News

Baiting: come riconoscere un’esca ed evitare le trappole del cybercrime

Immaginiamo che nel parcheggio della propria azienda un collega abbia ritrovato una chiavetta USB smarrita. Dall’etichetta pare che il contenuto al suo interno faccia riferimento a “Piano stipendi e modifiche contrattuali 2019”. Le ipotesi di come si comporterà il collega con questo oggetto tra le mani sono diverse:

  • Potrebbe consegnarla all’ufficio delle Risorse Umane o in portineria per cercare il legittimo proprietario;
  • Potrebbe consegnarla all’IT per far verificare l’origine e l’autenticità del contenuto;
  • Oppure attirato dal titolo dell’etichetta potrebbe essere tentato a scoprirne i dettagli al suo interno.

Rispetto a queste ipotesi, il comportamento corretto dovrebbe essere quello di non ispezionare il contenuto della chiavetta e di consegnarla al reparto IT o ai colleghi dedicati alla sicurezza informatica aziendale, perché nonostante l’apparente innocenza di un piccolo dispositivo di memoria portatile, potrebbe invece trattarsi di un veicolo per provocare un attacco informatico all’interno della propria azienda.

Una situazione questa che può sembrare quasi surreale o da film, eppure durante le simulazioni di attacco informatico che INTUITY esegue per i propri clienti, sono molte le persone che attirate con la giusta esca, in questo caso una chiave USB ben piazzata, finiscono nella trappola di un contenuto in verità malevolo.

Questa tecnica di attacco informatico che sfrutta le debolezze umane per accedere alla rete locale (LAN) e di conseguenza ai dati aziendali viene chiamata Baiting, una sorta di cavallo di Troia: una chiavetta USB con un’etichetta piuttosto interessante lasciata in un’area aziendale, con lo scopo di stimolare la curiosità della propria vittima portandola ad ispezionarne il contenuto.

Il Baiting fa parte di quel gruppo di tecniche di attacco informatico definite Social Engineering, in quanto sfruttano comportamenti avventati o imprudenti per ottenere informazioni, facendo leva sulla curiosità delle persone o su altre debolezze umane. (Vuoi saperne di più sul Social Engineering?)

Secondo il rapporto Clusit 2017, in Italia +1.166% degli attacchi sono stati realizzati con tecniche di Social Engineering, quasi il 90% dei casi denunciati. Non c’è da stupirsi dato che è diventato molto più semplice sfruttare le vulnerabilità umane che quelle tecnologiche e chi attacca questo lo sa bene, sfruttandole a proprio vantaggio e in modo proficuo.

Curiosità: il virus Stuxnet

Nel 2006 da una collaborazione tra Stati Uniti e lo stato di Israele è stato creato e diffuso un virus chiamato Stuxnet con l’obiettivo di sabotare il programma nucleare iraniano. La particolarità di questo virus era la sua capacità di danneggiare direttamente le strutture fisiche tramite dei drive USB infetti.

Stuxnet aveva un peso di circa 500 KB ma era in grado di contenere un codice malevolo per l’inibizione dei sistemi in cui veniva diffuso. La centrale nucleare iraniana di Natanz non era collegata ad internet ma la diffusione del virus è stata comunque possibile grazie all’utilizzo di drive USB che hanno permesso a Stuxnet di entrare nei sistemi, di eludere le tecnologie di protezione implementate dal governo iraniano e di colpire anche sistemi di controllo non in rete; inserendo così la chiavetta USB nei PC l’infezione ha potuto propagarsi.

Oggi la maggior parte delle persone inserisce un drive nel proprio computer senza preoccuparsi troppo di eventuali virus che questo potrebbe contenere, divenendo così un veicolo relativamente sicuro e poco sospettabile per diffondere un codice malevolo e innescare un attacco informatico.

Il regista Alex Gibney ha raccontato attraverso un documentario il progetto, la creazione, la nascita e la diffusione del virus Stuxnet e di come quest’ultimo sia riuscito ad entrare attraverso la tecnica del Baiting in una centrale nucleare.

Qual è la soluzione al Baiting?

Chi gestisce la sicurezza informatica all’interno della propria azienda ha ben presente cos’è il Social Engineering ed è a conoscenza di alcuni accorgimenti tecnici per far fronte a tipologie di attacco come il Baiting, quali:

  • Antivirus
  • Port Protection
  • Data Loss Prevention
  • etc.

La componente tecnologica è importante ma non sufficiente per prevenire e risolvere alla radice il problema del cybercrime. Se fino a poco tempo fa immaginavamo l’hacker con una felpa ed il cappuccio a digitare stringhe infinite di codice, ora invece l’attaccante diventa sempre meno tecnologico e sempre più antropologo, studioso dei comportamenti e della psiche umana con la finalità di raccogliere informazioni, trarre profitto o distruggere la reputazione di un brand.

Quindi, come ci proteggiamo da queste nuove tipologie di attacchi informatici? Le aziende devono acquisire consapevolezza del problema e di come questo possa avere degli impatti rilevanti sul business e la reputazione; è diventato ormai strategico affiancare alla componente tecnologica anche investimenti mirati a creare in azienda, a tutti i livelli, la consapevolezza del problema del Social Engineering e di fornire ad ognuno le nozioni per riconoscere una minaccia ed evitarla.

Come quotidianamente INTUITY dimostra ai propri clienti attraverso azioni di Social Engineering, molto spesso la tecnologia è facilmente aggirabile e la sola contromisura realmente efficace per bloccare un attacco informatico di questo tipo rimane l’essere umano.

INTUITY propone i propri servizi di Security Awareness per indirizzare quella che è diventata la più grave vulnerabilità per la sicurezza aziendale al giorno d’oggi: il fattore umano.

Baiting: come riconoscere un’esca ed evitare le trappole del cybercrime