Arnold H. Glasow ha scherzosamente detto che "il guaio del futuro è che di solito arriva prima che chiunque possa esser pronto". L'anno scorso siamo stati colti di sorpresa quando le epidemie di WannaCry e Petya ransomware hanno colpito le aziende a livello globale, causando interruzioni senza precedenti, mentre nuove vulnerabilità come BlueBorne, Meltdown e Spectre sono state scoperte in quasi tutti i dispositivi connessi in uso. Mentre questi attacchi e vulnerabilità su larga scala hanno dominato i titoli dei giornali, ci sono state altre importanti tendenze che coinvolgono la cybersecurity che si sono sviluppate più dietro le quinte e hanno tutto il potenziale di interrompere la vita quotidiana di persone e aziende. Queste tendenze sono il risultato del nostro crescente ricorso alle tecnologie digitali e del fatto che organizzazioni governative e aziende raccolgano e utilizzino sempre più dati sensibili, il che aumenta la possibilità di data leak, quando le informazioni vengono rubate o manipolate a scopi criminali o politici.

Abbiamo intervistato Sebastiano Marinaccio, Ethical Hacker e Security & Network Specialist, per capire quali saranno le tendenze di cybersecurity da affrontare in questo 2018. Sebastiano lavora nel campo del Network e Cyber Security da più di 15 anni.  Affascinato dalla creatività degli hacker ha sviluppato competenze nel campo dei penetration test. Convinto che la sicurezza non sia da applicare soltanto alla tecnologia ma anche ai processi e alle relazioni tra le persone, attualmente si occupa di incidenti di sicurezza informatica per una grande azienda italiana.

Gli ultimi report di cybersecurity indicano un notevole aumento di furti di identità e malware, soprattutto in ambito social. Da cosa deriva questo trend?

Data la natura relazionale dei social media, la vicinanza virtuale degli hacker alle loro vittime si è quanto mai accorciata. Gli attacchi sui social come il furto di identità, le truffe dei consumatori (ad esempio, coupon falsi), il phishing, la distribuzione di malware e il furto di account sono enormemente aumentati negli ultimi anni. Secondo Norton, solo uno su dieci dipendenti apre mail sospette, ma quasi uno su tre accetta richieste di amicizia da sconosciuti sui social media. I dipendenti sperimentano il crimine informatico più spesso sui social rispetto a qualsiasi altra piattaforma aziendale, inclusa la posta elettronica.

Questo è dovuto ad una certa percezione di intimità dei social media: gli utenti non li riconoscono come minaccia, il sentiment di fiducia è particolarmente alto e la presenza di queste due condizioni rendono il terreno quanto mai fertile per gli attacchi hacker. Il più recente rapporto annuale sulla sicurezza di Cisco ha rivelato che le truffe di Facebook sono il modo più comune per violare una rete e, secondo un rapporto di Panda Security, il 20% delle aziende viene infettato dal malware direttamente attraverso i social media. L'Università di Phoenix ha reso noto che il 66% dei cittadini statunitensi ha subito il furto di un account.

Quali sono le implicazioni finanziare di attacchi di questo tipo?

Questi rischi possono avere enormi implicazioni finanziarie. Un incidente sui social media costa a un'organizzazione o ad un’azienda circa 3.600.0000 $. Questi numeri dovrebbero mettere in allerta sia le aziende che gli individui. In definitiva, i social media riducono la barriera di hacker all'ingresso. Anche un hacker inesperto può creare un account falso, trovare obiettivi e diffondere rapidamente malware o collegamenti di phishing a miliardi di persone in tutto il mondo. Il rischio maggiore per la cybersecurity  risiede nella quantità e nella qualità: gli obiettivi sono numerosissimi e la fiducia degli utenti è quanto mai alle stelle.

Quali sono le modalità di attacco più utilizzate oggi in ambito social media?

Le capacità di networking dei social media sono sfruttate dagli hacker per attacchi mirati contro organizzazioni, aziende e loro clienti. I principali  metodi sono tre.

Spray-or-pray. In un attacco spray-or-pray, l'hacker cerca di compiere un attacco con un’ampia campagna prima di isolare vittime particolari. In questo approccio, la vittima interagisce con il messaggio di attacco prima che l'attaccante coinvolga completamente l'individuo. Nello specifico questo attacco richiede di pubblicare il maggior numero possibile di links, aspettandosi di ottenere solo un clic o due su ciascuno. I Bot utilizzati per questo attacco spesso pubblicano contenuti che rispettano i Termini di servizio del social network. Questa tecnica spesso è abbinata a strategie di Clickbait.

Watering hole. In un attacco watering hole, un malware specifico per un settore o un gruppo di vittime è posto plausibilmente dove un individuo è più portato ad interagirvi. Il nome deriva dalle pozze d’acqua dove di solito i predatori si appostano per cacciare le proprie vittime. Questo tipo di attacco può essere facilmente disperso tra decine di migliaia di utenti alla volta (per es. tutti i dipendenti di una singola azienda). Abbastanza di frequente gli hacker non prefigurano immediatamente chi sia la vittima all'interno di questo gruppo per poi averne chiara visione più tardi, in un momento successivo del ciclo di vita dell’attacco stesso.

Land-and-expand. In un attacco di questo tipo, l'hacker prende di mira organizzazioni o utenti e successivamente cerca di espandersi agli altri all'interno di un range di dati demografici simili e cerchie sociali penetrabili. Utilizzando questo modello, la vittima viene presa di mira prima di interagire con qualsiasi attacco. Inizialmente, l'ambito è ristretto e "amichevole". Gli autori di attacchi land-and-expand rendono assolutamente performante il momento di ricognizione e selezionano i bersagli che soddisfano i requisiti dell'obiettivo finale con massimo impatto.

Tutti questi attacchi per essere più efficaci sfruttano anche strategie del tipo:

Hashtag hijacking. Questo attacco implica l'utilizzo di un hashtag per indirizzare una determinata organizzazione o gruppo. Appropriandosi degli hashtag specifici dell'organizzazione, i bot distribuiscono spam o link dannosi che successivamente appaiono nelle cerchie e nei feed delle organizzazioni, focalizzando efficacemente l'attacco su quel gruppo.

Retweet storm. La maggior parte dei social network è consapevole dei rischi sulla cybersecurity e mantiene alta la soglia di allerta per le attività dannose. Un chiaro indicatore di un'attività botnet dannosa è un post che viene immediatamente ripubblicato o ritwittato da migliaia di altri account bot. L'account di registrazione originale è generalmente contrassegnato e bannato, ma i reposts e i retweet rimangono. L'account genitore, noto come il martyr bot, si sacrifica per diffondere l'attacco.

Click / Like Farming. I bot sono lo strumento ideale per gonfiare i follower di un account o pagina. Ma anche estremamente validi per generare attività dannose.

Come possono tutelarsi individui e aziende?

I tuoi account sui social media sono un'estensione importante della tua identità, che tu abbia milioni di follower o semplicemente usi i social media per chiacchierare con i tuoi compagni delle superiori. I tuoi account contengono dati personali, il che li rende critici dal punto di vista della cybersecurity. Un account social non protetto può portare a rischi sia online che offline: un hacker esperto in furti di identità potrebbe utilizzare le informazioni pubbliche per indovinare le risposte di recupero (quelle che bisogna fornire in caso non si ricordi la password, nda) per accedere al tuo conto bancario. Un cybercriminale potrebbe diffondere un messaggio di phishing personalizzato tramite Messenger, relativo ai tuoi interessi, hobby o componenti della tua famiglia per attirare la tua attenzione e convincerti a fare clic, rubando infine le credenziali dell'account. Un ladro potrebbe trovare il tuo indirizzo e derubare la tua casa mentre pubblichi le foto delle tue vacanze alle Bahamas. Un hacker astuto potrebbe irrompere nei tuoi account social, leggere i tuoi messaggi diretti, installare malware sul tuo laptop e indirizzare ulteriormente le tue connessioni, come amici, familiari e colleghi.

Le aziende devono educare i dipendenti alle policy di Social Engeneering (ovvero l’insieme di tutte quelle tecniche psicologiche- non informatiche- atte a carpirci informazioni utili ) e ad usare con cautela ed intelligenza il web ed i social network in primis. Non è difficile che chi ha intenzione di sferrare un attacco ad un’azienda consulti i profili Linkedin dei dipendenti, li segua sui social, mandi una richiesta di amicizia su Facebook e da lì inizino le varie fasi che ho descritto in precedenza. In genere, entro mezz’ora si riesce a recuperare una login valida di un utente ed accedere alla sua mail, account di vario tipo, profili social.

Cosa dobbiamo temere di più per il 2018 quindi?

Sicuramente dobbiamo temere ancora molto i ransomware. Chiedendo un riscatto in genere di modesta entità a numerosissime vittime, gli hacker possono dormire sonni abbastanza tranquilli. Con attacchi ransomware di massa (che non sono mirati ma a largo spettro) gli hacker hanno ancora meno possibilità di esser intercettati dalle forze dell’ordine. Finché utenti e organizzazioni continueranno a pagare i riscatti, il ransomware massivo avrà lunga vita.

Un altro attacco che segnerà il 2018 è il mining inconsapevole di Bitcoin (e altre criptovalute come Monero e Darkcoin). In sostanza, tramite uno script su una pagina web il computer della vittima inizia a fare mining e utilizzare risorse CPU. Spesso poi, l’obiettivo è di fare mining di criptovalute minori per acquistare Bitcoin.

Quali sono le azioni concrete da intraprendere subito per evitare attacchi hacker?

1. Cambia le password. Assicurati di cambiarle almeno tre volte all'anno o il più frequentemente possibile.
2. Abilita l'autenticazione a due fattori per tutti i tuoi account social, personali e aziendali.
3. Assicurati che le informazioni personali siano mantenute private - inclusi indirizzo email, numero di cellulare, indirizzo fisico e data di nascita. È una buona pratica rendere queste informazioni invisibili a chiunque tranne te stesso.
4. Non pubblicare dettagli sensibili sul tuo lavoro e sul posto di lavoro.
5. Controlla regolarmente le liste di amici, follower e connessioni.
6. Utilizza la privacy non pubblica per ​​i tuoi amici, follower e elenchi di connessioni.
7. Fai ricerche regolarmente: qualcuno potrebbe aver aperto un account a tuo nome, o a nome di amici, membri della tua famiglia, organizzazioni affiliate, marchi, datori di lavoro.
8. Chiedi al tuo datore di lavoro la politica sui social media aziendali per assicurarti di essere conforme alle linee guida sui social.
9. Adotta una piattaforma di gestione social come Hootsuite Enterprise per centralizzare tutta la tua attività di pubblicazione. Ciò consente a tutti i membri del team di marketing (o altri gruppi che potrebbero avere la necessità di pubblicare sui social media) di accedere agli stessi account mentre utilizzano le proprie credenziali di accesso individuali. Indipendentemente dal fatto che si utilizzi o meno una piattaforma di gestione, accertarsi di imporre (tramite la propria politica sui social media predefinita) l'uso dell'autenticazione a due fattori.
10. Controlla regolarmente tutte le applicazioni di terzi a cui sono state concesse le autorizzazioni per gli account di social media aziendali
11. Identifica gli account che rappresentano il tuo brand. Utilizza uno strumento di protezione dei social media come ZeroFOX per identificare account che utilizzano il logo o la messaggistica per svolgere attività dannose.
12. Collabora con il team di supporto clienti e PR per creare un team di risposta rapida. Quando qualcosa va storto, i team di marketing e PR devono avere un piano per affrontare il fallout.
13. Monitora gli account aziendali per i contenuti sensibili o offensivi in ​​entrata. Account aziendali su piattaforme come Facebook, Instagram e LinkedIn consentono ai proprietari delle pagine di moderare i contenuti. Stabilisci linee guida della comunità per contenuti offensivi e sensibili.
14. Monitora gli hashtag del brand e segnala gli abusi. Gli strumenti di protezione dei social media possono segnalare quando scammer e cyber-attacker sfruttano gli hashtag per diffondere minacce al tuo ecosistema sociale.
15. Collabora con il team di cybersecurity per creare solide impostazioni di sicurezza per gli account del brand.

Grazie Sebastiano!

Grazie a voi!