Cyberattacchi senza malware

Oggi vi parliamo di come i cybercriminali attaccano le aziende senza usare malware.

Tutte le aziende hanno bisogno di una protezione affidabile che le protegga dalle minacce informatiche. Tuttavia, è importante ricordare che il software antivirus non è la soluzione a tutti i mali. La maggior parte degli attacchi alle aziende è causata da errori umani: ad esempio, un dipendente clicca su un link dannoso, attiva una macro e scarica un file infetto. In alcuni casi, i cybercriminali non hanno nemmeno bisogno di usare il malware poiché sono in grado di ottenere l’accesso all’infrastruttura di un’azienda utilizzando solo l’ingegneria sociale e software legali. Ecco un paio di esempi.

Ransom (ricatto) sì, ransomware no

Di recente abbiamo letto alcune notizie che riguardavano l’attività del gruppo criminale Luna Moth, specializzato nel furto di dati aziendali e nel ricatto (appunto ransom, in inglese). La particolarità del gruppo Luna Moth è che è capace di ottenere informazioni senza usare nessun malware.

L’attacco a un’azienda inizia con una tipica e-mail fraudolenta. I criminali si fingono rappresentanti di qualche servizio online e cercano di convincere i destinatari che hanno sottoscritto un abbonamento e che il pagamento verrà addebitato il giorno successivo. Se il dipendente vuole annullare il pagamento o ottenere maggiori informazioni, deve chiamare un numero di telefono che può trovare in un file allegato all’e-mail.

Sembrerebbe quindi che la trappola si nascondi proprio qui, giusto? Invece no, contrariamente alle aspettative, il file non contiene nessun malware, quindi è molto probabile che il software antivirus consenta all’utente di aprirlo. Il compito dei cybercriminali in questa fase è solo quello di spingere il dipendente a chiamare il numero di telefono.

Se ci riescono, gli hacker cercheranno di convincere la vittima a installare uno strumento di accesso remoto (o RAT, remote access tool) sul suo dispositivo, probabilmente con la scusa di aiutare l’utente confuso a cancellare l’abbonamento. Tecnicamente, i RAT non sono malware, quindi la maggior parte degli antivirus non li blocca e solo alcuni avvertono gli utenti circa i potenziali pericoli. Di conseguenza, i criminali ottengono l’accesso remoto e il controllo del dispositivo.

È bene tener presente che in molti casi i truffatori installano più di un RAT sul dispositivo, quindi anche se uno viene rimosso possono usarne un altro per mantenere il controllo e reinstallare il primo. Una volta ottenuto il controllo del computer della vittima, i criminali spesso installano strumenti aggiuntivi per infiltrarsi ulteriormente nell’infrastruttura, accedere a più risorse ed erubare i dati.

Truffe telefoniche a livello aziendale

Di recente, l’azienda di telecomunicazioni americana Verizon è caduta vittima di una tecnica di ricatto ancora più ridicola. Un hacker anonimo ha raccontato a Motherboard di aver convinto un dipendente di Verizon a concedergli l’accesso remoto a un computer aziendale semplicemente presentandosi come un membro del supporto tecnico interno. Sul computer avrebbe eseguito un tool interno che si usa per il trattamento delle informazioni sui dipendenti e, utilizzando uno script personalizzato, ha creato un database contenente i nomi completi, gli indirizzi e-mail, gli ID dell’azienda e i numeri di telefono di centinaia di persone.

Verizon conferma che l’hacker ha contattato l’azienda e ha chiesto 250.000 dollari, minacciando di pubblicare i dati rubati, ma l’azienda nega che sia riuscito a ottenere dati importante. Tuttavia, i giornalisti di Motherboard hanno chiamato alcune delle persone i cui contatti erano presenti nel database. Alcuni di loro hanno risposto confermando i loro nomi, indirizzi e-mail e impieghi presso Verizon.

Cosa possiamo imparare da questa storia?

La morale della storia è semplice: la vostra azienda può avere le soluzioni di sicurezza più avanzate del mercato, ma se i dipendenti non sono preparati agli attacchi di ingegneria sociale, i vostri dati non sono al sicuro. Per questo motivo, una strategia di cybersecurity completa dovrebbe prevedere non solo l’installazione di strumenti tecnici di sicurezza, ma anche la sensibilizzazione e formazione dei dipendenti sulle ultime minacce informatiche e sui trucchi dei cybercriminali. Ad esempio, attraverso una piattaforma di formazione online

 

Consigli