Social engineering: You are the target!

"Internet usufuisce di tecnologie complesse ma poggia su standard condivisi e "aperti". Ad oggi, questa apertura ha favorito la creazione di un'immensa piattaforma di comunicazione consentendo quotidianamente a più di un miliardo e mezzo di utenti (con crescita annua oltre il 15%) di scambiarsi una pluralità di servizi. Purtroppo questo stesso vantaggio di rete "aperta" la rende anche fortemente vulnerabile a obiettivo preferito di ogni genere di criminalità.
(Dall'intervento di Stefano Grassi, Direttore Tutela Aziendale, Gruppo Poste italiane, alla Information Warfare Conference. Roma, 2010)

Chi detiene, gestisce e accede alle informazioni deve avere una totale consapevolezza del valore strategico di ogni singolo dato e dei rischi di un'esposizione continua, anche se involontaria, delle proprie informazioni a individui sconosciuti. La realtà dei social network, ad esempio, rivela invece la grande leggerezza con la quale sempre più persone rivelano informazioni personali: spesso è proprio da qui, dalle informazioni private di singoli individui, che prendono avvio attacchi informatici ad aziende anche di grandi dimensioni.

Gli attacchi ai sistemi informatici hanno avuto un significativo incremento dopo il 2007. Alcuni casi eclatanti.
Nel maggio 2007 in Estonia (uno dei Paesi più informatizzati al mondo) un sofisticato e prolungato attacco informatico ha bloccato i principali servizi finanziari, governativi e alcune infrastrutture critiche. Il Paese è stato isolato da internet per quasi 20 giorni. L'attacco è stato definito come il primo esempio di Cyber War.




Gli attacchi informatici si sviluppano attraverso due principali direttrici iniziali, spesso combinate fra loro.
1) sfruttamento delle vulnerabilità dei sistemi ICT
2) sfruttamento della disponibilità, buona fede e negligenza degli utenti di sistemi e applicazioni (social engineering)
A fronte di una sempre maggiore attenzione alla sicurezza dei sistemi di protezione da parte dei produttori di software e ai sempre maggiori investimenti di risorse economiche da parte delle organizzazioni, il cyber crime si rivolge sempre più spesso all'anello debole della catena di sicurezza: le persone, che continuano a restare non sufficientemente addestrate.

Due semplici statistiche possono dimostrare quanto il fattore umano sia importante:
Zulfikar Ramzan, direttore tecnico della Symantec Security Response ha affermato che oltre il 90% dei malware che i sistemi Symantec catturano utilizzano necessariamente l'interazione umana per infettare i computer. Per interazione umana egli intende il fatto che la persona debba cliccare un link, aprire un allegato o inserire un dispositivo USB.
Madiant è una società di consulenza per la sicurezza altamente attendibile che lavora principalmente per l'industria militare statunitense. Una delle principali minacce che ha affrontato è l'insidiosissimo APT (Advanced Persistent Threat), riscontrando come nella maggior parte dei casi questo prenda avvio attraverso il coinvolgimento dell'utente umano. Nella maggior parte dei casi, il metodo era una spear phishing.



Lo spear phishing è un metodo di attacco basato sulla social engineering: sfrutta cioè la disponibilità collaborativa della persona umana e la sua relativa incapacità di valutare rapidamente e correttamente i rischi invece della vulnerabilità del sistema informatico.
Classico esempio l'anonimo che telefona ad una segretaria fingendosi tecnico della linea telefonica e chiedendo la password di rete per evitare di doverla disconnettere per lavori in corso. In particolare, lo spearphishing è l'arte di fingersi un dipendente o un personaggio interno all'azienda per estrapolare dati sensibili ed informazioni importanti altrimenti riservate. Lo spearphishing diventa micidiale se praticato da aziende concorrenti, alla ricerca di idee da copiare o tendenze da anticipare. Per non parlare poi di un'eventuale applicazione in ambito finanziario, dove si potrebbero capire in anticipo mosse ed andamento di alcune realtà azionarie.
I social network, in particolare quelli professionali, come LinkedIn, costituiscono una fonte formidabile di informazioni per individuare le vittime iniziali degli attacchi. Attraverso le informazioni acquisite e una credibilità artificialmente costruita è possibile accedere a dati riservati o inviare e-mail contenenti allegati o link in grado di installare malware sul computer bersaglio.
Un attacco basato su spearphishing ha una percentuale di successo estremamente elevata.
Uno dei massimi esperti della National Security Agency, Aaron Ferguson, ha inviato una e-mail a 500 cadetti dell'accademia militare di West Point fingendosi un certo Col. Robert Melville. Il messaggio invitava i destinatari ad aprire un allegato per verificare voti di un test. Oltre l'80% dei militari ha aperto il contenuto del messaggio, che invece del testo atteso notificava come l'azione compiuta avrebbe potuto provocare il download di spyware, cavalli di Troia, o altro malware.
Norton by Symantec su Spear Phishing - Web site






25 Mar 2017 -- Written by SA Staff      Tweet