Nelle scorse settimane diversi fondi pensione australiani hanno scoperto di essere stati oggetto di una serie di attacchi informatici. AustralianSuper, che gestisce 365 miliardi di dollari australiani per oltre 3,5 milioni di persone, ha rilevato che fino a 600 account sono stati compromessi con perdite finanziarie per un totale di 500.000 dollari. Nello stesso periodo Rest Super ha ammesso che circa 8.000 account sono stati interessati da attività non autorizzate. Australian Retirement Trust ha identificato attività di accesso insolite su diverse centinaia di account. Hostplus ha confermato di aver subito un attacco e sta attualmente conducendo indagini per determinarne l’entità. Ne ho citati solo alcuni ma, oltre al fatto che è stato coordinato su obiettivi plurimi e simili, la parte più interessante è il metodo di attacco. Secondo diverse fonti i criminali hanno utilizzato una tecnica nota come “credential stuffing”, che sfrutta combinazioni di username e password ottenute da precedenti violazioni di dati. In un mio articolo di circa un anno fa (lo trovate qui) avevo evidenziato la possibilità che la quantità di informazioni reperibili dai criminali attraverso liste facilmente disponibili sul dark web, avrebbe segnato una svolta nell’utilizzo del fattore umano per gli attacchi. In sintesi notavo come fosse a disposizione una base dati statisticamente attendibile e aggiornata di come gli utenti costruiscono le loro password e di come un uso “appropriato” di queste informazioni avrebbe permesso ai criminali di sfruttare le potenzialità dell’intelligenza artificiale per trovare schemi ricorrenti nella costruzione delle password a seconda delle caratteristiche comuni a intere categorie di utenti. All’epoca lo consideravo uno scenario futuribile. Analizzando l’attacco ai fondi pensione australiani mi sento di dire che il futuro è già cominciato e sembra non promettere nulla di buono.
La Rubrica – Cyber security week