Sotto attacco

Management

Alcuni attacchi apparentemente malriusciti o fin troppo banali potrebbero in realtà nascondere progetti di ben più vasta portata, sia a livello globale sia a quello locale

Recentemente anche in Italia si è verificato un tentativo di Phishing ai danni di un noto istituto di credito. Si è trattato di vero attacco o di una raccolta preventiva d’informazioni ? Il caso di Banca Intesa può rappresentare il primo segnale della preparazione di un attacco più articolato e su vasta scala, ma anche a livello locale i primi sintomi di un’agressione ai sistemi aziendali possono presentarsi in modo simile. Improvvisamente nella vostra azienda iniziano ad arrivare strane mail indirizzate ai vostri dipendenti, il sito web aziendale segnale improvvisi picchi di attività in orari inconsueti, il firewall aziendale registra un’attività superiore alla media, si tratta di una serie di coincidenze o dell’inizio di un attacco? Tornando ad esempio al caso di Banca Intesa, molti di voi negli ultimi giorni avranno avuto modo di notare nella propria casella e-mail il seguente messaggio in inglese: “Dear Banca Intesa Member, This email was sent by the Banca Intesa server to verify your e-mail address ?” Il messaggio che al termine invitava a collegarsi a quello, che solo in apparenza, era il sito ufficiale della banca è stato inviato in modo indiscriminato sia a utenti che risultavano essere effettivamente clienti di Banca Intesa, sia a soggetti completamente estranei. Questo particolare evidenzia quindi come gli indirizzi e-mail dei destinatari non siano stati recuperati attraverso un attacco diretto ai sistemi della banca o ad una falla di sicurezza del gruppo, bensì generati in modo casuale. La tecnica è quella ormai nota che punta sui grandi numeri “sparando nel mucchio” e sperando di raggiungere alcune delle vittime designate. Nel caso della vostra azienda il meccanismo potrebbe essere molto simile, con la differenza che in questo caso i possibili indirizzi e-mail sono limitati a precise regole. Per l’attaccante si tratta solo di fare un po’ più fatica. Ma ben presto, grazie alle numerose tecniche di (footprinting = raccolta informazioni) e all’analisi dei domini registrati a nome della società, potrà generare alcuni, se non tutti, gli indirizzi di posta locali. Anche in questo caso per l’attaccante basta raggiungere un numero limitato di vittime, se non addirittura una sola. La singola risposta di un dipendente a una mail confezionata ad arte può fornire numerose informazioni agli aggressori. Innanzitutto da quel momento è noto un possibile anello debole della struttura, un dipendente predisposto a considerare e a rispondere a mail esterne, e molto probabilmente non informato sufficientemente sui rischi che si possono correre. Banca Intesa ha reagito con prontezza raggiungendo tutti i propri clienti che avevano stipulato un contratto home banking, e che avevano quindi fornito un indirizzo e-mail, inviandogli un messaggio d’avviso L’attacco phishing in questione, rispetto al gran numero di quelli giornalmente effettuati negli Stati Uniti mostrava alcuni evidenti limiti e imprecisioni, forse troppi per essere veri. Il fatto di essere stato inviato in lingua inglese per esempio, e quello di non essere stato in molti casi identificato dal logo e dalla grafica del gruppo bancario, ne ha limitato di molto la diffusione e l’impatto. Probabilmente lo scopo dell’attacco Phishing era in realtà quello di valutare la capacità di reazione e il livello di attenzione degli utenti in generale e delle istituzioni in particolare. Anche a livello aziendale un attacco che a prima vista appare banale e di facile rilevazione può in realtà nascondere altri obiettivi, oltre a generare un falso senso di sicurezza nelle capacità del proprio sistema di difesa. Non dimentichiamoci che probabilmente con l’invio massiccio di posta precedentemente descritto l’aggressore ha già individuato uno o più dipendenti sprovveduti. In questo caso quindi, un banale attacco di disturbo potrebbe mascherare l’organizzazione di un’aggressione condotta dall’interno inviando agli indirizzi dai quali si è precedentemente ricevuto risposta una mail con allegati ‘maligni’ in grado di aprire falle nel sistema di sicurezza. Oppure, come nel caso del gruppo bancario potrebbe trattarsi di una prima fase di scansione delle vostre difese per saggiarne il grado di aggiornamento, il livello di impenetrabilità e la vostra capacità di reazione.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore