#OpenSicurezza

Cybercrime: non aiutiamo i criminali regalando le nostre informazioni

Lo è una truffa via e-mail diretta ad una persona, un gruppo specifico o un’organizzazione. Ad esempio una banca, un’azienda, un ufficio governativo, ecc. A differenza del phishing, che è un invio massivo ed  indiscriminato di mail fasulle effettuato con lo scopo di “sparare nel mucchio”, la mail di Spear Phishing viene inviata ad un bersaglio preventivamente identificato come ad esempio un utente con particolari accessi o funzioni aziendali.

Lo scopo dello Spear Phishing è ottenere l’accesso non autorizzato ai dati sensibili a disposizione della vittima o ad un computer all’interno dell’organizzazione dal quale lanciare l’attacco vero e proprio. Un esempio di attacco Spear Phishing è il virus Carbanak, del quale Kaspersky ha pubblicato lo scorso anno un’analisi effettuata a seguito dell’infezione, da parte di un gruppo criminale, di circa 100 istituti bancari con sedi in vari Paesi.

Questo attacco è stato effettuato puntando specificatamente alle banche perché è il posto dove si trova il denaro, ma la tecnica è la medesima che viene impiegata per colpire qualunque tipologia di bersaglio, azienda o governo che sia.

Nel caso in esame l’infezione è partita tramite la ricezione di una e-mail di Spear Phishing con un link ad un sito infetto o con allegati documenti contenenti macro che sfruttano una vulnerabilità Office al fine di installare il virus.

Carbanak è un sistema APT (Advanced Persistent Threat) che permette di prendere il controllo di un computer ed osservare le attività dell’operatore legittimo. Quasi come essere posizionati dietro le spalle dell’operatore mentre questi lavora al suo computer.

Sfruttando questa funzione i criminali hanno appreso, direttamente dagli inconsapevoli dipendenti della banche vittima, le modalità operative necessarie per effettuare “a piacere” operazioni di trasferimento fondi e gestione di ATM, rubando in questo modo oltre 1 miliardo di dollari.

Secondo Proofpoint, dopo un periodo di pausa, sono ripresi e sono ancora in corso attacchi a istituzioni finanziarie in USA, Medio Oriente ed Europa effettuati con il  modello Carbanak.

per tutti, buoni e cattivi

Abbiamo detto che l’attacco Spear Phishing  viene indirizzato a spcifici bersagli appositamente selezionati.  Ma come è possibile trovare le informazioni necessarie per preparare l’attacco?

La prima fase di qualunque attacco ed in particolare degli attacchi di ingegneria sociale, come in effetti è un attacco Spear Phishing, è la ricerca di informazioni sull’organizzazione che si vuole colpire.

Per acquisire informazioni vengono analizzati i siti web istituzionali alla ricerca di ogni tipo di notizia utile. Nominativi di dipendenti, struttura interna, sistemi informatici, procedure, modalità operative, e-mail, server, documenti. Vengono analizzati i social network alla ricerca di account ufficiali e personali dei dipendenti nei quali si possono spesso trovare informazioni che sarebbe stato meglio non pubblicare.

Ed in effetti, la pubblicazione indiscriminata di informazioni personali ed aziendali da parte di utenti (per  voglia di protagonismo, condivisione, necessità di evasione, ricerca di nuovi contatti, rivalsa, sfogo o altro) ed organizzazioni (siti web, profili istituzionali, comunicati stampa, comunicazioni interne, documenti pubblici, ecc.) unita alla mancanza di consapevolezza da parte degli utenti e a procedure aziendali non adeguate per la pubblicazione di documenti, siano online o meno, non fa altro che facilitare l’acquisizione delle informazioni necessarie ai criminali per sferrare attacchi che il più delle volte vanno a buon fine.

Una volta individuati uno o più  soggetti “interessanti” vengono create ed inviate e-mail appositamente costruite per apparire inviate da indirizzi “trusted” e contenenti riferimenti ed informazioni reali per non creare sospetti e guadagnare la fiducia della vittima.

Ovviamente in queste mail vengono opportunamente inseriti link o allegati malevoli e l’invito a cliccare o aprire l’allegato con una qualche scusa plausibile. La vittima clicca ed il gioco è fatto.

Come abbiamo visto, tutto si basa sulle informazioni liberamente disponibili su internet (e non solo). OSINT, Open Source Intelligence è l’insieme di strumenti e tecniche per la ricerca di informazioni su fonti aperte. Chiunque può, impiegando queste tecniche, ricercare, esaminare, correlare le informazioni pubblicamente disponibili per ottenere informazioni su una organizzazione, sui  progetti, sui  processi aziendali, sulle persone.

Su queste informazioni si basano gli attacchi dei criminali come pure le attività dei competitor.

Cosa fare per prevenire i rischi 

  • Formare dipendenti e dirigenti per un utilizzo consapevole degli strumenti (computer, apparati mobile, mail, social network, ecc.)
  • Definire e applicare policy e best practice
  • Verificare periodicamente il grado di consapevolezza degli utenti e l’applicazione delle policy
  • Utilizzare strumenti di prevenzione (blocco di servizi e di siti, analisi e filtraggio dei contenuti, crittografia, firma elettronica e così via)
  • Effettuare o fare effettuare analisi OSINT sulla propria organizzazione e sulle  figure chiave (ed agire di conseguenza) per:
    • Verificare quali informazioni rilascia/ha rilasciato la propria organizzazione
    • Valutare quali informazioni  sono pubblicamente disponibili da altre fonti (compresi i dipendenti) sulla propria organizzazione o su figure chiave
    • Valutare/sanitizzare i documenti pubblicati o da pubblicare.

Conclusioni

Lo Spear Phishing funziona perché fa leva sulla curiosità innata degli utenti, sulla “moda” dei social network, sulle informazioni impropriamente pubblicate che vengono utilizzate per creare mail credibili ed “appetibili” dalle vittime designate.

Essere proattivi effettuando analisi OSINT può aiutare a trovare i problemi, ma la formazione e la consapevolezza sono le chiavi per ridurre i rischi.

Ricordate l’acronimo PEBKAC: Problem Exist Between Keyboard And Chair.

Paolo Giardini

Paolo Giardini

Paolo “aspy” Giardini, direttore di OPSI, Osservatorio Nazionale Privacy e Sicurezza Informatica, organo di AIP (Associazione Informatici Professionisti, per la quale ricopre anche l’incarico di Privacy Officer) si occupa da oltre venti anni di Sicurezza Informatica, Privacy, Computer Forensics ed Open Source, svolgendo attività di analisi e consulenza e tenendo corsi e seminari in Italia ed all’estero.
Svolge attività di Consulente Tecnico di parte (CTP) e di Consulente Tecnico d’Ufficio (CTU) presso diverse Procure della Repubblica e Tribunali. Nel tempo libero si dedica alla organizzazione dell’hacker game che ha creato, “CAT – Cracca Al Tesoro”.

Facebook Comments

Click to comment

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

To Top
Share This