SICUREZZA INFORMATICA

Baiting: cos’è e come funziona l’attacco sferrato usando una chiavetta USB contenente malware

Il baiting è una tecnica di social engineering che, sfruttando la curiosità delle persone, consente ai criminal hacker di sferrare un attacco verso un’azienda usando un dispositivo di memorizzazione infetto, come ad esempio una chiavetta USB “abbandonata” in posti strategici. Ecco i dettagli e come difendersi

10 Apr 2020
G
Luigi Gobbi

ICT Security Manager


Il baiting (letteralmente: adescamento) è una particolare tecnica di ingegneria sociale che prevede l’utilizzo di un dispositivo di memorizzazione infetto, come ad esempio una chiavetta USB contenente malware, per sferrare un attacco informatico nei confronti di un’azienda.

La tecnica è molto semplice. Il dispositivo infetto, opportunamente camuffato dal cyber criminale, viene lasciato incustodito in una posizione strategica nei pressi o all’interno dell’azienda target, dove è probabile che verrà notato da uno o più dipendenti, suscitando l’interesse di questi ultimi e inducendoli a esplorarne il contenuto sul proprio computer aziendale.

A questo punto il danno è fatto: non appena il dispositivo verrà collegato al computer, infatti, il programma malevolo si auto-eseguirà su quest’ultimo, infettandolo e consegnandolo direttamente nelle mani del cyber criminale, il quale sarà quindi libero di muoversi indisturbato all’interno della rete aziendale e di perseguire le proprie illecite finalità.

Ciò che rende il baiting una delle minacce informatiche più subdole e pericolose è proprio lo specifico aspetto psicologico su cui gli attaccanti provano a fare leva: la curiosità. Si tratta di un istinto innato e fortemente radicato nella natura umana, i cui impulsi possono risultare molto difficili da controllare per molti di noi.

Un esempio di attacco baiting

Proviamo ad immedesimarci nel più classico scenario di un attacco baiting.

Immaginiamo, ad esempio, che un cyber criminale abbia posizionato una chiavetta USB contenente malware nel parcheggio di un’azienda. Ipotizziamo inoltre che il malintenzionato abbia personalizzato la chiavetta collegandola ad un portachiavi con il logo dell’azienda stessa e apponendovi un’etichetta adesiva con la scritta “Buste paga dipendenti” o magari “Licenziamenti 2020”.

Come si comporterebbe, dunque, un ipotetico dipendente che transitando all’interno del parcheggio dovesse notare l’oggetto incustodito? In quanti rinuncerebbero alla possibilità di sbirciare tra gli stipendi dei propri colleghi o di scoprire se il proprio nome compare nel file dei futuri licenziamenti? E soprattutto, in quanti assocerebbero a quell’oggetto dall’aria tanto familiare una minaccia in grado di compromettere gravemente la sicurezza informatica della loro azienda?

In pochi, obiettivamente, anzi in pochissimi.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

La triste realtà è che la stragrande maggioranza di individui, di fronte allo scenario appena descritto, farebbe la scelta sbagliata portando con sé la chiavetta, collegandola al proprio PC e aprendo così le porte dell’azienda ai cyber criminali, con tanto di inchino di benvenuto.

Da uno studio condotto sul tema dal Dipartimento della sicurezza interna degli Stati Uniti d’America è emerso addirittura che circa Il 90% delle persone collegherebbe un’unità USB sconosciuta al proprio computer semplicemente per il fatto che su questa appaia un logo dall’aspetto ufficiale.

Sono dati allarmanti, confermati pienamente dalla recente diffusione di tale minaccia.

Le variabili di un attacco baiting

Organizzare un attacco baiting, insomma, è relativamente semplice e le variabili che un attaccante deve tenere sotto controllo sono essenzialmente tre:

  1. legittimità: è fondamentale che l’esca non susciti nella vittima un senso di pericolo. Incollare sul device infetto un adesivo con il logo aziendale è un semplice, efficace ed utilizzatissimo escamotage per far sì che lo stesso risulti familiare agli occhi della vittima;
  2. curiosità: è ovviamente necessario che l’esca stimoli la curiosità della vittima. Il modo più semplice (e preferito dai cyber criminali) per farlo è di apporre sul dispositivo infetto un’etichetta con frasi o termini ad effetto, quali ad esempio “Riservato” oppure “Confidenziale”, tali da suscitare nella vittima un immediato interesse;
  3. posizionamento: la scelta su dove collocare l’esca è determinante. Un esempio di posizionamento strategico potrebbe essere il parcheggio dell’azienda, magari vicino alla macchina di un determinato dipendente così da aumentare la probabilità che venga notato proprio da quest’ultimo. Il parcheggio è inoltre un luogo in cui la vittima, essendo lontana da occhi indiscreti, potrebbe essere più propensa ad assecondare la propria curiosità a discapito del buonsenso. Per gli stessi motivi, altri luoghi strategici potrebbero essere i bagni o gli ascensori aziendali.

Quando la minaccia proviene dall’interno

Negli ultimi anni, data l’estrema facilità con cui è divenuto possibile realizzare o procurarsi un dispositivo di memorizzazione infetto, sono aumentati notevolmente i casi di baiting sferrati dall’interno delle aziende.

Si tratta di attacchi estremamente mirati, condotti da uno o più dipendenti per le più disparate finalità, quali ad esempio recare danno ad un collega con il quale si è in competizione, vendicarsi nei confronti di un superiore per un torto subito, raccogliere informazioni confidenziali sull’azienda per poi rivenderle alla concorrenza, danneggiare la reputazione del brand aziendale e così via.

Tali attacchi, se ci pensiamo, possono risultare perfino più accurati e letali di quelli sferrati da cyber criminali esterni. Chi sferra un attacco di baiting all’interno della propria azienda, infatti, avendo familiarità con il luogo di lavoro e conoscendo gli spostamenti routinari dei colleghi, sarà in grado di valutare la posizione perfetta dove collocare la propria “esca”, massimizzando la probabilità di attirare l’attenzione della vittima prescelta.

L’attaccante, inoltre, conoscendo il carattere e la sensibilità della vittima avrà modo di giocare con la psicologia e l’emotività di quest’ultima, e di riuscire con relativa facilità a stimolarne la curiosità. Un attacco baiting interno ben congegnato, insomma, avrà una probabilità di successo estremamente alta.

Come difendersi

Il baiting è una minaccia informatica particolarmente subdola, che non prevede il contatto diretto con la vittima e contro la quale le comuni misure di sicurezza quali firewall, strong authentication ma anche la grande maggioranza dei software antivirus risultano semplicemente inefficaci.

Come fare, dunque, per evitare di cadere vittime di tali attacchi?

Per quanto riguarda le misure di sicurezza tecniche alcuni (a dire il vero pochi) software antivirus consentono di monitorare le connessioni USB e quindi possono essere utili per evitare la diffusione di malware contenuti in dispositivi di questo tipo.

Tuttavia, nel caso del baiting le misure di sicurezza più efficaci sono quelle di tipo organizzativo quali formazione e sensibilizzazione, ancor meglio se supportate da una o più policy o procedure specifiche.

È innanzitutto fondamentale, infatti, che l’azienda renda consapevoli i dipendenti della minaccia baiting, e più in generale di tutte le minacce legate all’ingegneria sociale. Oltre alla diffusione di consapevolezza è importante che i dipendenti vengano responsabilizzati del fatto che le loro scelte e i loro comportamenti potrebbero compromettere gravemente la sicurezza aziendale. È importante quindi che ogni dipendente si senta parte attiva della difesa informatica della propria azienda.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Infine, regolamentare con una policy specifica l’utilizzo di supporti removibili in azienda, sia interni che esterni, e in particolare la procedura da seguire in caso di ritrovamento di un dispositivo sconosciuto può fare la differenza. La prassi, in questi casi, dovrebbe essere quella di non collegare il device, anche se apparentemente legittimo, alle reti aziendali ma di consegnarlo direttamente nelle mani dell’Ufficio Information Security, o di quello IT, così da consentire al personale qualificato di valutarne ed eventualmente confermarne l’attendibilità.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4