Lo Spear Phishing è una truffa via e-mail diretta ad una persona, un gruppo specifico o un’organizzazione. Ad esempio una banca, un’azienda, un ufficio governativo, ecc. A differenza del phishing, che è un invio massivo ed indiscriminato di mail fasulle effettuato con lo scopo di “sparare nel mucchio”, la mail di Spear Phishing viene inviata ad un bersaglio preventivamente identificato come ad esempio un utente con particolari accessi o funzioni aziendali.
Lo scopo dello Spear Phishing è ottenere l’accesso non autorizzato ai dati sensibili a disposizione della vittima o ad un computer all’interno dell’organizzazione dal quale lanciare l’attacco vero e proprio. Un esempio di attacco Spear Phishing è il virus Carbanak, del quale Kaspersky ha pubblicato lo scorso anno un’analisi effettuata a seguito dell’infezione, da parte di un gruppo criminale, di circa 100 istituti bancari con sedi in vari Paesi.
Questo attacco è stato effettuato puntando specificatamente alle banche perché è il posto dove si trova il denaro, ma la tecnica è la medesima che viene impiegata per colpire qualunque tipologia di bersaglio, azienda o governo che sia.
Nel caso in esame l’infezione è partita tramite la ricezione di una e-mail di Spear Phishing con un link ad un sito infetto o con allegati documenti contenenti macro che sfruttano una vulnerabilità Office al fine di installare il virus.
Carbanak è un sistema APT (Advanced Persistent Threat) che permette di prendere il controllo di un computer ed osservare le attività dell’operatore legittimo. Quasi come essere posizionati dietro le spalle dell’operatore mentre questi lavora al suo computer.
Sfruttando questa funzione i criminali hanno appreso, direttamente dagli inconsapevoli dipendenti della banche vittima, le modalità operative necessarie per effettuare “a piacere” operazioni di trasferimento fondi e gestione di ATM, rubando in questo modo oltre 1 miliardo di dollari.
Secondo Proofpoint, dopo un periodo di pausa, sono ripresi e sono ancora in corso attacchi a istituzioni finanziarie in USA, Medio Oriente ed Europa effettuati con il modello Carbanak.
OSINT per tutti, buoni e cattivi
Abbiamo detto che l’attacco Spear Phishing viene indirizzato a spcifici bersagli appositamente selezionati. Ma come è possibile trovare le informazioni necessarie per preparare l’attacco?
La prima fase di qualunque attacco ed in particolare degli attacchi di ingegneria sociale, come in effetti è un attacco Spear Phishing, è la ricerca di informazioni sull’organizzazione che si vuole colpire.
Per acquisire informazioni vengono analizzati i siti web istituzionali alla ricerca di ogni tipo di notizia utile. Nominativi di dipendenti, struttura interna, sistemi informatici, procedure, modalità operative, e-mail, server, documenti. Vengono analizzati i social network alla ricerca di account ufficiali e personali dei dipendenti nei quali si possono spesso trovare informazioni che sarebbe stato meglio non pubblicare.
Ed in effetti, la pubblicazione indiscriminata di informazioni personali ed aziendali da parte di utenti (per voglia di protagonismo, condivisione, necessità di evasione, ricerca di nuovi contatti, rivalsa, sfogo o altro) ed organizzazioni (siti web, profili istituzionali, comunicati stampa, comunicazioni interne, documenti pubblici, ecc.) unita alla mancanza di consapevolezza da parte degli utenti e a procedure aziendali non adeguate per la pubblicazione di documenti, siano online o meno, non fa altro che facilitare l’acquisizione delle informazioni necessarie ai criminali per sferrare attacchi che il più delle volte vanno a buon fine.
Una volta individuati uno o più soggetti “interessanti” vengono create ed inviate e-mail appositamente costruite per apparire inviate da indirizzi “trusted” e contenenti riferimenti ed informazioni reali per non creare sospetti e guadagnare la fiducia della vittima.
Ovviamente in queste mail vengono opportunamente inseriti link o allegati malevoli e l’invito a cliccare o aprire l’allegato con una qualche scusa plausibile. La vittima clicca ed il gioco è fatto.
Come abbiamo visto, tutto si basa sulle informazioni liberamente disponibili su internet (e non solo). OSINT, Open Source Intelligence è l’insieme di strumenti e tecniche per la ricerca di informazioni su fonti aperte. Chiunque può, impiegando queste tecniche, ricercare, esaminare, correlare le informazioni pubblicamente disponibili per ottenere informazioni su una organizzazione, sui progetti, sui processi aziendali, sulle persone.
Su queste informazioni si basano gli attacchi dei criminali come pure le attività dei competitor.
Cosa fare per prevenire i rischi
- Formare dipendenti e dirigenti per un utilizzo consapevole degli strumenti (computer, apparati mobile, mail, social network, ecc.)
- Definire e applicare policy e best practice
- Verificare periodicamente il grado di consapevolezza degli utenti e l’applicazione delle policy
- Utilizzare strumenti di prevenzione (blocco di servizi e di siti, analisi e filtraggio dei contenuti, crittografia, firma elettronica e così via)
- Effettuare o fare effettuare analisi OSINT sulla propria organizzazione e sulle figure chiave (ed agire di conseguenza) per:
- Verificare quali informazioni rilascia/ha rilasciato la propria organizzazione
- Valutare quali informazioni sono pubblicamente disponibili da altre fonti (compresi i dipendenti) sulla propria organizzazione o su figure chiave
- Valutare/sanitizzare i documenti pubblicati o da pubblicare.
Conclusioni
Lo Spear Phishing funziona perché fa leva sulla curiosità innata degli utenti, sulla “moda” dei social network, sulle informazioni impropriamente pubblicate che vengono utilizzate per creare mail credibili ed “appetibili” dalle vittime designate.
Essere proattivi effettuando analisi OSINT può aiutare a trovare i problemi, ma la formazione e la consapevolezza sono le chiavi per ridurre i rischi.
Ricordate l’acronimo PEBKAC: Problem Exist Between Keyboard And Chair.
Facebook Comments