Gli attaccanti prendono continuamente di mira quelle aziende che hanno “un falso senso di sicurezza” (così lo definiscono gli esperti di sicurezza), ossia aziende che confidano troppo nella tecnologia per difendere le loro reti. Il monito viene da un esperto del Red Team di F-Secure – un gruppo di esperti in cyber security specializzati nell’attaccare in modo etico le aziende per metterne in luce debolezze e punti di forza.
“Usare la tecnologia per risolvere problemi umani non funziona, e chiunque vi dica qualcosa di diverso vi sta solo vendendo fumo,” ha dichiarato Tom Van de Wiele, Principle Security Consultant in F-Secure. “Gli attaccanti nella vita reale, specialmente i criminali, vivono perfezionando continuamente sottili trucchi di social engineering che ingannano le persone portandole ad abbassare la guardia. E lasciar credere ai dipendenti che tecnologie di sicurezzza all’avanguardia risolveranno ogni problema dà un falso senso di sicurezza, che è proprio ciò su cui gli attaccanti contano.”
A pesca con il phishing!
Il phishing è un esempio di ciò che Van de Wiele afferma relativamente all’errato eccesso di confidenza nella tecnologia. Secondo il Global State of Information Security Survey 2017 di PWC,* il phishing è stato il primo vettore degli attacchi informatici rivolti alle istituzioni finanziarie nel 2016. E considerando la diffusione sulla darknet di bundle di phishing-as-a-service gestito,** questi attacchi sono destinati a diventare sempre più prevalenti in futuro.
“Vi stupireste da cosa le persone cliccano mentre stanno lavorando. Non sono stupide, ma vengono prese alla sprovvista, senza necessariamente aspettarsi di essere ingannate,” ha dichiarato Van de Wiele. E in effetti, nei test del Red Team di F-Secure gli attacchi di phishing simulato registrano elevati tassi di successo.
In un incarico recente, gli esperti del Red Team di F-Secure hanno inviato un’email Linkedin fasulla per vedere quanti dipendenti della loro azienda cliente avrebbero cliccato su un link in un’email che non attendevano. Il 52% dei dipendenti ha cliccato. In un altro test, il Red Team di F-Secure ha creato un’email che portava a un portale fasullo dove i dipendenti dovevano loggarsi usando le proprie credenziali di dominio. Il 26% di chi ha ricevuto quell’email si è collegato al portale, e il 13% ha inserito le proprie credenziali di login.
Nulla è “off limits”
I test di Red Teaming che Van de Wiele e i suoi colleghi conducono includono una serie di prove progettate per mettere in evidenza ciò che le aziende stanno facendo in modo corretto e sbagliato quando si parla di sicurezza. I test sfidano le aziende nel rilevare, contenere e rispondere con successo ad attacchi informatici simulati mirati a rubare dati finanziari e proprietà intellettuale, o controllare parti chiave dell’infrastruttura IT di un’azienda.
Secondo Van de Wiele, questi test spesso sorprendono le aziende anche solo mettendo in evidenza quanto siano esposte ad attacchi. “La considerazione che le aziende hanno della loro sicurezza – spiega Van de Wiele – raramente corrisponde alle debolezze che gli attaccanti vedono”. I test prendono in esame l’intera superficie di attacco di un’azienda, non solo la parte digitale ma anche quella fisica – e tutto ciò che rientra sotto il brand dell’azienda.
“Molte aziende restano sorprese quando otteniamo accesso ai loro server offline, così come molti CISO sono impreparati a gestire un attaccante che ottiene accesso fisico alle loro sedi aziendali. E questo è estremamente facile da ottenere: tutto ciò che serve è un giubbino di sicurezza e un ordine di lavoro fisico. I giubbini di sicurezza sono meglio del mantello invisibile di Harry Potter. Indossalo e puoi ottenere accesso ovunque, senza che nessuno ti faccia domande.”
