Vogliamo condividervi una nostra esperienza in merito un caso di “Phishing Risk Assessment” che abbiamo condotto per un nostro cliente in colocation: un’attività certamente interessante e che ci ha permesso di ottenere, in maniera “non autorizzata”, delle credenziali di sistema valide, sfruttando semplicemente il fattore “umano”.
Lo scopo della simulazione è stato verificare se un attacker esterno, non in possesso di alcuna informazione relativa all’azienda posto sotto attacco (al di fuori di quelle presenti pubblicamente in Internet), potesse – e con quale livello di difficoltà – ottenere accesso in maniera non autorizzata a dati sensibili tramite attività di phishing ai danni dei suoi dipendenti, facendo loro eseguire azioni a vantaggio dell’hacker.
Gli obiettivi del “tester” erano fondamentalmente questi:
- spingere i dipendenti a eseguire azioni a suo vantaggio
- conoscere il livello di conoscenza e consapevolezza dei pericoli a cui si è esposti utilizzando un servizio di posta elettronica
- arrivare a ottenere informazioni private, credenziali di autenticazione di account di sistema, di strumenti aziendali, oppure dei clienti/fornitori dell’azienda vittima della campagna di phishing
L’analisi: esame dei canali online e attività di ingegneria sociale
Oggi tutti sappiamo quanto sia importante la formazione in ambito cybersecurity e come ogni infrastruttura esposta in Internet dovrebbe essere protetta da sistemi come per esempio un WAF, ma nella realtà dei fatti, purtroppo, questi “buoni propositi” non sempre vengono rispettati correttamente. E proprio questo elemento ha contribuito al successo dell’hacker.
Ma entriamo subito nel vivo della questione e vediamo come si è svolto l’attacco.
Il vettore “principe” del phishing è sicuramente il servizio di posta e, per essere efficace, un attacco deve essere elaborato sulla base di dati precisi.
Per questo motivo abbiamo dedicato la fase iniziale dell’assessment alla raccolta di informazioni sui dipendenti dell’azienda e allo studio dei propri ruoli e interessi, individuando dei contatti e selezionando in seguito quelli potenzialmente più vulnerabili.
In prima battuta, è stata eseguita un’analisi delle pagine web del sito internet aziendale, lavoro molto veloce e che non ha fatto emergere nessun dato al di fuori di informazioni generiche, come indirizzi email del tipo “info@” o “contatti@.
Successivamente, controllando i metadati dei file digitali pubblicati sia sul loro sito che facendo qualche ricerca online (ad esempio su “Slideshare”), siamo riusciti a raccogliere i primi 2 indirizzi email validi e i nomi dei rispettivi utenti; le ricerche pero’ erano appena iniziate e infatti, nella pagina aziendale di “Facebook”, c’erano foto e video che esponevano ruoli aziendali e nomi di altri dipendenti.
Estendendo questi attività di OSINT (Open Source INTelligence) partendo da Facebook e supportandoci con Google, tramite una semplice ricerca del tipo “nome della persona che ha messo un like +NomeAziendaBersaglio”, è stato possibile individuare altri nuovi contatti email.
Infine, abbiamo concluso la ricerca utilizzando la piattaforma “LinkedIn”, verificando quindi tutti i dati raccolti.
Facendo il punto della situazione, in poche ore siamo riusciti a ottenere poco meno di una decina di indirizzi email e quasi il doppio di nomi relativi ai dipendenti con i rispettivi ruoli aziendali, verificando queste risorse:
- sito web aziendale
- file (lettura documenti, analisi dei metadati, ecc.) pubblicati online
- profili Facebook
- ricerca su LinkedIn
- attività OSINT via google dorking
Rimanendo nei panni dell’attacker, abbiamo quindi selezionato i potenziali bersagli seguendo queste 3 semplici regole:
- evitare di attaccare ruoli con esperienze di carattere tecnico in ambito informatico
- puntare a dipendenti che hanno accesso a informazioni appetibili come dati personali
- attaccare ruoli che potrebbero avere account di sistema o accesso a strumenti aziendali
Per rendere la campagna di phishing più efficiente, definita la lista dei contatti “potenzialmente vulnerabili”, abbiamo eseguito una raccolta delle informazioni esposte pubblicamente sul loro conto.
Il servizio di posta elettronica come vettore di attacco
Per eseguire l’attacco sono state definite una serie di strategie che avevano (quantomeno inizialmente) come vettore di attacco il servizio di posta.
Di conseguenza abbiamo iniziato a inviare delle semplici email di testo per tentare di carpire dati sensibili “ingannando” i dipendenti, proseguendo con altri messaggi di phishing contenenti allegati che simulavano un malware, fino a implementare siti ad-hoc per distribuire backdoor e portare a termine un APT (Advanced Persistent Threat).
Quest’ultima fase è stata quella indubbiamente più interessante, perché gli attacchi sono stati implementati in maniera estremamente personalizzata. Un esempio? Al dipendente che, nella scheda profilo, era associato all’informazione “Tifa Inter” e “potrebbe essere appassionato di calcio e calciomercato”, abbiamo inviato un’email come quella rappresentata qui di seguito,
invitandolo a visitare un sito registrato e implementato ad-hoc per lui,
dove una frase di tipo “call to action” provava a indurlo a scaricare localmente ed eseguire sulla propria postazione un “finto malware”.
Il “finto malware” presente sul sito, altro non è che un’applicazione MFC per sistemi Windows scritta con la versione gratuita di Microsoft Visual Studio, distribuita con estensione “.scr”, non rilevabile come dannosa da nessun antivirus e a cui veniva personalizzata l’icona per rimanere nel contesto dell’attacco.
Lato utente, l’esecuzione del “virus” avrebbe generato un “finto” messaggio di errore, con lo scopo di non indispettirlo, pur non potendo aprire il file correttamente.
Contestualmente, avremmo ricevuto una notifica via HTTP relativa all’avvenuta “infezione”.
Questo lavoro in particolare, pur essendo stato stimolante da architettare e implementare, non ha portato a nessun risultato utile poiché tutte le email sono state ignorate e chi le ha ricevute non ha neanche visitato il sito indicato nel messaggio.
Sapete invece quale è stata la tecnica di attacco che ha riscosso il maggior successo, pari al 100%?
Nulla di tecnologico né di originale: è stata la fatidica “email del capo”…
In questo ambito, precisiamo che l’attacco ha messo in luce, oltre ad alcune criticità sul piano della cultura della cybersecurity, problematiche più generali: l’azienda analizzata, infatti, non aveva implementato alcun canale sicuro da utilizzare per le comunicazioni interne, e non solo per inviare messaggi cifrati o chissà quale segreto industriale, ma anche per poter accertare l’autenticità del mittente, controllo possibile implementando semplicemente l’uso di chiavi PGP.
Sarebbe bastato questo a fermare quello che tra tutti è stato l’attacco che ha riscosso il 100% di successo.
Il messaggio, inviato falsificando l’indirizzo mittente, ve lo riportiamo di seguito:
Salve __UTENTE__,
le scrivo per metterla a conoscenza di un progetto che stiamo curando con una società esterna, che ci supporterà nello sviluppo di ********* per i nostri clienti.
Nel ruolo di __RUOLO DIPENDENTE__ credo che lei debba essere informato sin da ora, in particolar modo perche’ ho in mente di renderla partecipe di alcune “nuovi mansioni”, che a breve avremo modo di approfondire discutendone di persona.
Mi e’ stato suggerito di farle compilare un questionario relativo alla “Contentezza dei dipendenti”, nulla di che ma sarà utile per capire come inquadrarla al meglio per gestire determinate operazioni.
Il questionario non è ancora stato ancora elaborato, ma ci stiamo muovendo per preparare un sito ad-hoc e rendere pubblico tutto il materiale.
Nel frattempo può scaricare un modello PDF qui.
I nostri nuovi partner ci hanno già fornito una demo, non funzionante ma utile a dimostrarci come potrebbero supportarci e disponibile a questo indirizzo.
Per ovvi motivi richiede l’autenticazione, ma è connesso ai nostri sistemi quindi potrà collegarsi con il suo account aziendale e visionarlo.
Tra qualche tempo ne potremo discutere pubblicamente anche con il resto del personale, ma fino a quel momento ho bisogno della sua massima discrezione e assoluto riserbo.
Buon lavoro.
Come avrete intuito dalla lettura del testo, abbiamo preparato un finto questionario relativo alla “Contentezza dei dipendenti” (semplicemente scaricandone uno online e integrandolo con il logo dell’azienda del dipendente); poi, abbiamo registrato un nome a dominio del tipo aziendafittizia-partner.it e, infine, abbiamo preparato una pagina web capace di catturare i dati di accesso di quegli utenti che fossero caduti nel tranello.
Le credenziali di autenticazione inserite nel form di login sarebbero state inoltrate via HTTP verso un nostro sistema e il pannello avrebbe garantito l’accesso al resto del sito, che conteneva delle pagine HTML da visionare.
Email di phishing: come prevenire di cadere nel tranello?
Questa esperienza ci ha insegnato quanto sia facile per un attacker risalire ai contatti di un’azienda, profilarli evidenziando i loro interessi e potenziali debolezze, e provare a “convincerli” a eseguire azioni a proprio vantaggio.
Ora, immaginate se un vostro competitor vi avesse avesse sferrato lo stesso tipo di attacco: siete davvero sicuri che tutti i vostri dipendenti avrebbero ignorato ogni singola email di phishing?
Per definizione, queste minacce sono asimmetriche di natura, nel senso che l’hacker ha la possibilità di eseguire “infiniti” tentativi in maniera totalmente gratuita e istantanea, ma basta che solo uno di essi vada a segno e il bersaglio potrebbe perderebbe tutta la sua protezione, aprendo la strada all’accesso a dati privati e sensibili che egli stesso gestisce.
Ma come si possono affrontare questi attacchi? I nostri consigli sono quelli di instillare un’adeguata cultura in ambito cybersecurity nel vostro organico facendo corsi interni di formazione, utilizzando su ogni postazione e server un antivirus mantenuto costantemente aggiornato e sfruttare strumenti proattivi come il WAF per difendere le vostre risorse da problemi di business continuity e reputazionali.
