In una cella di massima sicurezza, un adolescente parla. Le sue parole, registrate dalle autorità, dipingono un ritratto inquietante di come un gruppo di giovani hacker sia riuscito a mettere in ginocchio alcune delle più grandi aziende tecnologiche al mondo, causando danni per milioni di dollari. Noah Urban, il suo nome, non è il classico genio del coding ritratto nei film. La sua arma principale non è un algoritmo sofisticato, ma la persuasione. La sua specialità? Il social engineering.
Urban faceva parte di Scattered Spider, un collettivo noto per la sua audacia e per aver preso di mira giganti come T-Mobile e Twilio. Il suo ruolo nel gruppo era chiaro e cruciale: ingannare le persone per ottenere accesso a sistemi informatici sensibili. Non scriveva codice malevolo, non sfruttava zero-day; parlava. E ascoltava. E convinceva.
Il metodo è antico quanto l’hacking stesso, ma la sua esecuzione è stata modernizzata e resa più pericolosa che mai. Il gruppo operava principalmente su piattaforme come Telegram e Discord, luoghi digitali dove l’anonimato e la connettività globale permettono di coordinare attacchi in tempo reale. Qui, i membri condividevano tecniche, si scambiavano credenziali rubate e si organizzavano per colpire.
Uno degli attacchi più eclatanti ha coinvolto Twilio, un’azienda che fornisce servizi di comunicazione critici per molte altre aziende. Gli hacker sono riusciti a ottenere l’accesso ai suoi sistemi interni, e da lì hanno avuto via libera verso i dati dei clienti. Il tutto partito da una serie di chiamate ben congeniate e da una phishing campaign estremamente mirata.
Ma come funziona, tecnicamente, un attacco di questo tipo? Spesso inizia con il cosiddetto “vishing” (voice phishing). L’hacker contatta un dipendente, si spaccia per qualcuno dell’IT o di un reparto interno, e con un mix di urgenza e autorevolezza convince la vittima a rivelare credenziali di accesso o a concedere permessi privilegiati. Una volta dentro, il gioco è fatto. L’attaccante può muoversi lateralmente nella rete, elevare i propri privilegi e accedere a dati sensibili.
Quello che colpisce, nelle confessioni di Urban, è la normalità con cui descrive queste attività. Per lui e i suoi complici, era un gioco. Una competizione per vedere chi riusciva a ottenere l’accesso più prezioso o a penetrare l’infrastruttura più sicura. La posta in gioco—milioni di dollari in danni e il rischio per la sicurezza nazionale—sembrava non sfiorarli.
Le autorità, incluso l’FBI, hanno faticato non poco a rintracciare i membri del gruppo. L’uso di criptovalute per ricevere i pagamenti dei riscatti, combinato con tecniche avanzate di anonymizzazione del traffico internet, ha reso il loro inseguimento particolarmente complesso.
Sull’arresto di Urban abbiamo anche un commento di Adam Meyers, Head of Counter Adversary Operations, CrowdStrike.
“Gli arresti dei membri di SCATTERED SPIDER rappresentano un duro colpo per uno dei più pericolosi gruppi di eCrime attualmente attivi. Dalla sua comparsa nel 2022, SCATTERED SPIDER ha condotto campagne di ransomware ed estorsione sempre più aggressive colpendo diversi settori. Questa azione coordinata delle forze dell’ordine probabilmente indebolirà nel breve termine le operazioni di SCATTERED SPIDER. Ancora più importante, lancia un messaggio chiaro: i criminali informatici che ricorrono a estorsioni aggressive e provocano gravi disagi non sono affatto fuori portata. Ma non si tratta semplicemente di arresti – questa azione dimostra l’impatto che può avere una forte collaborazione tra settore pubblico e privato – quando forze dell’ordine e settore privato condividono informazioni e agiscono con decisione possiamo interrompere operazioni che stanno causando seri danni alle imprese a livello globale”
Ora, Urban è in attesa di giudizio, e le sue confessioni potrebbero avere implicazioni significative per molti casi legati alla cybersecurity. La sua storia è un monito per tutte le organizzazioni: la tecnologia più avanzata può essere resa inutile da una singola, ingenua, risposta umana.
Scattered Spider potrebbe essere stato smantellato, ma la sua eredità rimane. Dimostra che la cybersecurity non è più solo una questione di bit e byte, ma di psicologia e persuasione. E che la catena di sicurezza è forte solo quanto il suo anello più debole—che spesso è umano.