Contenuto esclusivo – Scritto da Paolo Passeri, Cyber Intelligence Principal, Netskope
Social engineering, così i criminali informatici usano la “fiducia” come un’arma.
La fiducia è centrale nelle relazioni umane. Prendiamo decisioni basate sulla fiducia tutti i giorni. Queste decisioni, elaborate in meno di un secondo, spesso inconsciamente, determinano il modo in cui ci comportiamo, le persone per cui votiamo, le aziende con cui trattiamo e la confidenza che riponiamo nei risultati. Purtroppo, per tutti questi motivi, la fiducia è anche una delle armi preferite dai criminali. Dai ladri che approfittano di persone confidenti nel loro buon vicinato e che lasciano quindi aperte le finestre di casa nelle giornate calde, ai truffatori che si prendono gioco della fiducia di persone anziane derubandole dei risparmi di una vita.
Proprio come i criminali nel mondo reale, anche i criminali informatici abusano della fiducia, usando tattiche chiamate “social engineering” per accedere ai nostri sistemi digitali e rubare dati in molti modi diversi. Ma il social engineering non è l’unico modo per abusare della fiducia. Capire come gli attaccanti traggono vantaggio dalle nostre cattive decisioni basate sulla fiducia è il primo passo per difendersi.
Il social engineering spesso implica lo sfruttamento di un’applicazione o di uno strumento che utilizziamo nella nostra vita digitale quotidiana per svolgere attività lavorative o personali. È una tecnica sempre più utilizzata dai malintenzionati per diffondere malware o link malevoli a pagine di phishing.
Uno dei concetti alla base del phishing è lo sfruttamento della fiducia digitale: gli attaccanti utilizzano marchi noti perché sanno che le loro vittime si fidano e hanno familiarità con questi brand. Uno strumento, un’applicazione o un servizio online possono essere imitati per scopi malevoli. Questo spiega perché l’elenco dei marchi più impersonificati è normalmente guidato da aziende che svolgono un ruolo importante nella nostra vita digitale, come LinkedIn, Google, Amazon e Microsoft. Naturalmente, l’altro concetto alla base del phishing è lo sfruttamento della natura umana; ad esempio, stuzzicare la curiosità della vittima o creare un senso di urgenza (come l’apertura del file di una fattura di spedizione che deve essere pagata). Questo secondo aspetto spiega perché marchi come DHL si collocano regolarmente nelle prime posizioni di questa classifica: l’invito di un marchio di fiducia a tracciare un pacco inaspettato è davvero una combinazione esplosiva. Fiducia e curiosità (o urgenza) sono le armi letali di un attaccante.
Allo stesso modo, sfruttare un servizio cloud legittimo per distribuire contenuti malevoli, come malware o una pagina di phishing, è una tecnica diventata sempre più diffusa negli ultimi anni, alimentata dalla remotizzazione della forza lavoro e dalla conseguente crescente adozione (e fiducia) di servizi cloud. In questo caso, gli attaccanti non solo sfruttano la fiducia digitale in un’applicazione cloud da parte di individui che vedono un marchio familiare e un certificato legittimo, ma anche di organizzazioni che considerano affidabili i fornitori di cloud in modo da non imporre gli stessi controlli di sicurezza applicati al traffico web non cloud. Gli attaccanti fanno affidamento anche su alcuni elementi aggiuntivi che rendono più probabile il successo dell’attacco; ad esempio, non devono preoccuparsi della preparazione dell’infrastruttura e, allo stesso tempo, possono lanciare l’attacco da un’infrastruttura sempre pronta, disponibile e resiliente. Secondo il Netskope Cloud and Threat Report: Global Cloud and Web Malware Trends, negli ultimi 12 mesi il 47% del malware è stato distribuito da un’applicazione cloud.
Lo stesso report di Netskope ha anche scoperto che l’ottimizzazione dei motori di ricerca (SEO) è una tecnica sempre più comune utilizzata per tramutare la fiducia digitale in un’arma. A conferma di questa tendenza, i download di phishing sono aumentati negli ultimi 12 mesi, alimentati da attaccanti che utilizzano tecniche SEO per posizionare file PDF malevoli ai primi posti in motori di ricerca popolari come Google e Bing. L’abuso di tecniche di SEO non è certo una novità, ma ora è più efficace che mai perché troppe persone si fidano di Google e dei motori di ricerca in generale come dei moderni oracoli. Purtroppo, il fatto che un link si posizioni in cima ai motori di ricerca, non significa necessariamente che sia legittimo e benigno. Una delle conseguenze della pandemia è proprio il fatto che abbiamo spostato la nostra fiducia dalla vita reale al mondo digitale, offrendo nuove possibilità ai criminali informatici.
Uno sguardo alle principali categorie di riferimento per i download di malware negli ultimi 12 mesi conferma l’estensione di questa tendenza: guida la classifica la categoria “Tecnologia” (27%), davanti a “Motori di ricerca” (15%), “Notizie e media ‘ (11%), ‘Streaming e video scaricabili’ (11%) e ‘Shareware/Freeware’ (8%). Gli attaccanti trasformano la fiducia negli strumenti professionali (Tecnologia) o nelle abitudini personali (Notizie e media o Streaming e video scaricabili) in una minaccia per i cittadini di Internet.
In effetti, la presenza di “Shareware/Freeware” nell’elenco dei principali referrer di malware solleva un’altra questione importante ed è correlata alla necessità per individui e organizzazioni di abbracciare una nuova cultura della sicurezza. Ancora una volta, lo sfruttamento di questa categoria per fornire contenuti malevoli non è una novità; tuttavia, questa è un’epoca in cui il confine tra uso personale e lavorativo dei dispositivi aziendali è sfumato e ignorare le conseguenze di comportamenti superficiali (come scaricare un freeware in un dispositivo aziendale ignorando le policy aziendali) può avere conseguenze molto amare per l’individuo e l’organizzazione stessa. Questa cattiva abitudine è particolarmente pericolosa se si considera che “Shareware/Freeware” è anche una delle categorie principali per la distribuzione diretta di malware (appare al quinto posto con il 5%), dietro tecnologia e server di contenuti (entrambi al 23%), i siti non classificati (14%) e business (6%).
Costruire una cultura della sicurezza significa educare le persone ad avere fiducia nel digitale fino a una certa misura. Il concetto equivalente dal punto di vista tecnologico, applicato alle organizzazioni, è, ovviamente, il principio di fiducia zero (zero trust), che nega il concetto di fiducia implicita e sposta il modello di accesso dal paradigma “fidati, ma verifica” al paradigma “verifica, quindi fidati”. Gli utenti dovrebbero adottare lo stesso approccio quando sono invitati ad aprire un collegamento o scaricare un file da una fonte attendibile, sia per scopi personali che professionali, sostituendo la fiducia implicita con una fiducia esplicita e continuamente adattabile. Ma poiché errare è umano, le organizzazioni dovrebbero anche mettere in atto contromisure tecnologiche, adottando un approccio zero trust per garantire che solo gli utenti con il giusto livello di sicurezza possano accedere alle risorse interne.
