Se l’attacco è mirato

MinervaLe mail di phishing arrivano quasi quotidianamente, nonostante le protezioni antispam e alcune sono talmente grossolane da strapparci qualche secondo di ilarità.

La storia cambia notevolmente se una persona o un’organizzazione viene presa di mira con un attacco mirato, detto tecnicamente spear phishing.

A differenza del phishing che pesca a strascico (come le notifiche da banche in cui non solo non abbiamo un conto, ma di cui ignoriamo l’esistenza), un attacco mirato avviene al termine di un’indagine sulla vittima.

Nel caso in cui la vittima sia un’organizzazione, l’attaccante conosce molte cose tra cui (a titolo di esempio) la regola con cui vengono assegnate le mail (nome.cognome@, ncognome@, eccetera), i nomi di alcuni dipartimenti o di alcuni manager, la firma standard in fondo alle mail. Sono tutte informazioni che aiutano ad aumentare la percezione che una comunicazione sia legittima.

Alcune di queste informazioni sono facilmente reperibili sul sito dell’organizzazione, altre possono essere raccolte con poco sforzo, come (sempre a titolo di esempio) sui social network, chiedendo informazioni sui prodotti venduti e facendo in modo di scambiare alcune mail con il personale della forza vendite.

Non è teoria, RSA è stata hackerata attraverso una mail inviata a molti dipendenti (per lo più manager) che sembrava arrivare dall’ufficio personale di EMC (la proprietaria di RSA) con allegato un documento Excel che a sua volta conteneva un oggetto Flash utilizzato per inoculare nel computer un sistema di controllo remoto. Il tutto perché  i malviventi avevano bisogno della master key del token di sicurezza prodotto da RSA per poter attaccare un fornitore della Difesa americana.

Quello di RSA è quasi un caso da manuale in quanto contiene molti elementi  di uno spear phishing. Innanzi tutto c’è l’onnipresente componente di social engineering: il mittente è l’ufficio del personale della controllante, la qual cosa fa scattare sull’attenti anche la parte alta della catena alimentare di un’organizzazione. Gli attaccanti conoscevano gli indirizzi di posta elettronica delle vittime e sapevano quindi come andare a colpo sicuro. Inoltre viene attaccato un anello debole della catena per colpire il vero bersaglio: il fornitore della Difesa può mettere in campo tutte le contromisure possibili sui propri sistemi, ma non può fare nulla nel confronto dei fornitori, se non chiedere delle garanzie scritte senza, però, poterle verificare in maniera costante.

Quante volte avete chiesto a chi vi fa i lavori quali sono le procedure di sicurezza messe in atto per proteggere i file di AutoCAD con la planimetria della vostra azienda?

La difesa da un attacco mirato è difficile, ma non impossibile, anche se di recente ci sono state vittime note come Microsoft e la Difesa israeliana.

La difesa si deve sviluppare lungo due linee d’azione principali: l’infrastruttura e le persone.

L’infrastruttura IT deve essere sempre aggiornata. Non si parla di protezioni a livello militare per difendere uno studio di commercialista, ma nemmeno usare Internet Explorer 7, Outlook Express, Adobe Reader 8 e Windows XP con gli aggiornamenti disattivati “perché una volta mio cuggggino li ha attivati e poi ha dovuto riformattare il computer e comperare un telefono nuovo”. Simili configurazioni esistono ancora adesso, all’inizio del 2014, in ambienti di lavoro.

Tenere attive le funzioni di aggiornamento automatico di programmi è sempre meglio che disattivarle o affidarsi ad aggiornamenti manuali o arbitrari del tipo “so io quando devo aggiornare” (No! Non lo sai, capra!)

Se per attivare gli aggiornamenti automatici o per aggiornare un software bastano pochi click, la formazione delle persone è più complessa e altrettanto trascurata.

Spesso quando si assume un nuovo dipendente si richiede che sappia usare il PC e Office, con il tempo imparerà le consuetudini aziendali per l’utilizzo della mail e la gestione dei file di dati.

Sono ragionevolmente sicuro che pochissime (ed è una stima per eccesso) volte ad un candidato/a per l’amministrazione, le risorse umane o per un ruolo manageriale sia stato chiesto “Come può distinguere una mail di phishing da una legittima?” Eppure se una di quelle figure professionali allega il file sbagliato rispondendo ad una mail truffa oppure clicca nel posto sbagliato il danno potrebbe essere enorme.

La componente umana non è, per definizione, algoritmica o deterministica e chi attacca lo sa benissimo. Una telefonata fatta ad una vittima cinque minuti prima che questa vada a casa in cui viene chiesto di inviare una mail con allegato un documento importante ad un indirizzo Gmail usando una scusa plausibile come “sono da un cliente e ho il cellulare scarico” potrebbe avere un alto tasso di successo. Una richiesta del genere utilizza alcuni grimaldelli tipici del social engineering, quali l’empatia verso un collega in difficoltà e il calo di attenzione di un lavoratore a fine giornata il quale sta contando i secondi che lo separano dal momento di andarsene dall’ufficio e ha già la testa altrove. Non sto rivelando nulla di segreto, tecniche come queste sono descritte e spiegate nei libri di Kevin Mitnick. Inutile dire che queste sono pratiche illegali in Italia.

Paolo Attivissimo segnala che secondo alcuni esperti di diritto informatico svizzero, nella Confederazione il puro social engineering non è da considerarsi reato, dato che la legge locale specifica che l’accesso non autorizzato a sistemi informatici deve essere “eseguita con strumenti tecnici” (per approfondire).

Uno spear phishing può ingannare tutti quanti, anche il più scafato dell’IT. Una buona difesa di base è fermarsi e pensare prima di reagire in modo automatico ed eventualmente confermare su altri canali prima di fornire dei dati sensibili, come fare una telefonata di conferma.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

4 pensieri riguardo “Se l’attacco è mirato”

  1. Il social engineering è una piaga che difficilmente potrà essere debellata… E fa paura con quanta facilità i nostri dati possano essere consegnati a sconosciuti.

  2. In Svizzera il “puro” social engineering sara` pure legale… ma sicuramente la truffa e` reato 🙂

Spazio per un commento