Cyber criminal profiling

By Internal and eXternal FRAUD

A cura di Dr.ssa Monica Tessarolo Psicologa Psicoterapeuta e Criminologa CTU Tribunale di Monza, Azienda Ospedaliera ICP Milano, Studio medico-psicologico In Sesto (www.studioinsesto.com) Sesto San Giovanni.

Siamo nell’era sempre più avanzata della comunicazione telematica, con i social network che primeggiano abbattendo le barriere di tempo, spazio e relazione, pronti in ogni istante ad imbucare una e-mail oppure a leggere quella appena giunta dopo aver udito il trillo del black-barry; l’informazione è sempre a portata di mano grazie alla più grande enciclopedia universale mai concepita: la rete, dove un alto indice di interoperabilità contraddistingue le possibilità di contatto, nel privato e soprattutto nel mondo delle organizzazioni pubbliche e aziendali. Siamo connessi!

Accanto al fascino delle possibilità offerte dall’essere costantemente connessi, esiste anche un lato più “oscuro”, il cosiddetto  “rovescio della medaglia”: una minaccia costituita da un “sottobosco” di soggetti che incombe sul mondo telematico che sottende alle organizzazioni, grandi o piccole che siano.

Soggetti che operano dall’esterno (detti outsiders) costituiti da hachers, crackers, spie industriali; altri che operano dall’interno (insiders) delle organizzazioni, cioè impiegati, dirigenti o consulenti che si adoperano per perpetrare delle frodi o per sottrarre informazioni preziose. Infatti proprio coloro che meglio conoscono l’impalcatura del sistema di sicurezza poiché operanti all’interno, possono sottrarre con più facilità dati, informazioni a fini spesso anche privati.

 

Frequentemente i grandi attacchi esterni hanno visto la complicità di un insider all’azienda. Questo è il modo più insidioso e sotterraneo di attacco e può spesso arrecare i danni maggiori all’azienda frodata.

Insiders

Le aziende sono solite non sporgere denuncia verso i propri dipendenti e collaboratori al fine di tutelare la propria immagine pubblica, esorcizzando così cattiva pubblicità e scomode azioni sindacali. Spesso, nell’opinione pubblica, questi non sono ritenuti fatti socialmente gravi come i crimini violenti. L’azienda stessa tende ad utilizzare solo sanzioni disciplinari o banali trasferimenti così da mettere l’attaccante in condizioni di più non nuocere.

Pertanto oggi, un programma e un progetto solido di sicurezza informatica acquista un ruolo centrale e fondante la tutela dell’azienda  stessa, soprattutto se essa governa e maneggia dati sensibili e segreti. Pertanto, i responsabili della sicurezza delle Aziende hanno oggi il dovere di dotarsi di strumenti per difendersi dagli attacchi siano essi esterni ma anche interni.

Alcuni strumenti o metodologie possono essere senza dubbio vicariati dal mondo investigativo; il criminal profiling, per esempio, può dare un contributo importante e integrante alla sicurezza informatica.

Si tratta di una attività investigativa basata sull’analisi psico-comportamentale di colui che ha compiuto un determinato reato. In pratica si estrapolano le caratteristiche di personalità e di comportamento comparate con la scena del crimine e sul modus operandi del criminale. Il profiling consente infatti di realizzare un identikit socio-biografico, motivazionale e tecnologico dell’attaccante incanalando gli investigatori ai possibili autori di un reato. Queste preziose informazioni possono essere messe a disposizione anche del bagaglio culturale dei security manager delle Aziende.

Secondo l’autorevole fonte dell’Unità di Analisi del Crimine Informatico di Marco Strano l’origine dei comportamenti degli insider in azienda riguardano:

  1. Azioni deliberate e mirate ai fini di appropriazione, vendetta o rivalsa
  2. Azioni dovute a scarsa conoscenza delle norme
  3. Azioni dovute a scarsa consapevolezza dei danni provocati e provocabili
  4. Azioni dovute al calcolo della bassa probabilità di essere scoperti e poi denunciati
  5. Azioni derivate da una scarsa percezione del danno procurato alla vittima e delle eventuali sanzioni penali

Essi sono spesso dipendenti o consulenti scontenti, in contrasto con l’Azienda, non criminali, lontani cioè dal mondo del crimine.

Le motivazioni degli insiders possono essere di tipo:

  1. Psicopatologico (essere affetto da patologie psichiatriche correlate alla devianza e/o personalità a rischio “disonestà”.)
  2. Vandalica (arrecare smacco o sfregio all’azienda)
  3. Appropriativa ( Impossessarsi di un bene o privilegi)
  4. Vantaggi personali (tornaconto personale)
  5. Danno all’Azienda (danneggiare deliberatamente l’azienda)
  6. Danno ad un superiore o parigrado (danneggiare colleghi sabotando dei dati)
  7. Sfida nei confronti del sistema (attaccare un sistema considerato sbagliato)

I reati degli insiders possono riguardare:

  1. Grandi frodi ai danni dell’Azienda (agevolare soggetti esterni alla fruizione di un servizio)
  2. Piccole frodi ai danni dell’Azienda (modificare giorni di ferie, rimborsi spese)
  3. Sabotaggi interni (distruzione e danneggiamento hardwere e softwere)
  4. Acquisire informazioni  aziendali per scopi personali (ottenere cioè vanataggi personali)
  5. Utilizzare sistemi aziendali per scopi personali (e-mail, web, scrittura, videogames)
  6. Violazione della privacy verso clienti dell’Azienda
  7. Favoreggiamento alla concorrenza (spionaggio industriale)

Outsiders

Allo stesso modo è possibile mutuare e confrontare il criminal profiling con l’hacking: attacchi informatici e crimini seriali hanno in comune il fatto di essere “in serie”. Ma spiccano maggiormente le differenze che rendono il mondo dell’hacking complesso e multi sfaccettato: le tecniche di attacco si adattano al sistema che intendono forzare, strategie e metodologie di attacco hanno motivazioni differenti rispetto agli offenders, e soprattutto la scena del crimine non è uno spazio fisico bensì un astrazione elettronica dove all’analisi del Dna e alle tracce si sostituisce l’analisi del sistema violato in una dimensione di cyberspazio dove l’autore non espropria la vittima di un bene ma questo, venendo copiato, per esempio, continua a risiedere nel sistema stesso.

Il profilo dell’ hacker:

Dall’analisi personale di Chiesa Ciappi Ducci:

  1. Prevalenza maschile fino al 2000 poi anche femminile
  2. Età: si inizia teen ager per proseguire fino all’età adulta (fulcro 30-35 anni)
  3. Provenienza centri urbani
  4. Personalità creative o ribelli ma anche timide e schive
  5. Situazioni familiari disagiate e problematiche (genitori assenti, deceduti, divorziati,psicopatologici). Rapporti conflittuali o inesistenti
  6. Problemi di abbandono nell’infanzia e nell’adolescenza che porta a legami instabili con percezione di scarso potere che poi in rete viene enfatizzato come via di fuga
  7. QI medio alto, creatività e abilità di problem solving
  8. Personalità carismatiche e manipolatorie, orgogliosi, si vantano dei raggiri. Altri sono paranoici e insicuri e vivono in società segrete
  9. Alta autostima che va continuamente nutrita con attacchi sempre più efferati
  10. Presenza di più personalità già dal nickname rispecchia un’altra identità
  11. Può essere correlato ad abuso di sostanze e sintomi psichiatrici (paranoia, insonnia, depressione, mania)
  12. Ribellione verso l’autorità considerata incapace ed inferiore
  13. Le motivazioni dell’hacker: curiosità intellettuale, amore per la tecnologia, divertimento e gioco, rendere sicuro il mondo PC, lotta per la libertà, ribellione, conflitto con autorità, noia, spirito di avventura o possesso, attirare attenzione, diventare famoso, rabbia  frustrazione, ragioni politiche, fuga dalla società o dalla famiglia.

 

In conclusione, nel contatto cosiddetto di tecno mediazione riferito sia agli insiders che agli outsiders scompare infatti la relazione diretta tra autore e vittima di reato diminuendo così notevolmente la percezione degli effetti negativi sulla vittima, aumentando la distribuzione dell’area di illegalità. La tecno mediazione infatti favorisce dei veri e propri errori nella percezione cognitiva dei soggetti e nella loro consapevolezza del computer crime come il non essere scoperti, l’impunità, il basso impatto di sanzione sociale, scarsa conoscenza delle norme che regolano la sicurezza informatica.

Per prevenire il computer crime occorre quindi migliorare le tecnologie della sicurezza informatica, formare il personale alla cultura della legalità e della sicurezza informatica, incentivare la ricerca scientifica in materia, creare una banca dati dei crimini informatici inside, avere maggiore accuratezza nella selezione del personale avvalendosi di esperti nel settore.

 

BIBLIOGRAFIA

Strano M. Bruzzone R.  Battelli F. Criminal profilers degli Insiders ICT Security luglio 2005

Chiesa R. Ciappi S. Ducci S. Hackers profiling Project La scienza del Criminal profiling Applicata al mondo del Hacking di N. Bressan

Strano M. Insiders UACI Unità di Analisi sul crimine informatico

 

SITOGRAFIA

www.criminologia.org
www.aisic.it