantissimi settori dell'economia ma a maggior ragione per il settore del gambling che, dal betting al poker, dal casinò al bingo e ad altri verticali dei principali concessionari italiani, rappresenta uno dei principali obiettivi per i malviventi digitali. In effetti i conti gioco di molti players (non tantissimi a dire il vero) possono fare gola. Ma essendo anche un servizio a soddisfazione immediata, se il cliente non trova il gioco disponibile in un clic rischia prima di disamorarsi di un certo brand e poi di volare con la velocità della luce verso altri lidi, sia legali che illegali. Ovvio.

Detto questo abbiamo cercato di capire quali sono i principali rischi, quali sono le best practice da mettere in campo per una società di gioco e quali le contromisure e gli strumenti da poter schierare per prevenire già da dentro le imprese le azioni degli attaccanti, prima di rivolgersi ai tecnici e limitare i danni o riparare i disastri fatti dai malviventi online.

Per fare questo viaggio avevamo bisogno di un “cicerone” competente e che è schierato giornalmente in questa lotta che definire senza confini (vista la natura del web) rischia di sembrare un eufemismo. Lui è Gabriele Zanoni, senior strategic consultant di Mandiant, la piattaforma della intelligence-led Security company Fireeye, riconosciuta a livello globale che unisce tecnologie di sicurezza innovative e intelligence sulle minacce di livello paragonabile a organizzazioni statali. Parliamo di un gruppo con 9.900 clienti in 103 Paesi tra cui più del 50 percento del Forbes Global 2000.

“Il settore delle scommesse e del gioco online è sempre stato preso di mira dagli attacchi cyber informatici ma i metodi sono cambiati e si stanno evolvendo  – attacca Zanoni – se prima le priorità e le preoccupazioni erano le disponibilità del servizio e si volevano evitare gli attacchi Ddos per rendere indisponibile il servizio, ora siamo di fronte ad attacchi più invasivi e profondi come il Ramsomware. Nei giochi è cruciale avere un impianto di security molto elevato perché i servizi che si offrono sono a soddisfazione immediata, se l’utente non trova online il sito perché l’aggressore sta mandando accessi multipli l’utente cade nelle braccia della competition. Storicamente la negazione del servizio è stato il primo problema ma gli approcci, come detto, stanno cambiando”.

Grazie a Mandiant possiamo studiare quali sono le minacce principali e gli “attaccanti” da tenere d'occhio. Come si dice, per sconfiggere il nemico, prima di tutto è bene conoscerlo a fondo: “Partiamo dagli aggressori. Quelli di maggior rilievo in questo settore sono quelli di tipo Cyber Crime: loro sono la causa della maggior parte degli attacchi e hanno come obiettivo un ritorno economico come lo svuotamento dei conti gioco o il 'riscatto' chiesto alle aziende per ripristinare il servizio. Spesso si fanno pagare coi Bitcoin e varie criptovalute perché sono poi più difficili da rintracciare. Nel settore del gioco naturalmente il ritorno economico c'è ed è la motivazione principale che porta gli attaccanti ad aggredire le piattaforme online. Tuttavia in altri settori abbiamo visto anche attacchi volti allo spionaggio (cyber espionage) per cercare di carpire segreti alla concorrenza o rubare dati sensibili sempre utili per i mercati in cui si opera, o spinti da motivazioni politiche o opportunistiche (Hacktivism). Questi ultimi ad esempio possono avere interesse a prendere possesso qualche sito proprio per ragioni ideologiche e rovinare l'home page rivendicando 'l'attentato'. Ma, come detto, difficilmente queste due categorie di attaccanti non sembrano interessati al settore del gambling”.

Quali sono, quindi, gli attacchi classici dai quali ci si deve proteggere: “Una volta gli attacchi DDoS (Distributed Denial of Service) erano condotti con macchine bot (computer infetti da malware) che si connettevano al sito della vittima per sovraccaricare i sistemi e negare il servizio agli altri giocatori. Oggi gli aggressori che lanciano attacchi DDoS hanno esteso il numero di macchine bot attraverso l’abuso di sistemi IoT (telecamere, smartphone, smartwatch, tablet e altri device ancora) e gli attacchi sono molto più voluminosi (in termini di banda) rispetto ad un tempo”.

Ma cosa può portare una banda di malviventi online a condurre questi attacchi? “Lo scopo è spesso quelli di ricattare la vittima per fermare l’attacco  – spiega il senior strategic consultant di Mandiant – in questi casi erogando somme di denaro si può rientrare subito in possesso dei propri sistemi e probabilmente i dati sensibili non sono stati violati. Ma il rischio c'è eccome”.

L'ultimo caso è quello di Snai.it, uno dei principali bookmaker del nostro mercato legale che è rimasto offline per due giorni e mezzo con i giocatori allo stremo per paura che i fondi dei conti gioco venissero trafugati. È stato lo stesso operatore a riconoscere che l'attacco DdoS era andato a segno ma non erano stati toccati i dati dei players e degli account. A distanza di circa due mesi possiamo confermare che fu così.

Ma il gambling che rischi corre oltre al Ddos che colpisce spesso le poker room online? “Abbiamo visto attacchi volti ad abusare delle applicazioni sui siti di gambling per entrare in possesso di crediti o di punti dei sistemi di rewards in modo illecito o per compromettere gli account di altri giocatori – prosegue Zanoni - spesso sfruttano bug nella logica delle applicazioni, altre volte entrano negli account tramite credenziali collezionate con attacchi di phishing o di forzatura delle password. In questo caso sono tanti i sistemi. Addirittura c'era chi teneva ferma la password reperita in chissà quale maniera e cercava di intuire la user. Un sistema difficile da monitorare visto che difficilmente gli utenti difficilmente dimenticano quella credenziale d'accesso rispetto alla parola chiave che, invece, viene spesso smarrita. E siccome molti utenti anche in altri settori e servizi utilizzano sempre le stesse password, la pratica rischia di essere molto fruttuosa per il malware”.

La necessità dei cyber criminali,  spesso, è quella di portare via informazioni sui giocatori per invitarli su altre piattaforme di gioco (spesso non legali) o per rivendere le loro informazioni: “Sono tanti gli esempi di traffico di dati del dark o nel deep web dove poi queste informazioni possono finire negli utilizzi più disparati possibili oltre a quello di mandare mail, bonus e premi per cercare di far iscrivere il giocatore in un altro portale di gioco”. È

Siamo sinceri, non avevamo mai sentito la pratica, “ransomware”, di cosa si tratta? “È un attacco volto a cifrare i computer delle vittime per tenere i dati in ostaggio e chiedere un riscatto in Bitcoin, questi attacchi possono bloccare l’erogazione dei servizi di gioco ed è una delle nuove armi a disposizione del cyber crime – spiega ancora il manager Mandiant – è un attacco molto più profonda che penetra nei sistemi e viola dati sensibili e per questo il riscatto può essere molto più oneroso rispetto agli attacchi DdoS che tantissime aziende ormai sanno come respingere”.

Curioso anche il timing scelto dagli hacker, tanto banale quanto efficace: “Molte aggressioni avvengono il venerdì sera dopo che tutti sono usciti dagli uffici e nessuno può accorgersi in maniera tempestiva di cosa sta accadendo. È fondamentale che i tempi di reazione siano piuttosto immediati e repentini, specie negli attacchi ransomware che riescono a 'contagiare' e raggiungere molte più macchine se agiscono indisturbati per ore e ore. In tempi di smart working chi lavora fuori dall'azienda e si occupa di sicurezza, deve creare un collegamento con i sistemi da fuori e qualche problema in più potrebbe sorgere”. Non a caso l'attacco a Snai di fine 2020 venne ordito durante le vacanze di Natale e, le poker room e i bookmaker, vengono colpiti in pieno weekend quando ci sono tutte le partite da giocare e in palio ci sono i montepremi più importanti.

Come comportarsi, quindi, quali azioni vanno messe in piedi per cercare arginare gli attacchi e ridurre il più possibile i rischi? “Sapere come gli aggressori compromettono le loro vittime è diventato fondamentale vista anche la velocità con la quale le nuove tecniche di attacco vengono usate trasversalmente sulle vittime. Come Mandiant – analizza Zanoni - lavoriamo spesso a fianco delle vittime nella gestione degli incidenti informatici. Avendo informazioni di prima mano possiamo aiutare in maniera efficace nella adozione di nuove strategie di mitigazione per fare in modo che l’impatto di un possibile attacco sia il minimo possibile. Spesso fare dei test proattivi è il modo migliore per verificare se le procedure, le persone e tecnologie possono identificare determinate nuove minacce come quella Ransomware. Mandiant offre un servizio di Purple Team dove simuliamo di essere un aggressore – detto Red Team - e allo stesso tempo ci sediamo al fianco al team di sicurezza dell’azienda – detto Blue Team - per vedere se e come vengono viste e gestite le ultime tipologie di attacco, questo è probabilmente il modo migliore per verificare la propria resilienza verso i cyber attacchi di oggi”.

Anche nel Cyber Crime ci saranno le tendenze, purtroppo. Ecco, dove stiamo andando e di cosa dobbiamo avere paura sia come players che come operatori del mercato? “Molti attaccanti copiano le pratiche criminali messe in atto anche su altri mercati o le adattano da un settore dell'economia all'altro. E la velocità di evoluzione di questi malware è sempre più imponente rendendo spesso inutili adattamenti di patch o aggiornamenti dei anti virus classici. Ma tra le nuove minacce c’è proprio il Ransomware, ed essendo la più innovativa, è anche quella che spaventa di più. Avere uno storico sulle altre minacce offre vantaggi ai difensori. Per questo va tenuta altissima l'attenzione perché tralasciare un asset, un servizio, un sistema, significa esporre lati molto deboli della propria tecnologia e aumentare i rischi di essere attaccati”, conclude Zanoni.

Articoli correlati