Prima regola per affrontare una battaglia: conoscere il proprio nemico!
Quindi, prima domanda: cosa minaccia la sicurezza della mia azienda? E come posso prepararmi ad affrontarlo? Come dicevamo, la prima chiave per qualsiasi piano di sicurezza efficace è la consapevolezza.

Qui potrai imparare a distinguere le minacce più comuni che la tua azienda potrebbe dover affrontare, aiutandoti a comprendere meglio alcune delle tattiche dirette contro di te e i tuoi utenti, insieme ai motivi specifici per cui sei potenzialmente vulnerabile a ciascuno.

Dal phishing al ransomware fino agli attacchi DDoS (Distributed Denial of Service), più imparerai a riconoscere queste minacce, meglio sarà: si tratta delle principali cause di violazioni dei dati e tempi di inattività.

Avevamo già cominciato ad elencare alcuni degli attacchi più comuni, ma oggi entreremo maggiormente nel vivo della loro natura.

Cominciamo con il . . . Phishing!

Si tratta di qualsiasi tentativo di compromettere un sistema e/o rubare informazioni inducendo con l’inganno un utente a rispondere a un messaggio dannoso. Gli attacchi di phishing più comuni coinvolgono e-mail armate di malware nascosto in allegati o collegamenti a siti web infetti, sebbene il phishing possa essere condotto anche tramite altri metodi come posta vocale, messaggi di testo e social media.

I truffatori possono impossessarsi di account e-mail legittimi o falsificare i loro indirizzi e-mail per far sembrare che i messaggi provengano da qualcuno di cui i dipendenti si fidano.

Una volta che una vittima viene ingannata e viene compromessa, l’attaccante possiede le relative credenziali di accesso. Possono raggiungere tutti gli stessi server, accedere alle stesse applicazioni qeb e scaricare gli stessi file come se fossero quel dipendente.

Uno dei modi più semplici per difendersi è limitare a quali server i dipendenti possono accedere o come possono accedervi.
Inoltre, anche se si addestrano i dipendenti a stare in allerta di e-mail sospette, alcuni attacchi di phishing possono essere estremamente mirati e assomigliare a qualsiasi altra e-mail proveniente da una fonte attendibile che viene impersonata. Gli esempi più convincenti di questi “attacchi di spear phishing” non forniscono segnali d’allarme finché non è troppo tardi.

La manipolazione del Social Engineering

Ci sono due modi per rubare qualcosa: o te la prendi da solo o te la fai dare da qualcun altro. Social Engineering è un termine generico per qualsiasi tattica progettata per sfruttare e manipolare la fiducia, quindi la vittima consegna all’attaccante ciò che vuole: l’accesso a informazioni, account o computer all’interno di un’area protetta.
Un esempio molto attuale sono le false chiamate, che siano al servizio clienti progettate per reimpostare le password o a un criminale che falsifica l’indirizzo e-mail di un responsabile e chiede a qualcuno nel settore finanziario di inviare un bonifico bancario urgente. Questa tipologia di truffa ha un nome tutto suo, ossia BEC (Business Email Compromise).

Tutti possiamo essere truffati, defraudati, ingannati o manipolati. Essere vulnerabili a volte può ridursi a una mancanza di formazione o esperienza, ma più spesso può semplicemente dipendere da distrazione e stanchezza mentale. Poiché questo attacco prende di mira direttamente le persone, c’è ben poco che le protezioni tecniche possano fare.

La criminalità del Ransomware

Il Ransomware è un software dannoso progettato per crittografare i file di una vittima e quindi richiedere il pagamento in cambio della decrittazione dei file (ne abbiamo parlato in maniera approfondita nel nostro ultimo post blog dedicato all’attacco subito dal sistema sanitario irlandese, link).
Anche gli attacchi ransomware in genere iniziano con i dipendenti che cadono vittime di e-mail di phishing o visitano siti web compromessi. La differenza sta nell’obiettivo principale del ransomware ossia diffondersi il più rapidamente possibile, crittografare quanti più dati possibile, ed avvisare attivamente le vittime della sua presenza in modo che i criminali possano estorcerle.

Il ransomware bloccherà qualsiasi unità a cui il dipendente ha accesso, comprese le unità USB collegate e le condivisioni di rete. Una volta che i file sono stati crittografati, l’unico modo per riottenere l’accesso ad essi è:
1. Avere un sistema di backup affidabile e aggiornato;
2. Sperare che un ricercatore di sicurezza abbia violato la crittografia e reso disponibile uno strumento di decrittazione;
3. Arrendersi e pagare il riscatto.

Inutile dire che pagare potrebbe non risultare una soluzione concreta notata la natura criminale degli autori dei ransomware. A volte c’è il rischio di pagare il riscatto per poi scoprire che i file sono stati accidentalmente distrutti o resi irrecuperabili.
Con il ransomware, inoltre, si sta sviluppando un’industria da miliardi di dollari e ci sono molti incentivi per i criminali a continuare a investire in tattiche di distribuzione ed evasione per mantenere attivo il loro modello di business. Questo significa che possono cambiare più velocemente di quanto le soluzioni di sicurezza possano tenere il passo.

Una piccola parentesi sul Downloader

Con Donwloader intendiamo programmi dall’aspetto normale progettati per recuperare e installare malware senza generare allarmi di sicurezza.
Il problema maggiore: dopo che un attacco è stato scoperto e il malware è stato rimosso, fintanto che il downloader è ancora nascosto può ricominciare da capo il processo. Inoltre, i produttori di malware si concentrano esclusivamente sulla progettazione di downloader in modo che siano estremamente bravi ad evitare il rilevamento.

Download drive-by / Dirottamento del download:
Quando i maggiori siti web diventano trappole

Attenzione, attenzione: su Internet, gli hacker trovano modi per trasformare le visite a siti web popolari in attacchi nascosti. In alcuni casi, iniettano codici tramite commenti che costringono i visitatori ignari a scaricare automaticamente malware. In altri casi, compromettono il server web e inseriscono un codice dannoso in download apparentemente legittimi. Un altro trucco consiste nell’utilizzare kit di exploit, programmi progettati per sondare attivamente il sistema del visitatore del sito web alla ricerca di vulnerabilità del software che possono essere sfruttate.

Non solo gli aggressori hanno l’elemento sorpresa in queste situazioni, ma hanno anche una serie di trucchi per assicurarsi che abbiano successo. Ad esempio, se aggiorni il browser, aggiorneranno il loro codice; se correggi una vulnerabilità, passeranno ad una nuova.

Malvertising:
Attenzione agli annunci pubblicitari!

Gli esperti di marketing non sono gli unici a cui piace utilizzare la pubblicità, perché gli hacker fanno la stessa identica cosa creando annunci falsi o inserendo codici dannosi in annunci legittimi, in modo da poter letteralmente catturare il loro pubblico.

La fama dell’Attacco Zero-Day

Tradizionalmente, un Attacco Zero-Day si riferisce a qualsiasi vulnerabilità non divulgata che gli aggressori possono sfruttare prima che le vittime e i fornitori di software ne vengano a conoscenza e abbiano la possibilità di correggerla. Il termine “Attacco Zero-Day” è talvolta applicato in modo più ampio anche agli attacchi che utilizzano nuove tattiche, exploit o varianti di malware mai viste prima, dando loro un vantaggio.

È difficile proteggersi da qualcosa che non hai mai incontrato prima, soprattutto se ti acceca improvvisamente. Le soluzioni di sicurezza sono particolarmente suscettibili poiché il modo in cui identificano i file dannosi è confrontandoli con un elenco di campioni di malware acquisiti in precedenza per vedere se esiste una corrispondenza. Ma se un attacco utilizza un exploit o un malware mai visto prima, c’è ben poco da fare.
A causa della loro efficacia gli Attacchi Zero-Day sono molto richiesti e i criminali sono sempre più incentivati ​​a scoprirne di più. Sfortunatamente, ciò significa che scoprire e correggere una vulnerabilità può offrire solo una protezione momentanea prima che gli aggressori passino a sfruttare quella successiva.

Il complesso processo del Cracking delle password

Dietro ad una semplice “login” e “password” c’è un insieme complicato di processi che possono coinvolgere più sistemi: il trasporto sicuro da e verso i server, una rete affidabile di assicurazione e revoca dell’identità del server, un codice per valutare la complessità della password generata dall’utente, un altro codice per assicurarsi che la persona che inserisce il precedente codice è difatti umana, un fattore secondario di autenticazione e un mezzo per recuperare le password perse.

Quindi il cracking della password è molto più che eseguire un programma per indovinare la password: si tratta di crackare il processo della password per impossessarsi dell’account di un utente.

Richiedere ai propri dipendenti di creare, salvaguardare e ricordare le proprie password è un sistema difficile (se non impossibile) da difendere. Secondo ciò che i ricercatori OSSTMM (Open Source Security Testing Methodology Manual) chiamano “The Somebody Sequence”, maggiore è l’interazione che qualcuno ha nel processo di sicurezza, maggiore è la sua superficie di attacco. Chiedere ai dipendenti di gestire le proprie password è come dar loro il pieno controllo delle chiavi di un lucchetto importante. Puoi acquistare uno dei lucchetti più resistenti che il denaro possa comprare, ma quanto può essere sicuro alla fine se ci sono chiavi ovunque?

Distributed Denial of Service Attack (DDoS):
La paura è offline!

Ottenendo il controllo su un gran numero di sistemi e dispositivi dirottati (denominati botnet), gli aggressori possono indirizzare contemporaneamente grandi quantità di richieste di connessione o pacchetti di dati casuali a un singolo obiettivo, con l’intenzione di sovraccaricare il sistema e renderlo offline.

Più grande è la botnet, maggiore è il danno che può causare un attacco DDoS. Il meglio che si può sperare quando si viene attaccati è essere abbonati a un servizio anti-DDoS, ma anche questo non fornisce una garanzia di restare attivi e funzionanti se si affronta un attacco con un alto livello di grandezza.
A volte gli aggressori contattano i loro obiettivi in ​​anticipo e minacciano di metterli offline a meno che non si venga pagati in anticipo. Può essere difficile distinguere se si tratti di minacce reali o semplici truffe e, come nel caso del ransomware, cedere alle richieste di estorsione criminale non è mai una garanzia.

Occhio allo Scareware!

Probabilmente vi sarete imbattuti in pop-up che: “Attenzione! È stato rilevato un virus sul tuo computer. Scarica XXXX per pulirlo e rimuoverlo.
Il malware che infetta davvero il tuo computer è il programma che il pop-up sta cercando di indurti a scaricare. Lo scareware può presentarsi in una varietà di forme, da falsi programmi antivirus a falsi browser o aggiornamenti software.

Una volta che lo scareware entra nel sistema, ha tutti i privilegi, le password e gli accessi del dipendente che lo ha installato. Uscire potrebbe essere facile come cancellare il sistema e ricominciare da capo o ripristinare dal backup. Oppure potrebbe essere più difficile e dispendioso in termini di tempo se il malware si diffonde ad altri sistemi.

SQL Injection:
Attenzione ai moduli dei siti web!

Se un sito web ha una casella di immissione o un modulo di immissione (come quando si immettono il nome utente e la password o il numero della carta di credito se si acquista qualcosa), un utente malintenzionato può provare a inserire il codice del linguaggio di query strutturato per ottenere l’accesso o apportare modifiche ai dati memorizzati.

Oltre ad aggiungere, rimuovere e modificare dati e oltre a rubare informazioni come numeri di carte di credito dei clienti, dati personali e cartelle cliniche, c’è anche la possibilità di inserire un codice dannoso da restituire agli utenti quando utilizzano il modulo.

Una volta che i criminali iniziano a utilizzare questa tattica, possono abusare di siti web popolari, come distribuire download drive-by, creare un esercito di botnet, persino dirottare richieste DNS per inviare visitatori a versioni dannose di siti web legittimi che conoscono e di cui si fidano. Se il modulo di accesso è vulnerabile, il SQL Injection può persino aiutare con il cracking della password aggirando del tutto l’accesso.

Qualsiasi luogo in cui un utente può inserire informazioni in un sito web con un database, ha il potenziale per essere iniettabile in SQL, il che purtroppo lo rende un problema diffuso. Non puoi semplicemente rimuovere tutte le interazioni di input dell’utente dal tuo sito web e ricevere comunque acquisti o feedback.

Conosco le minacce:

E adesso come posso difendermi?

Abbiamo imparato a conoscere il nemico della nostra battaglia, ora dobbiamo capire come difenderci al meglio…ma lo faremo nel post blog del prossimo mese! Avete lavorato bene quest’oggi, quindi vi meritate un po’ di riposo, per poi ricominciare a costruire la difensiva della vostra azienda con tutta la forza necessaria!

Ma se necessitate di una consulenza rapida vi preghiamo di contattare i nostri tecnici specializzati:

Contattaci
Prev
Next
Copyright 2024 © LF IMPIANTI S.R.L. Via dell'Artigianato 34 Usmate Velate (MB) Italia - P.IVA 00880430962 C.F 07963220152