[ Flynets-Lab ] Ingegneria sociale, una minaccia apparenteme…

Delete this message

Reply to this message
Author: Flynets HACKtivist Newsletter
Date:  
To: Flynets Lab
Subject: [ Flynets-Lab ] Ingegneria sociale, una minaccia apparentemente banale
Ingegneria sociale, una minaccia apparentemente banale
<http://www.sicurezzanazionale.gov.it/sisr.nsf/approfondimenti/ingegneria-sociale-una-minaccia-apparentemente-banale.html>
di Isabella Corradini e Luisa Franchina

*Abstract*
Da tempo gli attaccanti hanno compreso che ci sono altre modalità per
raggiungere i propri obiettivi, riducendo rischi e investimenti. È il caso
dell’ingegneria sociale (social engineering) che sfrutta le caratteristiche
umane e che, proprio per questo motivo, spesso si realizza con successo,
come avviene con le intramontabili e quotidiane mail di phishing. A
confermarlo anche i vari studi condotti in materia di sicurezza informatica.

L’aumento esponenziale in questi ultimi anni degli attacchi tecnologici su
sistemi e reti informatiche ha visto in risposta un miglioramento delle
contromisure tecnologiche adottate, ma tutto questo sembra non essere più
sufficiente. L’impiego di tecnologie evolute non garantisce la sicurezza,
dal momento che tra le tecnologie e gli attacchi c’è sempre una variabile
di cui tenere conto: il fattore umano.

Da tempo gli attaccanti hanno compreso che ci sono altre modalità per
raggiungere i propri obiettivi, riducendo rischi e investimenti.
Concentrandosi sul fattore umano, universalmente riconosciuto come l’anello
più debole della sicurezza (di qualunque sicurezza si parli), gli
attaccanti lo individuano sempre più come il bersaglio e/o lo strumento
mediante il quale agire.

A confermarlo anche le statistiche riportate dai vari studi condotti in
materia di sicurezza informatica.

Si veda, ad esempio, il rapporto Verizon 2016[1]
<http://www.sicurezzanazionale.gov.it/sisr.nsf/approfondimenti/ingegneria-sociale-una-minaccia-apparentemente-banale.html#_ftn1>,
Data Breach Investigations Report (DBIR) redatto, alla sua nona edizione,
dal colosso americano delle telecomunicazioni Verizon.

Nel rapporto di ricerca sono state analizzate oltre 2.260 violazioni
accertate e circa 100 mila incidenti di sicurezza segnalati. Viene
evidenziata la crescita della modalità di attacco alle aziende cosiddetta
‘a tre fasi’, ovvero: l’invio di una mail di phishing che include un link a
un sito web dannoso o un allegato malevolo; il download del malware sul Pc
dell’utente, in grado di rubare le credenziali di numerose applicazioni;
l’uso delle credenziali sottratte per futuri attacchi come l’accesso, ad
esempio, a siti web di banche o siti di e-commerce[2]
<http://www.sicurezzanazionale.gov.it/sisr.nsf/approfondimenti/ingegneria-sociale-una-minaccia-apparentemente-banale.html#_ftn2>
.

Il problema degli utenti che ‘aprono’ allegati e cliccano su link dannosi,
è dunque annoverata tra le principali falle della sicurezza, poiché in
questo modo viene data la possibilità ai criminali di introdurre un malware
e aprire loro una breccia.

Eppure ci si chiede: chi mai continua a credere ai messaggi pervenuti con
una mail di phishing? A quanto pare, secondo il rapporto Verizon, nel 30%
dei casi i messaggi di phishing vengono aperti e il 13% di questi utenti
clicca sull’allegato malevolo o sul link dannoso. Il dato non stupisce, dal
momento che il phishing fa leva proprio sulle vulnerabilità umane: sfrutta,
infatti, tecniche e principi psicologici per manipolare le persone e
indurle a fornire informazioni o a compiere determinate azioni, il tutto
nel solo interesse dell’attaccante. L’ingegneria sociale è spesso il
preludio ad attacchi informatici veri e propri (Corradini, Franchina, 2016).

Ma anche andando a vedere quanto emerge dall’analisi condotta dal Clusit
nel suo rapporto 2016 sulla sicurezza ICT in Italia[3]
<http://www.sicurezzanazionale.gov.it/sisr.nsf/approfondimenti/ingegneria-sociale-una-minaccia-apparentemente-banale.html#_ftn3>
si
osserva la crescita dell’ ingegneria sociale. Il report descrive dieci
attacchi rappresentativi del 2015, tra i quali viene riportato anche quello
riguardante la violazione di una casella mail personale su America on Line
(AOL) appartenente al capo della CIA John Brennan. La violazione è stata
rivendicata da un sedicente gruppo di hacker adolescenti (CWA, Crackas With
Attitude) che, al riguardo, ha commentato: «ci sarebbe riuscito anche un
bambino di 5 anni», spiegando di aver utilizzato «banali tecniche di social
engineering» nei confronti di Verizon (ISP di Brennan) e AOL (provider del
servizio di posta) per ottenere l’accesso. Ma, come osservato nel rapporto
Clusit, data la natura del target e le modalità professionali con cui gli
hacker hanno operato, si fa fatica a credere che si tratti di adolescenti
annoiati, come invece alcuni suppongono.

Resta il fatto che, a prescindere dal livello di professionalità degli
attaccanti, quello che comunque deve far riflettere è che l’utilizzo di
«banali tecniche di social engineering» è bastato a fare breccia e, allo
stato attuale, continua a mietere vittime. Altro elemento di interesse
legato al caso sopra riportato è che l’attacco è stato condotto non
direttamente sulla persona oggetto di interesse, ma su terzi detentori dei
dati. Questo significa che anche un obiettivo ‘iper protetto’ o ‘iper
attento’ può essere raggiunto con tecniche la cui banalità è solo
apparente, dal momento che l’ingegneria sociale fa leva su caratteristiche
che fanno parte della natura umana.

Nella posta elettronica di ognuno di noi arrivano quotidianamente messaggi
fraudolenti che invitano a visionare siti malevoli: da qualche tempo vanno
di moda messaggi che minacciano condanne penali, multe, confische, ecc. Il
timore di passare qualche guaio con la giustizia può indurre il malcapitato
di turno a cliccare sul link riportato o ad aprire l’allegato. Ma
l’attaccante punta proprio su questa paura e sa che, a fronte di una
moltitudine di mail di phishing che ha inviato, qualcuno cadrà nella sua
rete.

Dal momento che il phishing e il social engineering continuano ad
imperversare, confermando le previsioni che erano state avanzate alla fine
del 2015, occorre rafforzare le attività di sensibilizzazione, base
fondamentale della prevenzione. La conoscenza, infatti, è il primo passo
per arrivare alla consapevolezza.



*Note*

[1]
<http://www.sicurezzanazionale.gov.it/sisr.nsf/approfondimenti/ingegneria-sociale-una-minaccia-apparentemente-banale.html#_ftnref1>
*Verizon’s 2016 Data Breach Investigations Report*, (
http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/).

[2]
<http://www.sicurezzanazionale.gov.it/sisr.nsf/approfondimenti/ingegneria-sociale-una-minaccia-apparentemente-banale.html#_ftnref2>
A. Frollà, *Cybersecurity, sempre più aziende vittime dell'”attacco a tre
fasi”* , Corcom.it – quotidiano online dell’economia digitale e
dell’innovazione ,
http://www.corrierecomunicazioni.it/digital/41098_cybersecurity-sempre-piu-aziende-vittime-dell-attacco-a-tre-fasi.htm
.

[3]
<http://www.sicurezzanazionale.gov.it/sisr.nsf/approfondimenti/ingegneria-sociale-una-minaccia-apparentemente-banale.html#_ftnref3>
CLUSIT
– Associazione Italiana per la Sicurezza Informatica, *Rapporto Clusit 2016
sulla sicurezza ICT in Italia*, https://clusit.it/rapportoclusit/.
--
A Presto
Flynets