Quando Vicky Buchan si è svegliata per lavoro alle 3 del mattino di lunedì, i ladri informatici avevano già trasferito 3.000 dollari dal suo conto.
Poiché ha effettuato pagamenti online alla città di Saint John, crede di essere parte del recente attacco informatico alla città.
Anche se i soldi non sono più sul suo conto, la sua banca le assicura che sarà risolto entro tre o cinque giorni. Se non l’avesse denunciato così in fretta, le fu detto, ci sarebbe voluto più tempo per riaverlo indietro, ammesso che l’avesse ripreso con successo.
E non se ne sarebbe accorta così in fretta se non si fosse alzata per il primo turno della palestra che possiede, Port City Training and Fitness.
Buchan crede che i ladri informatici abbiano agito deliberatamente nel cuore della notte.
“Oh, sicuri al 100%. È la migliore probabilità che tu stia dormendo, così che se ne siano andati da tempo quando ti alzi e si spera che la cavino liscia, giusto?”
All’una di notte, ha ricevuto un messaggio dalla sua banca che la avvisava che le domande di sicurezza erano state modificate. Quando si è alzata, due ore dopo, il denaro era stato trasferito dal suo conto aziendale al suo conto di personale e poi trasferito altrove.
Buchan ha detto che la sua banca le ha detto che, poiché l’ha scoperto così velocemente, il denaro era ancora “sospeso” e non era stato accreditato sul conto dei ladri.
Ma sebbene il tempismo sia sospetto, potrebbe essere una coincidenza, affermano gli esperti di sicurezza informatica.
Dicono che l’attacco di Saint John sembra essere un attacco ransomware.
In sostanza, qualcuno irrompe in un sistema informatico, crittografa tutti i dati e poi si offre di venderti una chiave per sbloccare tutti i tuoi dati, spiega Mike Smit, professore associato presso la scuola di gestione delle informazioni della Dalhousie University.
Ma l’esperienza di Buchan è un buon promemoria per le persone sulla pratica di controllare spesso i propri conti, ha affermato Smit.
Brett Callow, analista delle minacce della società Emsisoft della Columbia Britannica, concorda sul fatto che Saint John abbia probabilmente a che fare con il ransomware.
“Sulla base della quantità limitata di informazioni rese disponibili, sembra certamente avere tutte le caratteristiche di un attacco ransomware”, ha detto.
“È davvero il momento peggiore possibile per una città essere ostacolata dal ransomware. La necessità che il personale sia in grado di lavorare da remoto e che il pubblico possa accedere ai servizi da remoto rende fondamentale la disponibilità di sistemi IT e portali online.”
I funzionari della città non parlano
I funzionari della città, nel frattempo, non parlano dell’attacco informatico. Diverse chiamate a vari dipartimenti della città, incluso il sindaco Don Darling, sono rimaste senza risposta durante tutta la giornata.
A CBC News è stato detto che il sindaco non avrebbe concesso alcuna intervista e che eventuali aggiornamenti sarebbero stati rilasciati attraverso i social media.
Lunedì alle 17:30 circa, la città ha twittato dicendo che “ha lavorato 24 ore su 24 per contenere l’attacco e mitigare i rischi attuali e futuri per il comune“.
La risposta è stata immediata e resta nel migliore interesse del Comune e dei residenti. Aggiornamenti pertinenti continueranno a essere forniti ai media e al pubblico non appena saranno disponibili ulteriori informazioni, ha affermato la città.
La città ha anche affermato di voler garantire di non rilasciare troppe informazioni, comprese le informazioni sull’efficacia dell’attacco, i sistemi interessati e il successo dei nostri sforzi di contenimento.
“Fornire questo livello di dettaglio sarebbe vantaggioso per l’hacker in quanto potrebbe tentare ulteriori attacchi; fornirebbe anche informazioni preziose a potenziali hacker imitatori; e potrebbe compromettere gli sforzi investigativi”.
La città ha detto che continua a lavorare con una serie di partner “per aiutare a gestire eventuali rischi”.
Non noi, dice l’app di parcheggio
L’app di parcheggio online, HotSpot, si è rapidamente separata dal recente attacco informatico. In un post su Twitter inviato lunedì mattina, la società ha dichiarato: “L’attacco informatico che ha colpito la città di San Giovanni non ha compromesso le informazioni oi dati dei clienti di HotSpot“.
Nel dicembre 2018, un’altra violazione informatica ha rivelato i nomi e le informazioni della carta di credito di migliaia di clienti del parcheggio della città.
Grande affare
Smit ha affermato che gli attacchi informatici sono un’attività redditizia. Ha detto che il tracciamento dei pagamenti tramite bitcoin ha rivelato centinaia di milioni di dollari in guadagni illeciti per i criminali informatici l’anno scorso.
Sebbene ci siano molti giocatori a livello internazionale, ha detto che tali schemi di solito vengono implementati “in modo abbastanza coerente”.
Identificheranno un obiettivo e quindi cercheranno tutti gli indirizzi e-mail disponibili pubblicamente.
“E eseguiranno un attacco di phishing mirato e piuttosto sofisticato, in cui tenteranno di convincere il destinatario dell’email a fare clic su un collegamento in quell’email”.
Facendo clic su quel collegamento, si compromette il computer e si avvisa qualcuno che è stata inserita una voce.
“A quel punto, un essere umano prende il sopravvento e accede a quel sistema e inizia a curiosare”.
Smit ha detto che la persona che subentra inizia a cercare password e possibili punti di ingresso in obiettivi più grandi e più preziosi.
Il più delle volte, il processo si ferma qui, “ma a volte sono fortunati“, ha detto Smit.
A volte trovano accesso a sistemi più grandi. Una volta lì, gli intrusi scoprono cosa è disponibile e di solito corrono in una delle due direzioni.
Possono cercare informazioni finanziarie personali e cercare di rubare somme minori oppure, di solito nei casi di organizzazioni o governi più grandi, possono chiudere l’intero sistema e cercare un riscatto.
Smit ha detto che le organizzazioni di solito scoprono di essere state attaccate quando i loro sistemi non funzionano o trovano una richiesta di riscatto.