Abbiamo già visto assieme come minimizzare il rischio che deficit formativi o leggerezze informatiche dei dipendenti possano essere il tallone d’Achille della tua Azienda, e consentire ad un malintenzionato di far breccia nella tua infrastruttura IT. Non bisogna mai sottovalutare l’attaccante, tuttavia: ad essere presi come obiettivi degli hacker potrebbero essere, piuttosto, soci e titolari. Se rientri nella categoria dei manager o dei cosiddetti “C-level” (CEO, CFO, CHRO, CIO, CTO, CSO, etc.), sei sicuramente un possibile bersaglio. Il discorso non cambia se sei un personaggio pubblico, un VIP, un politico importante o una celebrità. Partiamo dalle basi:
Social engineering
Tradotto spesso in italiano come ingegneria sociale, che suona malissimo. Nell’era dei social network la nostra immagine è esposta online come mai prima d’ora, una persona intenzionata a sottrarci informazioni importanti partirà da una banale ricerca su Google e dai nostri profili sparsi per il web. Non intendo scrivere un manuale sulle varie tecniche di attacco o sui software utilizzati, non è l’obiettivo del post; sappiate che il malintenzionato sfrutterà le vostre abitudini ed i vostri pattern quotidiani, vi studierà e vi metterà alla prova ripetutamente, potrebbe arrivare addirittura ad impersonarvi per manipolare terzi o a interagire con voi direttamente. Anche la persona più prudente del mondo può cascarci, perché purtroppo la psiche umana è dannatamente prevedibile.
Spear Phishing / Vishing
Tutti siamo abituati a vedere la nostra casella di posta letteralmente sommersa di spam, di sconosciuti che si fingono essere la nostra banca, Poste Italiane o simili. In questa sorta di “pesca a strascico” il malintenzionato non ha un vero e proprio obiettivo, ma utilizzando un pretesto generico e valido per tutti conta sulla quantità dei destinatari per garantirsi il furto di qualche credenziale. Non è di questi che dobbiamo preoccuparci, qualcuno che ci ha preso veramente di mira non lo farebbe mai (se non come diversivo). Con “spear phishing” si intende l’utilizzo dell’email e di tecniche di spoofing meglio confezionate per massimizzare la possibilità di interazione con un singolo bersaglio specifico. Questo diventa “vishing” se avviene telefonicamente. Il caso tipico è quello del dipendente amministrativo o del responsabile acquisti che porta avanti una trattativa commerciale, soprattutto con interlocutori esteri, per poi essere persuaso a procedere con il bonifico verso un conto corrente fittizio.
Whaling
Se non si trattasse di un dipendente ma di qualcuno di più in alto nella gerarchia aziendale, come dicevamo in apertura, lo “spear phishing” diventerebbe “whaling”. In questa “caccia alla balena”, o per meglio italianizzarlo “caccia al pesce grosso”, l’attaccante si concentra su obiettivi autorevoli. Vi è sufficiente sommare mentalmente i due punti precedenti: una volta che il malintenzionato si sarà immedesimato totalmente nel suo obiettivo (pretexting) e avrà creato una campagna ad-hoc per far leva su di lui, non gli resta che metterla in atto. Oltre alle classiche email con rimando a siti cloni degli originali, potete aspettarvi di tutto: potrei lasciare una innocua chiavetta USB per terra nei pressi della Vostra scrivania, per esempio, e voi spinti dalla curiosità non fareste altro che inserirla per poi prendervi un malware. O ancora creare una rete wi-fi fittizia, per intercettare e dirottare il traffico. Manipolare poi i subordinati sarebbe un gioco da ragazzi, se conoscete l’esperimento di Milgram sapete benissimo di cosa io stia parlando.
I miei consigli
Vorrei dirvi “siate paranoici”, ma sarebbe un suggerimento generico e controproducente. Concentratevi piuttosto, sia a livello aziendale che a livello personale, nel limitare quanto più possibile il trapelare di informazioni personali relative (attraverso sito internet, social networks, etc.). Adottate policy di sicurezza rigorose, e per farlo affidatevi a professionisti del settore che sappiano guidarvi in questa transizione. Create un clima di amicizia e reciproca fiducia colleghi, anche di gradi diversi, in modo che possano emergere eventuali anomalie. Soprattutto, evitate di fare assunzioni errate. Non è detto che chi vi ha scritto sia veramente il Vostro boss o il vostro partner commerciale, verificate gli header delle email. Il fatto che fornitore abbia cambiato conto corrente dovrebbe attivare una campanella d’allarme.
In realtà professionali più complesse, nulla vieta di sviluppare soluzioni ad-hoc. Esistono prodotti in grado di filtrare le email di phishing ma, soprattutto, di identificare ed allertare i vertici in caso di whaling. E’ possibile inoltre affidare al team IT, o ad aziende informatiche terze, periodiche simulazioni in modo da testare le capacità di difesa dei propri C-Level: il vostro team di tecnici e sistemisti (blue team) dovrà vedersela, consapevole o meno, con una squadra rossa che avrà il compito di calarsi nei panni dell’hacker. Non siate parsimoniosi in queste iniziative, perché per perdere bonifici da 20.000€ ci vuole un attimo.
IT Manager, System Administrator, Sociologo, Politico a tempo perso. Vicentino, classe 1991.
Questo è il mio blog personale, nel quale cerco di proporre analisi e ragionamenti di attualità nei temi in cui sono più preparato. Scopri di più nel mio curriculum vitae, o mettiti in contatto con me!
[…] hai trovato l’articolo interessante, ti invito anche a leggere “La caccia al CEO” che è molto […]
Comments are closed.