Foto Flickr

Come i social aiutano i Criminal Hacker

Pierguido Iezzi

Hai mai pensato a cosa potresti aver accidentalmente condiviso postando un selfie alla tua scrivania? Il rischio per la tua azienda potrebbe essere più grande di quanto pensi...

Era già qualcosa ampiamente discusso nella comunità dei Cyber Security Researcher, ma adesso, grazie all’attività di un ricercatore americano, le prove empiriche sono agli occhi di tutti: i social sono diventati una miniera d’oro per tutti i Criminal hacker. Nell’esperimento che ha “svelato l’arcano” ai più neofiti dell’ambito l’esperto di sicurezza è riuscito ad accedere a un’area altamente protetta della propria azienda utilizzando un badge clonato.

 

E come ha fatto ad arrivare a questo punto?

 

Molto semplicemente utilizzando le informazioni di uno dei molti stagisti che lavorano nella compagnia, attentamente copiate dai social della sfortunata cavia.

 

Una miniera d’oro

Come detto, sembra che le piattaforme social siano divenuti l’Eldorado dei Criminal Hacker.
Sfortunatamente un risvolto quasi naturale, in quanto questi agiscono come un meccanismo di trasmissione dei dati per tutti i contatti degli utenti, la posizione e anche le attività commerciali. Una manna per chi, come questi attori Malintenzionati, è in cerca dei dati necessari per una serie di attività come:

  • Raccogliere informazioni per campagne Malware;
  • Raccogliere informazioni per campagne di Phishing;
  • Raccogliere informazioni per campagne di Spear Phishing;
  • Raccogliere informazioni per campagne di Malvertising;
  • Raccogliere informazioni critiche sull’azienda;
  • Raccogliere informazioni su singole figure di spicco all’interno dell’azienda;

Non a caso la figura chiave scelta come Giuda inconsapevole per l’esperimento è stato uno stagista.
Quella definita come Generazione Z (compresa tra i 17 e 24 anni) è la principale utilizzatrice di social media; secondo un recente sondaggio il 73 per cento di questi utilizza Snapchat, il 76 Facebook e Instagram e oltre l’80 YouTube.

È sicuramente una questione di costume, ma le probabilità che eventi significativi della vita come stage e nuovi lavori trovino facilmente il loro posto sulle diverse piattaforme sotto forma di post immagine o video.

È una considerazione banale, ma basta pensare a tutti i selfie e i video realizzati all'interno dei locali aziendali che espongono informazioni sensibili relative all’impresa o multinazionale sullo sfondo e che passano inosservate al resto delle persone in grado di visualizzarli.

La tendenza a condividere frequentemente sui social media è spesso combinata con una formazione lassista in materia di sicurezza durante la fase di tutoraggio e onboarding.

Insomma, la ricetta perfetta per un disastro imminente.

Ovviamente non solo le nuove “leve” possono essere fonti inconsapevoli di Data Leak, anche semplicemente un social team sbadato o un membro più “senior” che condivide la classica “foto da LinkedIn”.

Allo stesso modo per i Criminal Hacker anche semplici brandelli d’informazione estraibili da blog, siti dedicati al recruiting, recensioni di ex-dipendenti – va notato che nel mondo anglosassone è molto diffuso il Sito Glassdoor – e simili sono utilizzabili.

Nel dettaglio, i Criminal Hacker in cerca di informazioni cominciano sondando Facebook, Instagram e Twitter. Da qui osservano attentamente le attività degli stagisti e dei nuovi assunti delle società che hanno intenzione di colpire. In particolare, è emerso, che seguono hashtag come #newjob #primogiorno #novità #stage e simili.

Che informazioni sperano di trovare? In particolare studiano il layout fisico dell’ufficio, le applicazioni presenti sui desktop, i file che possono apparire, le foto sui badge, i calendar che mail provider come Outlook provvedono, password appuntate in maniera sbadata su fogli di carta...

Fatto questo screening passano al secondo livello di analisi, che spesso e volentieri comprende il già citato Glassdoor.

Il sito internet, nel quale gli impiegati e gli ex impiegati di un'azienda anonimamente recensiscono le aziende e i loro superiori, è in grado di fornire informazioni – direttamente dalla bocca di ex e correntemente impiegati – come salari, struttura aziendale, domande tipiche durante la fase di selezione e altri pro e contro relativi all’azienda.

I Criminal Hacker possono accedervi senza sudare troppo e creare un attacco di Social Engineering contro i nuovi dipendenti o quelli già lì da tempo. E non c’è nulla di più pericoloso di una mail di Phishing fatta per far “innamorare” i dipendenti che finiscono per inviare le credenziali in un modulo o un link fraudolento.

L’ultimo metodo è quello di utilizzare YouTube. Un breve video, anche non necessariamente dalla pagina Corporate, può essere un vero tesoro d’informazioni. Un dipendente che carica la storia di una giornata tipo in ufficio può inconsciamente rivelare passaggi come le procedure di check-in, la disposizione degli edifici, la struttura del parcheggio, i controlli delle porte, le credenziali, il dress code dei dipendenti, le disposizioni di sicurezza dei locali, i sistemi operativi, la scelta degli antivirus, i numeri di telefono e molto altro ancora.

Se un Criminal Hacker trova il video giusto, compromettere la sicurezza dell'organizzazione diventerebbe un compito sicuramente più facile.

Come contrastare il fenomeno

Ovviamente davanti a un’azione di Data gathering “in chiaro” e non frutto di azioni di forza bruta come la violazione di Database come questa bisogna agire sul fronte più umano del rischio.

È sicuramente in carico ai datori di lavoro formare adeguatamente i nuovi dipendenti e gli stagisti a mantenere sicuri i beni aziendali per prevenire le violazioni e soprattutto i Leak dei social media.

Bisogna sempre mettere bene in chiaro quali sono le politiche aziendali quando pubblicano su qualsiasi sito web di social media o altre piattaforme che richiedono informazioni aziendali, anche circostanziali.

Educarli attraverso scenari comuni sulla protezione delle informazioni personali e sulla sicurezza dei dati aziendali è essenziale per la sicurezza aziendale.

Non dobbiamo sottovalutare il rischio concreto che questa disattenzione e generale laissez faire nei confronti delle policy legate ai social potrebbe portare a devastanti attacchi Ransomware e relativi processi di Data Recovery.

Il fenomeno del Data Gathering attraverso i social, come spiegato, spesso sfocia in azioni di Phishing e Spear Phishing mirate.

Per i dipendenti, alcune semplici regole possono evitare il peggio:

  • Eseguire dei controlli costanti del proprio conto corrente: movimenti e transazioni sono da tenere sempre monitorate in modo da accorgersi in caso di scostamenti irregolari;
  • Segnalare ogni contenuto potenzialmente pericoloso come SPAM. Se pensi di essere oggetto e bersaglio di una campagna di phishing, segnalalo al tuo client di posta contrassegnandolo come SPAM;
  • Ricevuto un messaggio, verificarne sempre la sua provenienza. Un indicatore possibile di phishing, come abbiamo visto in precedenza, sono gli errori: rileggilo più e più volte se non sei sicuro;
  • Nel caso in cui viene individuato il chiaro tentativo di phishing, ovviamente, non cliccare su alcun link presente nel messaggio e, tanto meno, non scaricarne eventuali allegati;
  • Non tenere aperte troppe schede nel tuo browser, abbiamo già visto quanto può essere pericoloso il tabnabbing.

Per le aziende, invece, le raccomandazioni sono:

  • Formare costantemente i propri dipendenti;
  • I dipendenti dovrebbero seguire alla lettera le indicazioni specificate sopra, punto fondamentale per una corretta gestione del rischio;
  • Aggiornare costantemente i web browser;
  • Eseguire attività di Vulnerability Assessment per essere certi che i siti web e le web application aziendali siano prive di vulnerabilità potenzialmente attaccabili da un terzo malintenzionato;
  • Svolgere periodicamente attività di Network Scan per essere certi che la propria infrastruttura IT aziendale sia al riparo da spiacevoli attacchi.

    Tuttavia quando è evidente come il punto fondamentale su cui insistere sia quello della formazione sono nati servizi come il Phishing simulation Attack.
Di più su questi argomenti: