Come si è avuto modo di anticipare in precedenti articoli, le attività dei cyber criminali basate sul social engineering sfruttano le vulnerabilità umane.

Solitamente lo “sfruttamento”, cioè la truffa, è architettata in modo da colpire indiscriminatamente, come nel caso delle mail di phishing (clicca qui) e degli sms di smishing (clicca qui),  dove l’intento del pirata cibernetico è quello di sottrarre informazioni, dati, credenziali di accesso a siti internet e piattaforme, spingendosi anche a sottrarre informazioni delicate come i numeri della carta di credito.

Ma l’intento truffaldino degli hacker non si ferma certamente nel “tentare la sorte”, cioè nel gettare l’amo di un potenziale inganno che troverà effetto solo in chi per colpa, disinformazione o scarsa attenzione, aprirà le porte della propria identità digitale a chi la sfrutterà per proprio tornaconto.

Non è infatti nuova la pratica chiamata spear phishing (pesca subacquea), dove i criminali informatici puntano a colpire una “preda” ben determinata e specifica, esattamente come il pescatore subacqueo sceglie se e a quale pesce sparare.

Indice degli argomenti

  • Phishing e spear phishing, qualche chiarimento
  • Lo spear phishing
  • Strategie di spear phishing
  • Le e-mail di spoofing
  • Tra truffe milionarie e cyber spionaggio: come operano gli hacker
  • Come difendersi dallo spear phishing
  • Conclusioni

Phishing e spear phishing, qualche chiarimento

Prima di analizzare più nel dettaglio gli attacchi di spear phishing, sembra doverosa una precisazione: quando si parla di “phishing” non si sta parlando di una tecnica in particolare, ma di una categoria (molto ampia) di attacchi informatici, all’interno della quale le tecniche malevole possono essere diverse (e-mail; sms; chiamate vocali: “Whishing”) solo per citarne alcune.

Allo stesso modo, quando si parla di “spear phishing”, non si sta identificando niente di preciso rispetto alla strategia di attacco, se non che tale strategia punterà su un obiettivo ben preciso, studierà in maniera talvolta maniacale il soggetto o la persona giuridica (società) che sarà fatta oggetto di attacco, e utilizzerà anch’essa il “phishing” per arrivare al bersaglio.  

Lo spear phishing

Lo spear phishing è una soluzione di cyber crime molto elaborata e costosa, che si basa anch’essa, come presupposto per la sua riuscita, sul social engineering.

Esistono varie tecniche per implementare questo tipo di attacchi, ma tutte hanno in comune il fatto di essere estremamente precise e dettagliate.

Il cyber criminale infatti, come accennato poc’anzi, prende di mira un soggetto ben determinato – un politico, un uomo d’affari, un CEO (amministratore delegato di una società) – a seconda di chi “sceglie” per sferrare l’attacco, e studia tutto sul suo conto: gli orari di lavoro, gli spostamenti, gli appuntamenti di lavoro; arriva perfino a conoscere chi è la segretaria e quale sia il rapporto (di fiducia) tra i due.

Ma, come è facile intuire, lo studio della “vittima” non è che la fase di preparazione all’attacco, che viene perpetrata attraverso quella strategia che l’hacker riterrà più rispondente al suo intento.

Caratteristica peculiare degli attacchi di spear phishing è che l’hacker molto spesso non prende di mira direttamente la vittima designata, ma viene attaccato qualcuno che ha rapporti molto stretti con essa, un esempio è la segretaria dell’amministratore delegato, oppure l’avvocato del politico, il suo portavoce.    In questo modo il soggetto direttamente colpito dall’hacker non sarà nulla se non un tramite per arrivare “al pesce grosso” da cui il termine Whaling → letteralmente “andare a caccia di balene” dove la balena è proprio l’obiettivo finale, il bersaglio prescelto.

Strategie di spear phishing

Una delle (tante) strategie di spear phishing, consiste nel c.d. “spoofing” (dall’inglese Spoof → inganno, beffa, imbroglio). Lo spoofing è un attacco di impersonificazione.

Una persona (hacker) si finge un’altra persona (la vittima o persona a lui/lei vicina).

Esistono varie tipologie di spoofing:

  • E-mail di spoofing →  (Modifica dell’intestazione per fingersi un’altra persona)
  • MAC spoofing  (falsificazione indirizzo MAC con cui un pc riceve dati da un altro pc)
  • IP spoofing →  (falsificazione mediante mascheramento dell’indirizzo IP)
  • ARP spoofing →  (contraffazione indirizzo MAC con indirizzo IP di un autorizzato)
  • DNS spoofing →  (Modifica DNS per indirizzare il Nome di dominio all’IP dell’attaccante)

 Le e-mail di spoofing

 La mail di spoofing è la tecnica più usata, quella più subdola.

Il cyber criminale invia una mail alla potenziale vittima, modificando l’intestazione della stessa e spacciandosi per un’altra persona (un amico, un parente, un tecnico del pc, l’avvocato della società, il capo ufficio…).

Obiettivo dell’hacker è ingannare il malcapitato facendogli credere che la mail sia stata inviata da una persona di fiducia, o comunque al di sopra di ogni sospetto.

Questa tecnica si basa sul presupposto che molto spesso gli utenti non controllano affatto l’indirizzo del mittente, ma tendono a fidarsi dell’intestazione e a prendere per veritiero il contenuto della stessa.

D’altronde, se arriva una mail dal proprio capo, una delle tante magari, perché dovrebbe destare sospetto? E’ proprio su questo che fanno leva gli hacker.

Questo è il social engineering. 

Così facendo possono essere inviati allegati malware molto invasivi, che si auto installano e permettono all’hacker di prendere letteralmente il controllo del computer.

Andata a buon fine la mail di spear phishing infatti, l’hacker può avere accesso al computer della vittima per mettere in pratica il suo piano criminale, può avere accesso ad interi database di società, a dati sensibili, segreti industriali, marchi e invenzioni in via di brevettazione e, cosa forse più importante, avendo il controllo del computer, potrà inviare mail o compiere azioni con gli stessi privilegi informatici di colui che è stato hackerato;  per cui se questi è l’amministratore delegato di una certa società, l’hacker avrà gli stessi privilegi dell’amministratore delegato. (Dipende sempre dalla strategia adottata di volta in volta dall’hacker e dal suo intento specifico).

Si è fatto l’esempio dell’invio di una mail con l’intestazione modificata, ma molto spesso i cyber criminali progettano i loro attacchi tanto meticolosamente che riescono ad impadronirsi della casella mail ufficiale (della vittima o del tramite).

Come è possibile? Molto spesso acquistando nel dark web interi schedari di indirizzi mail e delle relative password frutto di attacchi brute force o di data breach, o ancora impadronendosi di credenziali di accesso frutto di precedenti campagne di phishing.  

 Tra truffe milionarie e cyber spionaggio: come operano gli hacker

Non mancano certo degli esempi di truffe perpetrate tramite attacchi di spear phishing:

Un esempio eclatante, tanto assurdo quanto vero, si è verificato ai danni della Confindustria (clicca qui).

Nel 2017 il Direttore della delegazione di Confindustria a Bruxelles riceve una mail dal Direttore Generale di Confindustria Italia.

Il testo della mail recitava più o meno così: “Caro G. dovresti eseguire un bonifico di mezzo milione di euro su questo conto corrente (specificando l’iban). Non mi chiamare perché sono in giro con il Presidente e non posso parlare”.

Peccato che la mail in questione non provenisse affatto dal Direttore Generale di Confindustria ma fosse una mail di spoofing (denominate mail BEC → nello specifico mail CEO fraud) in cui l’hacker si era finto Direttore Generale.

Morale? Bonifico effettuato e 500.000€ volatilizzati in un clic.

Altro esempio, forse anche più eclatante del precedente, è quanto accaduto ai danni della Società Sportiva Lazio (clicca qui).

Nel 2014 la S.S. Lazio acquista dalla Società calcistica Feyenoord il difensore Stefan de Vrij con l’accordo, tra i club, del pagamento in quattro tranche degli otto milioni del cartellino del giocatore. 

A ridosso del pagamento dell’ultima tranche, 2 milioni di euro, il club biancoceleste riceve una mail da un dirigente della società olandese in cui si chiedeva di effettuare l’ultimo pagamento mediante bonifico ad un codice iban diverso da quelli precedenti.  

Anche in questo caso la conclusione della vicenda è la stessa: bonifico effettuato e 2 milioni di euro spariti nel nulla.

Ad aver inviato la mail infatti, non era stato affatto un dirigente del Feyenoord, ma un hacker che era riuscito ad intrufolarsi nelle comunicazioni tra i club e a spacciarsi (spoofing) per un dirigente della squadra creditrice, riuscendo a dirottare su un proprio conto corrente l’accredito della somma di denaro.

Lo spear phishing, come è stato detto all’inizio, e come si sarà capito dagli esempi riportati, è uno strumento molto sofisticato e “potente” di implementazione di attacchi informatici.
Lo scopo truffaldino però è solo uno dei tanti scopi perseguibili con questo strumento, tanto che se si volge lo sguardo verso gli “affari di Stato” è anche attraverso lo spear phishing che si implementano azioni di cyber spionaggio; e se ci si chiede perché questo sia uno strumento tanto usato, è facile capirlo: perché è estremamente efficace.

 Un’azione di spear phishing ben studiata, e condotta a buon fine, fa si che siano gli stessi soggetti attaccati ad aprire le porte dell’intero sistema informatico all’hacker.

Ancora una volta il fattore principale della buona riuscita di questi attacchi è il fattore H, ossia il fattore umano (clicca qui).

Un esempio di cyber spionaggio, italiano, ce lo porta il caso “Eye Pyramid” (clicca qui).

Due fratelli, tra il 2010 e il 2016 sono riusciti ad hackerare più di 18.327 dispositivi, tra i quali molti computer di noti politici come Mario Monti e Mario Draghi (tra i tanti).

Il modus operandi dei due “fratelli hacker” si serviva dello spear phishing e delle mail di spoofing: tramite caselle e-mail compromesse di noti studi legali, inviavano contenuti con allegati infetti da un Trojan denominato “Eye Pyramid”, che permetteva di controllare i dispositivi infettati a distanza tramite un malware “RAT” (remote access tool)  aggiornato di sovente per renderlo irrintracciabile agli antivirus.

Così facendo gli hacker hanno avuto accesso a informazioni di Stato, a segreti industriali e hanno potuto “gestire” questi dati per proprio tornaconto.

Non può che allarmare il fatto che molti dispositivi siano stati tenuti in “ostaggio” per ben 6 anni, ovviamente all’insaputa dei legittimi, nonché ignari, utilizzatori.   

 Come difendersi dallo spear phishing

A questo punto una domanda sorge spontanea: come è possibile che con una semplice mail si chieda a qualcuno di compiere un’azione – come effettuare un bonifico – e questa venga eseguita, apparentemente, senza nessun controllo? come difendersi dal fenomeno spear phishing?

Bisogna dire subito che trovare una risposta univoca a questa domanda non è possibile.

Ovvero non è possibile individuare solamente qualche accorgimento che, come nel caso del “semplice” phishing, può essere un idoneo deterrente contro certe mail talvolta anche mal scritte.

Certo i classici : “controllare l’intestazione”; “controllare i link allegati, e non cliccare se rimandano a URL sconosciute”; “non scaricare allegati se si hanno dubbi sulla provenienza della mail” sono assolutamente valevoli, ma nel caso dello spear phishing sono anche molto deboli, inadeguati; i cyber criminali infatti, sono assolutamente consapevoli delle tecniche standard di difesa contro il phishing.

Ragion per cui la difesa contro gli attacchi informatici di spear phishing non può prescindere da una vera e propria strategia, soprattutto in ambito aziendale.

Implementare protocolli di sicurezza è pressoché l’unico modo per cercare di scongiurare o quantomeno rendere più difficili questo tipo di attacchi.

Frasi del tipo: “non chiamatemi perché non posso rispondere”; “stamattina non cercatemi per nessun motivo” dette da parte del CEO o del Direttore Generale di una società ad un dipendente, si tramutano in vere e proprie vulnerabilità di sistema, che aprono le porte ad attacchi come nell’esempio della Confindustria.

Questi protocolli inoltre dovrebbero tener conto del contesto aziendale, degli asset sensibili e degli operatori che lavorano in quell’ambiente.

Gli operatori (dipendenti), infatti, sono l’asset più delicato – non si dimentichi che lo spear phishing si serve del social engineering per funzionare – per cui la formazione del personale, la sensibilizzazione contro queste forme di attacco, è tanto necessaria quanto fondamentale nell’implementazione della cyber resilienza aziendale.

Risulta davvero inutile dotarsi di apparecchiature hardware e software sofisticate pensando in questo modo di proteggersi, se poi il personale preposto al loro utilizzo è ignaro che esso stesso (personale) è un punto debole, anzi, è Il punto più debole, del sistema.

Bisogna tener a mente un aforisma molto conosciuto – e spesso ignorato – nel contesto della sicurezza aziendale: “Una catena è tanto forte quanto il suo anello più debole”.

Le apparecchiature informatiche sono costruite per rispondere agli input dell’operatore, non agiscono da sole; basta un click su un link malevolo per infettare potenzialmente un intero sistema informatico, anche il più sofisticato.

Conclusioni

Suggerire soluzioni non è certamente lo scopo di questo articolo, e neppure sarebbe possibile senza sconfinare in generiche indicazioni che potrebbero addirittura essere inadeguate e controproducenti in assenza di informazioni precise circa il contesto operativo.

Nonostante ciò si permetta un piccolo appunto:

sul presupposto dell’implementazione di protocolli di sicurezza atti a scongiurare attacchi di natura informatica, le imprese, ma anche gli studi professionali e i singoli professionisti, dovrebbero guardare al – quanto mai attuale ­- obbligo di adeguamento al GDPR (Regolamento UE 2016/679),       e all’attuazione delle misure di sicurezza (ex art. 32), come a un’opportunità per implementare un “perimetro di sicurezza ampio” – sia interno all’azienda che esterno → (vedasi il caso del lavoro in Smart working qui) – nel quale si tutelano e si garantiscono all’unisono non solo la sicurezza nel trattamento dei dati personali ma anche la “sicurezza d’impresa” a 360 gradi, comprendendo strumenti di cyber security.

Cambiando paradigma, si dovrebbe considerare il processo di adeguamento al GDPR come descritto sopra, come un vero e proprio investimento nel proprio core business, cioè nello strumento che permette(rà) all’imprenditore o al singolo professionista di stare (ancora) sul mercato. 

Alberto Pittau