La DDA di Milano ha messo in luce un vasto sistema di hacking che ha preso accesso ai dati custoditi nel Sistema di Indagine Interforze, il cuore dei database del Viminale tramite un Remote Access Trojan. Contrariamente a quanti molti pensano, i trojan non sono virus informatici, perché non hanno capacità di replicarsi: i trojan, spesso noti come trojan horse, rappresentano una delle forme più insidiose di malware (contrazione di malicious software, “software malevolo”), in quanto hanno la peculiarità di mascherarsi da file o programmi apparentemente innocui. A differenza di altri malware che si propagano autonomamente, come i virus, i trojan richiedono l'intervento umano per essere installati. I criminali informatici usano tattiche di ingegneria sociale come il phishing, facendo leva sulla fiducia dell’utente per indurlo a scaricare il file infetto, che può essere nascosto in programmi gratuiti, allegati e-mail, videogiochi, applicazioni e film. Una volta avviato, il trojan agisce in silenzio, permettendo agli hacker di rubare dati, accedere a dispositivi o lanciare attacchi su vasta scala.
Cosa sono i trojan e come agiscono
La metafora del cavallo di Troia della mitologia greca rispecchia perfettamente l'approccio subdolo di questo malware. Così come il mitologico cavallo di legno fu utilizzato per introdurre i soldati greci dentro le mura della città di Troia, i trojan sono progettati per infiltrarsi nei dispositivi e aprire una “porta” agli attacchi. Tecnicamente i trojan appartengono alla famiglia dei malware, così come i virus: rispetto a questi ultimi, però, non hanno la capacità di replicarsi e infiltrarsi in altri sistemi, per cui è corretto dire che i trojan non sono virus. Questo è bene chiarirlo fin da subito, visto che spesso ci si riferisce erroneamente ai trojan come ai “virus trojan”.
A differenza dei virus, infatti, i trojan non si replicano automaticamente: richiedono infatti l'intervento dell'utente, che svolge un ruolo attivo nell’installazione del software dannoso. I trojan si presentano sotto forma di file eseguibili (come “.exe”, “.bat”, “.js” e simili), ma spesso camuffano la loro vera natura usando stratagemmi specifici. Un esempio alquanto “classico” è rappresentato dal file contenente il trojan che viene rinominato con estensioni multiple, ad esempio “NomeDocumento.txt.exe”. Così facendo, l’estensione finale “.exe” non compare all'utente, visto che Windows, per impostazione predefinita, nasconde alcune estensioni di file. Di conseguenza, il file si mostrerà come “.txt” (o simile), spingendo gli utenti ad aprirlo, ignari del suo contenuto malevolo.
Una volta installato, il trojan può rimanere nascosto, sfruttando il dispositivo per rubare informazioni, eseguire operazioni in background o farlo diventare parte di una botnet. Quest’ultima è una rete di computer infetti controllata da remoto per scatenare attacchi, come lo spam o il furto di dati su scala globale. A seconda delle azioni che vanno a eseguire i criminali informatici tramite i trojan, questi possono essere classificati in categorie ben specifiche. Tra le principali, ricordiamo:
- Backdoor trojan: questi trojan creano una “backdoor” sul dispositivo della vittima, garantendo agli aggressori un accesso non autorizzato tramite la “porta di servizio” aperta dal trojan. Questa backdoor consente loro di controllare il sistema, rubare dati e introdurre altro malware.
- Trojan downloader: lo scopo principale di questo tipo di trojan è scaricare contenuti aggiuntivi, ad esempio altro malware, sul sistema infettato.
- Trojan infostealer: come suggerisce il nome, questo tipo di trojan ruba dati sensibili dal computer della vittima, ad esempio password, informazioni bancarie, file personali, etc.
- RAT (Remote Access Trojan): questo trojan fornisce all'aggressore il controllo completo sul dispositivo della vittima, trasformandolo di fatto in uno strumento che può essere sfruttato a scopo di spionaggio dai criminali informatici, come accaduto recentemente con la piattaforma digitale avanzata Beyond, usata per spiare 800.000 persone, tra cui molti politici italiani.
- Trojan con attacco DDoS (Distributed Denial of Service): questi trojan eseguono attacchi DDoS, inondando una rete di traffico per sopraffarla e bloccarla.
Come proteggersi dai trojan e come eliminarli da computer o smartphone
Per proteggere i vostri dispositivi dai trojan, è importante adottare alcune precauzioni fondamentali. Prima di tutto, mantenete sempre aggiornato il sistema operativo e il software: i criminali informatici spesso sfruttano vulnerabilità note, che vengono corrette dagli sviluppatori con il rilascio di aggiornamenti e patch di sicurezza varie.
Oltre a ciò, vi suggeriamo di scaricare app solo da fonti ufficiali, come il Play Store di Android, l'App Store di iPhone, iPad e Mac, il Microsoft Store di Windows o, eventualmente, il sito ufficiale dello sviluppatore del software che intendete installare sul vostro PC, come già suggerito nei nostri approfondimenti su come proteggere lo smartphone dagli attacchi informatici e come proteggere il computer dagli hacker.
È fondamentale anche utilizzare un antivirus affidabile e mantenerlo aggiornato, così da poter scansionare periodicamente il sistema e rilevare eventuali anomalie. Inoltre, attivare un firewall offre un ulteriore livello di protezione, bloccando gli accessi non autorizzati alla Rete.
Che dire se nutrite il sospetto di avere un trojan (magari perché avete scaricato contenuti da Internet senza fare troppa attenzione)? Per prima cosa, dovete scollegare il dispositivo da Internet per impedire che il malware comunichi con eventuali server remoti. A questo punto, eseguite una scansione completa del sistema con il vostro antivirus ed eliminate i file infetti.