Alcuni, per ora sconosciuti, attaccanti hanno colpito due delle principali banche canadesi, sottraendo informazioni finanziarie riguardo oltre 90.000 clienti. Una delle due banche sotto attacco è la Bank of Montreal (BMO), una delle 4 più importanti banche prestatrici di credito, con oltre 8 milioni di clienti. La banca ha rilasciato una nota ufficiale nella quale afferma di essere stata contattata dagli attaccanti che hanno rivendicato il possesso di informazioni personali e finanziare di circa 50.000 clienti. Paul Gammal, portavoce della BMO, ha dichiarato:

 

"Abbiamo preso provvedimenti immediatamente quando si è verificato l'incidente e siamo certi che i dati esposti siano stati indentificati e messi al sicuro". Ha rivelato inoltre che l'attacco è stato seguito dalla minaccia di rendere pubblici i dati sottratti in caso di mancato pagamento di un riscatto. 

 

Si ritiene, ma le indagini sono ancora in corso, che l'attacco sia originato da una località estera e abbia forti somiglianze con un altro attacco avvenuto ai danni della Simplii Financial, una banca online. La Domenica precedente all'attacco alla BMO infatti, la Simplii Financial,  marchio ufficiale della Canadian Imperial Bank of Commerce, ha informato i clienti di aver subito un attacco che ha comportato il furto dei dati di oltre 40.000 clienti. Micheal Martin, Vice Presidente della Simplii Financial, ha affermato che la banca sta raccogliendo informazioni sull'attacco e sugli effetti dello stesso e implementando già misure di sicurezza aggiuntive. Ha anche annunciato un rimborso pari al 100% delle perdite subite dalle vittime. 

 

Va sottolineato come gli attaccanti abbiano richiesto 1 milione di dollari ad ognuno degli istituti bancari. Nell'email di rivendicazione inviata alle banche, gli attaccanti hanno minacciato di vendere le informazioni nel dark-web se le banche non avessero pagato il riscatto entro le 23:59. Sempre nel testo gli attaccanti spiegavano di aver usato un algoritmo per generare numeri di account autentici, grazie ai quali si sono abilitati come rappresentanti legittimi e titolari di conti: grazie a questo hanno potuto iniziare la procedura di recupero password, resettando password e domande di sicurezza e ottenendo l'accesso ai conti. Insomma l'attacco è stato possibile a causa degli eccessivi permessi concessi ad account semi-autenticati. 

 

L'email conteneva anche un estratto dei dati sottratti, ovvero i dati di un uomo e di una donna, residenti in Ontario: tra questi il numero di assicurazione sociale (SIN), la data di nascita, il totale di fondi presenti nel conto e altre informazioni personali. La banca ha così contattato la donna, che ha confermato la veridicità dei dati indicati nella email: la riprova che non si tratta affatto di un bluff. L'uomo invece, contattato il giorno successivo, ha fatto sapere di aver subito un trasferimento di fondi di circa 980 dollari dal suo account presso la Simplii Financial. Frattanto la Bank of Canada ha allertato l'intero sistema bancario nazionale, invitando a rafforzare la sicurezza informatica dei propri database ed ad informare immediatamente le autorità in caso di attacco. 

Secondo alcuni ricercatori di sicurezza l'attacco non deve vedersi tanto finalizzato alla sottrazione di dati per compiere operazioni o attivare conti o acquistare prodotto sfruttando nominativi e fondi delle vittime, quanto per ricattare gli istituti bancari stessi: non è infatti pratica comune quella di avvisare una azienda della sottrazione dei dati, dato che l'avviso rende immediatamente inutili i dati stessi, i conti finiscono bloccati e così via... Probabilmente gli attaccanti si sono limitati a dare una prova di forza finalizzata a ricattare la banca e guadagnare non dai conti dei clienti, ma dal riscatto stesso. 

 

L'FBI anche in questa occasione ha ribadito che è del tutto sconsigliabile pagare il riscatto: il susseguirsi però di attacchi di tale genere ha indotto moltissime vittime a pagare. In effetti l'FBI ha affermato che questo tipo di ricatto è uno degli schemi di cyber-crime più efficace. L'altro è il ransomware. Tutto ciò è stato enormemente aiutato dalle criptovalute (Monero, Ethereum, Dash, Litecoin ecc...) dato che queste "valute" permettono agli attaccanti di ricevere in maniera anonima i soldi dalle proprie vittime, rimanendo quindi ben nascosti. Anzi, secondo l'FBI, i miliardi di dollari di Bitcoin sono dovuti principalmente a questi schemi di ricatto. In ogni caso l'FBI ha ribadito anche in questa occasione che se le aziende disponessero di pratiche di sicurezza migliori e se si impegnassero a non pagare mai un riscatto ad un aggressore, tutto ciò non sarebbe possibile: in ogni caso non è neppure detto che rifiutarsi di pagare comporti necessariamente costi superiori rispetto al pagare. Al contrario ci sono perfino casi conclamati di aziende che accumulano criptovaluta per essere pronti immediatamente a pagare in caso di cyber attacco con richiesta di riscatto. In sunto, nell'evidenza che sono ben pochi ad ascoltare il consiglio dell'FBI, cedere e pagare il riscatto non fa altro che rafforzare la catena del cyber ricatto.