È il turno dei turisti e delle strutture che li ospitano. Parliamo di una razzia, una vera e propria aggressione che ha come obiettivo l’indebita acquisizione dei dati delle carte di credito utilizzate per il pagamento dei rispettivi soggiorni.
Non un attacco qualunque, ma una manovra congegnata nel minimo dettaglio e strutturata come una sorta di campagna di guerra studiata a tavolino per il conseguimento del massimo risultato.
Si chiama “RevengeHotels” (vendicarsi degli alberghi, a voler interpretare il nome dell’operazione criminale) e ha nel mirino le più diverse strutture ricettive e i più disparati operatori nel settore della ospitalità spaziando dalle agenzie di viaggio per arrivare a chi fa ristorazione.
L’articolata operazione ha un target molto ampio anche sotto il profilo degli specifici bersagli della cui vulnerabilità è possibile approfittare. Finiscono così nel mirino non soltanto le caselle di posta elettronica degli uffici o del personale delle strutture alberghiere, ma addirittura i terminali POS (“Point-of-Sale”, ovvero quei piccoli dispositivi – anche wireless – che permettono di pagare il conto con carte e bancomat) e le reti WiFi.
Le tre vie di possibile aggressione sono soltanto alcune delle tante (e forse troppe) opportunità che i banditi impiegano per saccheggiare i preziosissimi dati che l’industria dell’ospitalità acquisisce, elabora e conserva. Si parla di informazioni personali identificabili (in gergo gli addetti ai lavori le chiamano “PII”) e di dati finanziari della clientela: l’enorme patrimonio di conoscenza può essere facilmente utilizzato nelle massive operazioni di “spear-phishing”, può essere venduto in blocco o a porzioni di più facile smercio, può essere proficuamente utilizzato per creare “carte clonate” di immediata realizzazione se chi custodisce i dati “originali” non ha provveduto a blindarli con procedimenti di crittografia avanzata per proteggerli adeguatamente.
Nel turbolento mondo di Internet (e nei suoi sterminati sotterranei, come il “deep web” o le “dark net”) esistono “operatori” storici che hanno come target alberghi e organizzazioni di ospitalità. Se “DarkHotel” è sicuramente qualcosa di leggendario, la coalizione che ora ha messo in piedi “RevengeHotels” è ugualmente destinata a passare alla storia.
Il caso – tutt’ora purtroppo in corso – è stato oggetto di un efficace approfondimento da parte dei laboratori Kaspersky, studio che ha permesso di individuare l’epicentro di questo terremoto virtuale in Brasile ma di riconoscere “sciami sismici” di minore entità anche in Italia e in altri Paesi come Argentina, Bolivia, Cile, Costa Rica, Francia, Messico, Portogallo, Spagna, Thailandia e Turchia.
A voler fare una approssimativa conta dei danni, si può dire che “RevengeHotels” ha già colpito almeno una ventina di catene alberghiere e questo può essere sufficiente per comprendere la vastità e la gravità del problema.
I grimaldelli adoperati per quella che potrebbe essere la rapina digitale del secolo includono una serie di Trojan predisposti ad hoc per sgraffignare i dati delle carte di credito degli ospiti delle strutture alberghiere (i cui sistemi informatici sono stati infettati) e addirittura le informazioni finanziarie inviate all’hotel da siti Internet di prenotazione online facenti capo a terze parti come Booking.com o altri leader del settore.
L’attacco viene sferrato con l’inoltro di un messaggio di posta elettronica ad un albergo, magari incentrato su una richiesta di servizi o sul pernottamento di una certa entità di persone. Si tratta di una e-mail di phishing redatta in modo estremamente professionale (e non zeppa di orripilanti errori ortografici e grammaticali che un tempo permettevano di riconoscere le potenziali fregature in agguato) e quindi oltremodo verosimile.
La legittimazione ulteriore è ricavata dall’indirizzo della casella di posta elettronica mittente che somiglia in modo incredibile a quella della realtà che i banditi stanno impersonando.
Il trucco è semplice e si basa su un deliberato “mistyping” ossia su un ben studiato e volontario impercettibile errore di battitura. I criminali registrano “domini” (o indirizzi web) con piccole imperfezioni (l’inversione di due caratteri rispetto la loro normale sequenza, l’inserimento di un trattino a metà della parola, una doppia lettera che nessuno noterà mai e così via) che molto difficilmente verranno riconosciute anche dal destinatario più scrupoloso.
La presunta attendibilità di quella venefica missiva solitamente porta all’apertura dei file che sono allegati. Documenti Word, Excel o PDF forgiati ad arte saranno pronti ad “esplodere” sul computer di chi ha improvvidamente creduto di far bene nell’accedere al loro contenuto. Nessun “botto”, ma il silenzioso deflagrare di istruzioni nocive: il pc comincerà da quel momento ad ubbidire ai comandi predeterminati dai malfattori e le conseguenze possono davvero rivelarsi terrificanti.
Un buon antivirus e l’aggiornamento del sistema operativo possono risultare necessari, ma il punto debole continua ad essere l’utente che con il suo inopportuno clic del mouse preme il grilletto che suicida la sicurezza implementata dai tecnici.
L’augurio è che – in presenza di una simile allerta – si cominci a pensare che hardware e software devono sempre fare i conti con lo “humanware” su cui intervenire richiede tempo e pazienza che spesso nessuno dedica o anche solo prende in considerazione.
Articoli correlati
I centri medici di Synlab sotto attacco hacker. Tutti i dettagli sulla società
Giavazzi scopre che il debito pubblico è buono, ma solo quello europeo. Gulp
Forza Draghi, anzi no: abbasso Draghi. Girotondo di opinioni
Sorprese e amnesie di Antonio Di Pietro
