Durante la giornata di ieri sono stato coinvolto da un mio cliente, che ovviamente lascerò anonimo, per un attacco di tipo Social Engineering, ovvero che conteneva un aspetto "sociale" estremamente forte. L'attacco ha causato una perdita economica estremamente considerevole e difficilmente recuperabile.
Il social engineering consiste nell'introdurre una componente sociale importante in un attacco che di tecnico potrebbe avere anche poco o nulla. Un esempio "didattico" lo introdussi quando uno dei miei attuali collaboratori iniziò a lavorare per noi. Per trasferire l'importanza della sensibilizzazione degli utenti, gli chiesi di chiamare dei clienti a caso, presentarsi come uno dei nuovi tecnici dell'azienda manutentrice e chiedere loro, con una scusa qualsiasi, la password d'accesso ai propri computer. Con suo immenso stupore, una percentuale molto alta diede la password pur non avendo mai sentito la voce ed il nome del nuovo collaboratore. Da quel giorno nacque una continua campagna di sensibilizzazione, perchè investire tempo su un utente non è meno nobile di investirlo nella revisione delle regole di firewalling o nella messa in sicurezza di un server pubblico.
Tutti noi, chi più chi meno, abbiamo fatto gli anticorpi ai file .zip o .exe, o, in genere, agli allegati via posta. Più o meno sappiamo riconoscere il phishing quotidiano e, con gradi di perspicacia certamente differente, ne stiamo alla larga. Ci sono, tuttavia, degli attacchi in grado di portare l'effetto ad un livello superiore.
Proviamo, quindi, ad analizzare step-by-step l'attacco avvenuto, tenendo in considerazione che non solo si tratta di un attacco reale, ma che ha sortito l'effetto voluto verso utenti solitamente attenti e affatto superficiali.
- step 1: la compromissione tecnica
la casella di posta di un fornitore del mio cliente viene compromessa. L'attaccante, a differenza di quanto accade normalmente, rimane in ascolto. Legge tutte le email ed elabora un piano attendendo una situazione favorevole.
- step 2: la situazione fa l'uomo ladro
il fornitore entra, dopo qualche settimana, in una situazione debitoria. L'attaccante, quindi, registra un dominio molto simile a quello originario (utile solo ad impostare il "rispondi a") e manda un'email al mio cliente dalla casella reale e compromessa del fornitore indicando la nuova banca per effettuare il bonifico. Trattandosi di una situazione internazionale, il fatto che la banca fosse altrove non ha destato alcun sospetto.
NB: L'email riportava l'intero elenco della conversazione con svariati reforward precedenti, i riferimenti reali dell'ordine (numero, data, importo, merce), le firme, i nomi degli interlocutori, lo stile discorsivo e sintattico del mittente originario. Non è un semplice phishing, era per tutto ed in tutto assolutamente veritiera. Era studiata perfettamente nei minimi dettagli ed era frutto di un'analisi durata probabilmente settimane.
- step 3: la veridicità
il mio cliente risponde (e la risposta va in automatico sul nuovo dominio del "rispondi a", tenendo all'oscuro il fornitore originario), lo scambio di email si interrompe alla seconda risposta, dove si indica di aver effettuato il bonifico correttamente.
Dopo qualche giorno, il fornitore reale invia richiesta di saldo, e si scopre il tutto.
Morale della favola: la sicurezza informatica non può prescindere da una buona dose di diffidenza e conoscere il fenomeno degli attacchi a sfondo sociale è assolutamente fondamentale. Questo esempio è, purtroppo, un perfetto esempio di come molto spesso un grado tecnico relativamente elementare può, se sfruttato al meglio e se coadiuvato da tecniche di tipo sociale, causare gravi danni.
