Social, phishing e data breach: un sistema che si autoalimenta
Uno dei Cyber attacchi forse più “vecchi”, il phishing, non da segno di demordere, anzi il fenomeno è in costante aumento. Ma non si tratta più delle vecchie email dove il “famoso” principe nigeriano promette ricompense milionarie in cambio di un piccolo anticipo da depositare sul suo conto. Oggi, i Criminal hacker si sono evoluti e sempre di più prendono di mira gli utenti mobile attraverso molteplici vettori come sms, piattaforme di messaggistica istantanea, social-media e qualsiasi altra app che consente la condivisione di link.
E, grazie al fatto che gran parte delle nostre informazioni personali è ora online, gli aggressori possono personalizzare questi attacchi in modo da renderli molto più difficili da individuare e quindi con maggiori probabilità di successo.
I social media sono nati per connetterci con chi conosciamo, ma anche con quelle persone con cui condividiamo interessi, passioni o ambiti lavorativi (si veda LinkedIn). Per questo motivo i criminali informatici creano spesso falsi profili dove si fingono colleghi o conoscenti comuni per potersi connettere con voi e quindi accedere ai vostri dati personali.
Come se non bastasse, i truffatori spesso si uniscono a gruppi di social-media e pubblicano link dannosi a un sito che può essere utilizzato per raccogliere informazioni personali o credenziali di accesso.
Questi dati vengono poi utilizzati per lanciare attacchi di phishing contro un numero ancora maggiore di persone e organizzazioni.
Non sorprende quindi che il phishing sia ora responsabile di quasi un quarto di tutti i Data Breach…
Come la pandemia ha cambiato il paradigma - Anche prima delle condizioni straordinarie con cui tutti abbiamo fatto i conti qualche mese fa, lo Smart working – diffuso sempre di più anche nelle PMI – aveva messo in discussione i classici paradigmi di difesa del perimetro aziendale.
Ora, gli applicativi e i dati aziendali sono ovunque, su qualsiasi dispositivo o rete che i dipendenti utilizzano per lavoro, compresi gli endpoint personali e il Wi-Fi domestico.
La conseguenza di tutto questo è che il rischio di attacchi di phishing adesso deve essere gestito anche su dispositivi non aziendali, piattaforme social-media, applicazioni mobili.
All'inizio del lockdown, le aziende si sono concentrate principalmente sul mantenimento della produttività dei lavoratori a casa.
(Nella foto: Pierguido Iezzi, Ceo e co-fondatore di Swascan)
Ma dopo lo stop estivo non c’è stato un ritorno “alla normalità”, con molti lavoratori che ancora prediligono il regime di lavoro “misto” tra ufficio e casa.
I criminali informatici di questo sono pienamente consapevoli e stanno realizzando i loro exploit di phishing di conseguenza.
Sanno che con poche informazioni su un dipendente e sulla sua azienda (che possono essere facilmente ottenute dai profili dei social-media), possono avviare una campagna di spear-phishing contro qualsiasi organizzazione.
Sappiamo, per esempio, che gli aggressori hanno utilizzato lo spear-phishing via mobile nell'attacco di Twitter del 15 luglio.
Ha contattato un dipendente di Twitter e, fingendosi un collega, è riuscito a ingannare quella persona per farle condividere le credenziali dell'utente suo bersaglio.
Il Criminal Hacker è stato poi in grado di falsificare il numero di telefono del dipendente di Twitter attraverso il Sim swap e probabilmente ha ottenuto le informazioni necessarie per impersonare il dipendente dai profili dei social-media.
Una volta che è stato in grado di reindirizzare il numero di telefono sul suo dispositivo, ha potuto intercettare le password una tantum (one time password o OTP) utilizzate per l'autenticazione multi fattore ed elevare rapidamente i suoi privilegi all'interno dell'azienda.
L'attacco di Twitter ha dimostrato che un Criminal hacker non ha bisogno di far parte di un'organizzazione criminale informatica globale per fare danni enormi.
E se questo attacco potesse avere successo contro un'azienda come Twitter, potrebbe probabilmente funzionare contro qualsiasi azienda, compresa la vostra.
Non bastano le semplici misure - Affidarsi principalmente all’autenticazione multi fattore e alle OTP per fornire un accesso sicuro, non è di per sé sbagliato, me è facile capire come un Criminal hacker armato di dettagli chiave presi dagli account di social-media e di capacità di portare a termine un attacco Sim Swap possa facilmente bypassare questi i livelli di sicurezza.
Ecco perché non possiamo aspettarci che i dipendenti siano l’unica linea di difesa contro gli attacchi di phishing.
Pensateci: ogni giorno il loro lavoro consiste nell'aprire gli allegati e cliccare sui link inviati da collaboratori, clienti, partner, fornitori, e così via. Se dovessero mettere in discussione ogni link cliccabile inviato loro nel corso di una giornata di lavoro, quanto lavoro verrebbe effettivamente svolto? E quanta ansia si creerebbe nel processo?
Certo, le aziende devono assolutamente fornire training periodico per aiutare gli utenti a rimanere vigili contro gli attacchi di phishing, ma questo da solo potrebbe lasciare comunque spazio a delle debolezze. Se uniamo però il training con un approccio zero thrust alla Cyber Security vedremo sicuramente un netto miglioramento della resillience.
Questo approccio è un modello di sicurezza basato sul principio di mantenere rigidi controlli di accesso e di non fidarsi di nessuno per default, anche di quelli già all'interno del perimetro della rete.
Per esempio, le aziende devono garantire che i lavoratori in Smart Working possano accedere alle app aziendali solo da dispositivi gestiti dall'IT e non dall'iPad di famiglia o dallo smartphone del coniuge.
Questo elimina virtualmente il rischio di furto di credenziali e di intercettazione delle OTP e impedisce l'accesso ai dati aziendali da parte di dispositivi non gestiti o altrimenti compromessi.
Un approccio zero thrust può isolare la vostra azienda dalla vulnerabilità più persistente e pervasiva: l'errore umano.