Galasso (Cyber ​​Agence) : “Les arnaques en ligne ? Les avides d’argent facile sont ciblés. Voici les objectifs des cybercriminels”

“En un an, l’Agence nationale de cybersécurité (ACN) a traité plus de 1300 cyberincidents, dont beaucoup étaient particulièrement graves. Nous sommes intervenus pour réparer les dégâts dans de nombreux établissements publics de santé, plus de 40 en moins de deux ans”. Gianluca Galasso est le directeur du service opérationnel de l’ACN. Dans une interview à notre journal, il fait le point sur les activités de l’Agence. A commencer par les principales méthodes utilisées par les cyber-attaquants pour attaquer leurs victimes en ligne. “Les escroqueries en ligne sont presque toujours les mêmes et les escrocs exploitent toujours le principe de la confiance naïve de la victime. Beaucoup de ces escroqueries reposent en fait sur l’ingénierie sociale, c’est-à-dire sur la connaissance de la psychologie des gens et de leurs intérêts.” Parmi les dernières opérations auxquelles elle a participé, on peut citer récente cyberattaque à un prestataire de services de l’administration publique.

Tactiques cybercriminelles : ingénierie sociale et systèmes pyramidaux

Le cas le plus connu est le phishing : un faux e-mail qui incite la victime à communiquer ses identifiants. Cela peut commencer par communiquer faussement que votre compte a été bloqué en raison d’une attaque visant à vous inciter à communiquer à nouveau vos données personnelles et à modifier votre mot de passe, ce qui finit ainsi entre des mains criminelles. “Le plus souvent, en profitant de la fatigue et de la distraction des gens, les criminels peuvent les inciter à entreprendre une action, comme télécharger une pièce jointe infectée ou cliquer sur le lien vers un site clone où ils saisissent leur identifiant et leur mot de passe pour obtenir un service qui mais cela ne sera pas donné. Même là, ils voleront les données pour les utiliser comme ils le souhaitent”, explique Galasso. Mais les types d’escroqueries en ligne sont variés. Et beaucoup s’attaquent au désir de la victime de gagner de l’argent.

« D’autres types d’escroqueries reposent sur des systèmes pyramidaux où le levier est le désir de la victime d’obtenir de l’argent facile et qui est donc incitée à investir dans les crypto-monnaies ou, après avoir noué une relation amoureuse, à demander un prêt qui ne sera pas remboursé. parmi les outils utilisés pour réaliser des escroqueries, on a également largement utilisé ces derniers temps les messages texte (on parle dans ce cas de smishing), c’est-à-dire les messages envoyés sur son smartphone par des utilisateurs apparemment légitimes (par exemple des opérateurs financiers) contenant des liens vers lesquels accéder pour saisir les données qui sont simultanément volées. Ces formes d’attaque peuvent avoir de grandes chances de succès puisque, dans nos routines quotidiennes intenses, nous utilisons tous de manière continue et souvent distraite les appareils mobiles, au point d’augmenter le risque de commettre une imprudence fatale”, explique le réalisateur.

Comment se défendre : conscience et raison

Il existe peu de stratégies de défense efficaces. Et ils tournent souvent autour du concept de conscience. Et le caractère raisonnable. “Pour les citoyens, la première chose à faire est de prendre conscience qu’Internet se prête à ce type de fraude à la fois parce qu’il permet l’anonymat et parce qu’il n’a pas de frontières territoriales. Malheureusement, les mêmes lois ne permettent pas toujours de poursuivre facilement les criminels. lorsqu’ils opèrent à partir de pays avec lesquels il n’existe pas de protocoles de collaboration judiciaire adéquats. Et puis il faut du bon sens”, explique Galasso : “Il est vrai qu’Internet nous a habitués à avoir beaucoup de choses sans les payer directement, pensez à l’information journalistique , mais c’est assez difficile pour quelqu’un de vouloir vous offrir un iPhone parce que vous êtes les 10 000 utilisateurs qui ont visité ce site. Bref, quand quelque chose est trop beau pour être vrai, ce n’est pas vrai.”

Entre autres choses, les escroqueries sont commises par des personnes normales, pas nécessairement par des pirates malveillants : « Malheureusement, un modèle de « coin crime » s’est répandu, le soi-disant Crime as a Service (Crime on request), qui propose sur le marché noir des progiciels Web qui automatisent les attaques de phishing ou louent des botnets (réseaux d’ordinateurs zombies qui agissent ensemble) pour les DDoS. Par conséquent, les pirates informatiques criminels, ou pirates au chapeau noir, sont ceux qui créent des logiciels malveillants, mais les criminels qui les utilisent ne sont pas nécessairement donc. En effet, ils les paient sous forme de loyer ou selon une logique de partage des produits du crime, précisément parce qu’ils n’ont pas les compétences pour les créer. Il existe de nombreux types de hackers et, par rapport aux plus dangereux, comme par exemple , ceux que l’on appelle les State sponsored hackers, hackers financés et couverts par les Etats, ne peuvent intervenir que par des structures spécialisées qui protègent la surface de la cible ou intervenir pour restaurer les systèmes impactés après une attaque. C’est ce que fait le CSIRT, l’équipe italienne de réponse aux incidents de sécurité informatique, qui opère au sein de l’Agence nationale de cybersécurité.

La stratégie de défense qu’une entreprise doit adopter

La cybersécurité est une question qui touche tout le monde. Privé. Mais aussi des entreprises. Lesquelles doivent suivre des règles plus spécifiques en fonction du type d’activité exercée et de la criticité des données traitées, pour garantir la sécurité de leurs clients et le fonctionnement normal des services destinés tant à l’intérieur qu’à l’extérieur de leur organisation.

“En attendant, on commence par utiliser des logiciels et du matériel sécurisés, puis on met en place des politiques d’accès aux systèmes selon la logique du moindre privilège (c’est-à-dire que tout le monde ne peut pas opérer sur les systèmes de la même manière), on s’équipe de des systèmes anti-intrusion et autres systèmes de défense pour les postes de travail individuels, pour les serveurs et pour les réseaux d’entreprise et, pour les situations plus complexes, de véritables centres opérationnels sont créés pour surveiller les fonctions vitales de l’ensemble de l’infrastructure numérique (on les appelle Security Operation Centers)”, explique Galasso, qui ajoute : « Il est également important de réaliser des audits internes et d’encourager la cyber-hygiène de vos employés et clients. Par cyber-hygiène, nous faisons référence à un ensemble de règles de sécurité qui vont de la mise à jour des systèmes d’exploitation des appareils numériques sur lesquels vous travaillez. avec, par exemple, l’utilisation d’antivirus et d’anti-malware, la sauvegarde hors ligne des données et des informations. La formation des employés est cruciale. Certaines entreprises le forment avec des initiatives de gamification, c’est-à-dire en réalisant des exercices de sécurité similaires à un jeu pour encourager l’implication et l’apprentissage des utilisateurs”.

L’Italie est certainement parmi les pays européens les plus touchés par les cybercriminels, raisonne le responsable de l’ACN, qui précise cependant : « Nous devons également rappeler que nous sommes un pays du G7, hautement numérique, avec une industrie moderne et un secteur bancaire fort ; Il est inévitable d’être victime de cyberattaques. Les criminels vont là où il y a des profits à réaliser.” La tâche de l’Agence est d’améliorer les cyberdéfenses du pays.