Non vi è alcuna particolare sottigliezza né sfumatura in un attacco DDoS: la console per la gestione degli incidenti si illumina come un albero di Natale, scattano tutti gli allarmi che segnalano il fermo o il rallentamento della rete, gli utenti del sistema e i relativi responsabili iniziano a inoltrare messaggi in preda al panico perché l’attività è bloccata. Chiunque ne sia vittima si interroga: chi mai avrebbe dovuto farci questo? Si tratterà di una cyber-estorsione? Un concorrente sleale? Hacktivisti che cercano di mandare un messaggio?
La realtà può essere molto più complessa rispetto a ciò che le apparenze suggeriscono. Un attacco DDoS può costituire infatti un paravento per nascondere attività assai più dannose come furti o frodi. Mentre si lavora affannosamente per mitigare l’attacco DDoS e riportare online le applicazioni critiche, i cyber-criminali potrebbero essere in azione sotto traccia per cercare di entrare nei sistemi presi di mira e darsi ad attività ben più pericolose. Per esempio:
- Degli hacker hanno bombardato Carphone Warehouse con traffico online mentre stavano sottraendo i dati personali e bancari di 2,4 milioni di clienti.
- Il cloud provider Linode ha recentemente subìto più di 30 attacchi DDoS che sono sembrati essere una finta per distrarre l’attenzione da una effrazione di account utenti.
- Già nel 2011 alcuni hacker erano ricorsi ad attacchi Denial of Service di enormi dimensioni per distrarre il team IT di Sony mentre venivano sottratte le informazioni di milioni di clienti.
- Il FFIEC (Federal Financial Institutions Examination Council) americano ha messo in allerta le banche circa l’utilizzo di attacchi DDoS come tattica diversiva “da parte di criminali che intendano commettere frodi usando credenziali sottratte a clienti o dipendenti della banca per eseguire trasferimenti di denaro illeciti”.
Questi attacchi condotti a scopo diversivo sono in aumento, probabilmente dal momento che il software utilizzato per lanciare attacchi DDoS è facilmente reperibile. Lo studio 2016 Worldwide Infrastructure Security Report pubblicato da Arbor Networks ha interpellato oltre 350 tra aziende e service provider scoprendo che il 26% degli attacchi DDoS non è stato altro che un paravento per nascondere una sottrazione di dati o un ingresso illecito nei sistemi. L’anno precedente questo dato era al 16%, quindi è stato verificato un incremento del 61%. Questi risultati hanno trovato eco in un recente report di Kaspersky Labs che sottolineava come il 26% degli attacchi DDoS abbia portato alla perdita di dati sensibili.