Gli hacker si dividono in 3 categorie principali in base alle loro motivazioni e tattiche:

• Hacker malintenzionati che operano con l'intento di causare danni

• Hacker etici che operano per proteggere le aziende dai danni

• Gli hacker vigilanti o "gray hat" che sfumano la linea di confine tra hacking "buono" e "cattivo" 

Gli hacker malintenzionati (talvolta chiamati "black hat hacker") sono criminali informatici che operano per scopi malvagi, danneggiando le loro vittime per un guadagno personale o finanziario. 

Alcuni hacker malintenzionati conducono direttamente attacchi informatici, mentre altri sviluppano codice dannoso o exploit da vendere ad altri hacker sul dark web. (Vedi, ad esempio, gli accordi di ransomware as a service.) Possono lavorare da soli o come parte di una banda ransomware, di un giro di truffe o di altri gruppi organizzati.

Il denaro è la motivazione più diffusa per gli hacker malintenzionati. Generalmente, infatti, guadagnano:

• Sottraendo dati sensibili o personali,come credenziali di accesso, numeri di carte di credito, numeri di conto bancario, numeri di previdenza sociale, che possono vendere o utilizzare per entrare in altri sistemi e commettere furti di identità.

  Secondo l'IBM X-Force Threat Intelligence Index, l'esfiltrazione dei dati è la conseguenza più comune degli attacchi informatici e si verifica nel 32% degli attacchi.

• Praticando l'estorsione, ad esempio utilizzando attacchi ransomware o DDoS (Distributed Denial of Service) per tenere in ostaggio dati, dispositivi oppure operazioni aziendali finché la vittima non paga un riscatto. L'estorsione, che si verifica nel 24% degli incidenti, è il secondo impatto più comune degli attacchi secondo il Threat Intelligence Index. 

• Effettuando spionaggio aziendale su commissione, sottraendo proprietà intellettuali o altre informazioni riservate ai concorrenti delle aziende clienti.

A volte, gli hacker malintenzionati sono spinti da altre motivazioni oltre al denaro. Ad esempio, un dipendente scontento potrebbe violare il sistema del datore di lavoro semplicemente per rivalsa dopo una promozione negata.

Gli hacker etici ("white hat hacker") utilizzano le loro competenze informatiche per aiutare le aziende a individuare e correggere le vulnerabilità di sicurezza, in modo che gli attori delle minacce non possano sfruttarle.

L'hacking etico è una professione legittima. Gli hacker etici lavorano come consulenti di sicurezza o come dipendenti delle aziende che violano. Per risultare affidabili e dimostrare le proprie capacità, gli hacker etici ottengono certificazioni da organismi come CompTIA e EC-Council e seguono un rigido codice di condotta. Ottengono sempre il permesso prima di operare, non causano danni e mantengono riservate le loro scoperte. 

Uno dei servizi di hacking etico più comuni è il penetration testing, noto anche come “pen testing”, durante il quale gli hacker simulano attacchi informatici contro applicazioni web, reti o altre risorse per individuarne le vulnerabilità. Quindi collaborano con i proprietari degli asset per correggere queste debolezze. 

Gli hacker etici possono anche condurre valutazioni delle vulnerabilità, analizzare il malware per raccogliere threat intelligence o partecipare a cicli di vita di sviluppo software sicuri. 

Gli hacker "gray hat", o "grey hat", non rientrano esattamente nel campo degli hacker etici o malintenzionati. Questi vigilanti si introducono nei sistemi senza autorizzazione, ma lo fanno per aiutare le organizzazioni che violano e talvolta per ottenere qualcosa in cambio.

Il nome "gray hat" fa riferimento al fatto che questi hacker operano in una zona grigia dal punto di vista morale. Informano le aziende dei difetti che trovano nei loro sistemi e potrebbero offrirsi di correggere queste vulnerabilità in cambio di un compenso o addirittura di un lavoro. Pur avendo buone intenzioni, possono accidentalmente segnalare agli hacker malintenzionati nuovi vettori di attacco.  

Alcuni programmatori dilettanti hackerano semplicemente per divertimento o per imparare cose nuove o per acquisire notorietà per aver violato obiettivi difficili. Ad esempio, l'ascesa dell'AI generativa ha portato a un'ondata di hacker AI dilettanti che si cimentano nel jailbreaking dei modelli AI per far sì che riescano a fare cose nuove.

Gli "hacktivisti" sono hacker attivisti che violano i sistemi per attirare l'attenzione su questioni sociali e politiche. Il collettivo Anonymous è probabilmente il gruppo di hacktivisti più noto, che ha organizzato attacchi contro obiettivi di alto profilo come il governo russo e le Nazioni Unite.

Gli hacker sponsorizzati dallo stato hanno il sostegno ufficiale di un Paese. Collaborano con un governo per spiare gli avversari, interrompere infrastrutture critiche o diffondere disinformazione, spesso in nome della sicurezza nazionale.

A seconda dei punti di vista, questi hacker possono essere considerati etici o malintenzionati. Prendiamo ad esempio l'attacco Stuxnet agli impianti nucleari iraniani, ritenuto opera dei governi degli Stati Uniti e di Israele. Chiunque consideri il programma nucleare iraniano una minaccia alla sicurezza potrebbe considerare quell'attacco etico.

In definitiva, ciò che un hacker fa è ottenere l'accesso a un sistema in un modo che i progettisti del sistema non avevano previsto. Il modo in cui lo fa dipende dagli obiettivi e dai sistemi che prende di mira. 

Un attacco informatico può essere semplice come l'invio di e-mail di phishing per rubare le password di chiunque cada nella trappola, oppure complesso come una minaccia persistente avanzata (APT) che si nasconde in una rete per mesi.

Alcuni dei metodi di hacking più comuni includono:

•  Sistemi operativi specializzati  
•  Scanner di rete
•  Malware
•  Ingegneria sociale
•  Furto di credenziali e abuso di account 
•  Attacchi che sfruttano l'AI
•  Altri attacchi

Sebbene sia possibile utilizzare sistemi operativi Mac o Microsoft standard per condurre un attacco informatico, molti hacker utilizzano sistemi operativi (OS) personalizzati ricchi di strumenti di hacking su misura come cracker di credenziali e scanner di rete.

Ad esempio, Kali Linux, una distribuzione Linux open source progettata per i test di penetrazione, è popolare tra gli hacker etici.  

Gli hacker utilizzano vari strumenti per conoscere i loro obiettivi e identificare i punti deboli che possono sfruttare.

Ad esempio, i packet sniffer analizzano il traffico di rete per determinare da dove proviene, dove si sta dirigendo e quali dati contiene. I port scanner testano i dispositivi da remoto per verificare la presenza di porte aperte e disponibili a cui gli hacker possono connettersi. I vulnerability scanner cercano nei sistemi vulnerabilità note che potrebbero consentire agli hacker di trovare rapidamente le vie d'accesso a un determinato obiettivo. 

Il software dannoso, o malware, è un'arma fondamentale negli arsenali degli hacker malintenzionati. Secondo l'X-Force Threat Intelligence Index, il 43% degli attacchi informatici è causato da malware. 

Alcuni dei tipi di malware più comuni includono: 

• Il ransomware blocca i dispositivi o i dati di una vittima e richiede il pagamento di un riscatto per sbloccarli.
   

• Le botnet sono reti di dispositivi connessi a internet e infettati da malware sotto il controllo di un hacker. Il malware botnet spesso prende di mira i dispositivi Internet of Things (IoT) a causa delle loro protezioni generalmente deboli. Gli hacker utilizzano botnet per avviare attacchi Distributed Denial of Service (DDoS). 
  

• I trojan horse si mascherano da programmi utili o si nascondono all'interno di un software legittimo per indurre gli utenti a installarli. Gli hacker utilizzano i trojan per ottenere segretamente l'accesso remoto ai dispositivi o scaricare altri malware a insaputa degli utenti.   

• Lo spyware raccoglie segretamente informazioni sensibili, come password o dati di conti bancari, e le ritrasmette all'aggressore.  

  Il malware Infostealing è diventato particolarmente popolare tra i criminali informatici, perché i team di sicurezza informatica hanno imparato a contrastare altri ceppi comuni di malware. Il Threat Intelligence Index ha rilevato che l'attività degli infostealer è aumentata del 266% nel periodo 2022-2023. 

Gli attacchi di ingegneria sociale inducono le persone a inviare denaro o dati agli hacker o a concedere loro l'accesso a sistemi sensibili. Tattiche comuni di ingegneria sociale includono:

• Attacchi di phishing, come truffe di business e-mail compromise, che utilizzano e-mail o altri messaggi fraudolenti.  

• Attacchi di spear phishing che prendono di mira individui specifici, spesso utilizzando i dettagli delle loro pagine pubbliche sui social media per guadagnare la loro fiducia. 

• Attacchi di baiting, in cui gli hacker collocano unità USB infette da malware in luoghi pubblici. 

• Attacchi scareware , che usano l'intimidazione per costringere le vittime a fare ciò che l'hacker vuole.

Gli hacker sono sempre alla ricerca della via più semplice e, in molte reti aziendali, ciò significa rubare le credenziali dei dipendenti. Secondo l'X-Force Threat Intelligence Index di IBM, l'abuso di account validi è il vettore di attacco informatico più comune, responsabile del 30% di tutti gli incidenti.

Armati delle password dei dipendenti, gli hacker possono spacciarsi per utenti autorizzati e aggirare i controlli di sicurezza. Gli hacker possono ottenere le credenziali degli account in vari modi. 

Possono utilizzare spyware e infostealer per raccogliere password o indurre gli utenti a condividere le informazioni di accesso attraverso l'ingegneria sociale. Possono utilizzare strumenti di cracking delle credenziali per lanciare attacchi brute-force, testando automaticamente le potenziali password fino a quando una non funziona, o persino acquistare credenziali precedentemente rubate sul dark web.  

Proprio come i difensori ora usano l'intelligenza artificiale (AI) per combattere le minacce informatiche, gli hacker stanno la stanno utilizzando per colpire i loro obiettivi. Questa tendenza si manifesta in due modi: gli hacker che utilizzano strumenti di AI sui loro obiettivi e gli hacker che puntano alle vulnerabilità delle app di AI.

Gli hacker possono utilizzare l'AI generativa per sviluppare codice dannoso, individuare vulnerabilità e creare exploit. In uno studio, i ricercatori hanno scoperto che un modello linguistico di grandi dimensioni (LLM) disponibile al pubblico come ChatGPT può sfruttare le vulnerabilità one-day nell'87% dei casi (link esterno a ibm.com). 

Gli hacker possono anche utilizzare gli LLM per scrivere email di phishing in una frazione del tempo: cinque minuti contro le 16 ore necessarie per redigere la stessa e-mail manualmente, secondo l'X-Force Threat Intelligence Index.  

Automatizzando parti significative del processo di hacking, questi strumenti di AI possono abbassare la barriera all'ingresso nel campo dell'hacking, con conseguenze sia positive che negative.  

• Possono infatti incidere negativamente consentendo agli hacker "buoni" di aiutare le organizzazioni a rafforzare le loro difese e migliorare i loro prodotti.
  
  
• Possono però anche incidere negativamente, offrendo agli hacker malintenzionati la possibilità di lanciare attacchi sofisticati senza competenze tecniche avanzate, ma semplicemente sapendo come muoversi in un LLM.

Per quanto riguarda l'espansione della superficie di attacco dell'AI, la crescente adozione delle app di AI offre agli hacker più modi per danneggiare aziende e individui. Ad esempio, gli attacchi di data poisoning possono degradare le prestazioni dei modelli AI introducendo dati di bassa qualità o intenzionalmente distorti nei loro set di addestramento. Le prompt injection utilizzano prompt dannosi per indurre gli LLM a divulgare dati sensibili, distruggere documenti importanti e non solo.

• Gli attacchi man-in-the-middle (MITM), noti anche come adversary-in-the-middle (AITM), coinvolgono gli hacker che intercettano comunicazioni sensibili tra due parti, come e-mail tra utenti o connessioni tra browser web e server web.

  Ad esempio, un attacco di spoofing DNS reindirizza gli utenti da una pagina web legittima a una controllata da un hacker. L'utente pensa di trovarsi sul sito reale e l'hacker può rubare segretamente le informazioni che condivide.

• Gli attacchi di injection, come il cross-site scripting (XSS), utilizzano script dannosi per manipolare app e siti web legittimi. Ad esempio, in un attacco SQL injection, gli hacker fanno in modo che i siti web divulghino dati sensibili inserendo comandi SQL nei campi di input dell'utente rivolti al pubblico.

• Gli attacchi fileless, detti anche "living off the land", sono una tecnica in cui gli hacker utilizzano risorse già compromesse per muoversi lateralmente attraverso una rete o causare ulteriori danni. Ad esempio, se un hacker accede all'interfaccia a riga di comando di una macchina, può eseguire script dannosi direttamente nella memoria del dispositivo senza lasciare molte tracce.