Il crimine informatico non è per nulla fantascienza
Nel 1995 Johnny Mnemonic immaginava un futuro cyberpunk fatto di corrieri di dati e megacorporazioni assetate di informazioni.
Nel 2023, con Billion Dollar Heist, la visione non è più così distopica: la realtà ha concretizzato e superato la fantasia.
Parliamo questa volta di un docu-thriller che racconta il clamoroso tentato furto di un miliardo di dollari ai danni della Banca Centrale del Bangladesh, orchestrato nel 2016 da un gruppo di cybercriminali ben strutturato, legato, secondo le indagini, alla Corea del Nord.
Nessun chip neurale, nessuna trama da science fiction. Solo ciò che oggi definiremmo gruppi cybercriminali sponsorizzati da stati, capaci di infiltrarsi nei sistemi bancari globali sfruttando debolezze tecniche, procedure lacunose e l’elemento più fragile: l’essere umano.
Il documentario ricostruisce passo passo il modus operandi degli attaccanti.
Prima il phishing mirato: email infette inviate a dipendenti chiave della banca, che hanno consentito di installare malware e aprire un varco nella rete interna.
Poi lo sfruttamento delle vulnerabilità: sistemi datati, scarsamente monitorati, che permisero un movimento laterale indisturbato.
Una volta garantosi l’accesso ai sistemi, il gruppo riuscì a compromettere il sistema di messaggistica SWIFT, l’ossatura del sistema finanziario internazionale, attraverso cui vengono gestiti miliardi di dollari al giorno.
La fase finale fu tanto semplice quanto devastante: inviare ordini di trasferimento per centinaia di milioni verso conti esteri, mascherati da operazioni legittime.
Il furto non fu completato solo grazie a una combinazione di casualità, tra cui un errore di battitura in una richiesta e controlli tardivi di alcune banche corrispondenti.
Cyber Temi: Non Fantascienza, Solo Routine Criminale
Il film sottolinea un punto cruciale: gli attaccanti non hanno usato tecniche ipertecnologiche o zero-day sofisticati. Il colpo è avvenuto con strumenti che ogni red teamer conosce bene:
- Phishing: email confezionate ad hoc, capaci di bypassare l’attenzione superficiale di dipendenti non formati.
- Vulnerabilità non patchate: software legacy e sistemi mai aggiornati.
- Assenza di controlli: procedure inesistenti o ignorate per la verifica di trasferimenti anomali.
- Mancanza di rilevazione: monitoraggio insufficiente delle reti interne e del traffico SWIFT.
Non super-hacker hollywoodiani, ma cybercriminali organizzati con disciplina.
Il Parallelo
La vicenda del Bangladesh Bank Heist non è isolata,come dimostrato in successivi scenari simili e sempre di più dai moderni conflitti internazionali:
- L’attacco a Colonial Pipeline (2021), dove un ransomware ha paralizzato l’infrastruttura energetica USA, dimostrando quanto un singolo punto di accesso (una VPN compromessa) possa generare un effetto domino nazionale.
- I casi di ransomware bancario in America Latina, dove intere istituzioni finanziarie si sono viste bloccare i sistemi ATM e richieste di riscatto multimilionario.
- Le supply chain attacks come quello a SolarWinds, che hanno dimostrato come colpire un fornitore critico equivalga a compromettere migliaia di clienti a cascata.
Il rischio è chiaro: il prossimo billion dollar heist non sarà un film, ma un incidente reale, ovviamente sempre che venga alla luce
Billion Dollar Heist: Un Manuale di Cyber Governance
Oltre al ritmo da thriller, la pellicola si può leggere come un manuale di cyber risk governance travestito da intrattenimento.
Le lezioni chiave:
- Cyber hygiene di base: patch management, segmentazione di rete, privilegi minimi.
- Formazione continua: la resilienza parte dalle persone, primo bersaglio dei phishing.
- Incident response: simulazioni, tabletop exercise, piani di recovery testati sul campo.
- Cultura aziendale: non basta la tecnologia, serve che ogni anello della catena comprenda il rischio.
Quello che emerge è che il vero tallone d’Achille non è solo la tecnologia, ma la mancanza di consapevolezza e gestione ai vertici delle organizzazioni.
Se Johnny Mnemonic anticipava concetti futuristici come la neurosecurity e i chip neurali oggi sviluppati da Neuralink di Elon Musk, Billion Dollar Heist ci mette davanti all’evidenza che il futuro è già qui. Non servono impianti cerebrali per rischiare la compromissione: bastano una mail infetta e procedure deboli.
Il documentario è un monito diretto a banche, aziende e governi: la fiducia nei sistemi finanziari globali è fragile e richiede un cambio di paradigma. Non è solo un film da guardare, ma una lezione da applicare, magari partendo dalla quotidianita.
Articolo in collaborazione con Lorenzo Raimondo, Managing Director di Observere
