Come i social aiutano i Criminal Hacker

Era già qualcosa ampiamente discusso nella comunità dei Cyber Security Researcher, ma adesso, grazie all’attività di un ricercatore americano, le prove empiriche sono agli occhi di tutti: i social sono diventati una miniera d’oro per tutti i Criminal hacker. Nell’esperimento che ha “svelato l’arcano” ai più neofiti dell’ambito l’esperto di sicurezza è riuscito ad accedere a un’area altamente protetta della propria azienda utilizzando un badge clonato.

E come ha fatto ad arrivare a questo punto?

Molto semplicemente utilizzando le informazioni di uno dei molti stagisti che lavorano nella compagnia, attentamente copiate dai social della sfortunata cavia.

Come detto, sembra che le piattaforme social siano divenuti l’Eldorado dei Criminal Hacker.
Sfortunatamente un risvolto quasi naturale, in quanto questi agiscono come un meccanismo di trasmissione dei dati per tutti i contatti degli utenti, la posizione e anche le attività commerciali. Una manna per chi, come questi attori Malintenzionati, è in cerca dei dati necessari per una serie di attività come:

Non a caso la figura chiave scelta come Giuda inconsapevole per l’esperimento è stato uno stagista.
Quella definita come Generazione Z (compresa tra i 17 e 24 anni) è la principale utilizzatrice di social media; secondo un recente sondaggio il 73 per cento di questi utilizza Snapchat, il 76 Facebook e Instagram e oltre l’80 YouTube.

È sicuramente una questione di costume, ma le probabilità che eventi significativi della vita come stage e nuovi lavori trovino facilmente il loro posto sulle diverse piattaforme sotto forma di post immagine o video.

È una considerazione banale, ma basta pensare a tutti i selfie e i video realizzati all'interno dei locali aziendali che espongono informazioni sensibili relative all’impresa o multinazionale sullo sfondo e che passano inosservate al resto delle persone in grado di visualizzarli.

La tendenza a condividere frequentemente sui social media è spesso combinata con una formazione lassista in materia di sicurezza durante la fase di tutoraggio e onboarding.

Insomma, la ricetta perfetta per un disastro imminente.

Ovviamente non solo le nuove “leve” possono essere fonti inconsapevoli di Data Leak, anche semplicemente un social team sbadato o un membro più “senior” che condivide la classica “foto da LinkedIn”.

Allo stesso modo per i Criminal Hacker anche semplici brandelli d’informazione estraibili da blog, siti dedicati al recruiting, recensioni di ex-dipendenti – va notato che nel mondo anglosassone è molto diffuso il Sito Glassdoor – e simili sono utilizzabili.

Nel dettaglio, i Criminal Hacker in cerca di informazioni cominciano sondando Facebook, Instagram e Twitter. Da qui osservano attentamente le attività degli stagisti e dei nuovi assunti delle società che hanno intenzione di colpire. In particolare, è emerso, che seguono hashtag come #newjob #primogiorno #novità #stage e simili.

Che informazioni sperano di trovare? In particolare studiano il layout fisico dell’ufficio, le applicazioni presenti sui desktop, i file che possono apparire, le foto sui badge, i calendar che mail provider come Outlook provvedono, password appuntate in maniera sbadata su fogli di carta...

Fatto questo screening passano al secondo livello di analisi, che spesso e volentieri comprende il già citato Glassdoor.

Il sito internet, nel quale gli impiegati e gli ex impiegati di un'azienda anonimamente recensiscono le aziende e i loro superiori, è in grado di fornire informazioni – direttamente dalla bocca di ex e correntemente impiegati – come salari, struttura aziendale, domande tipiche durante la fase di selezione e altri pro e contro relativi all’azienda.

I Criminal Hacker possono accedervi senza sudare troppo e creare un attacco di Social Engineering contro i nuovi dipendenti o quelli già lì da tempo. E non c’è nulla di più pericoloso di una mail di Phishing fatta per far “innamorare” i dipendenti che finiscono per inviare le credenziali in un modulo o un link fraudolento.

L’ultimo metodo è quello di utilizzare YouTube. Un breve video, anche non necessariamente dalla pagina Corporate, può essere un vero tesoro d’informazioni. Un dipendente che carica la storia di una giornata tipo in ufficio può inconsciamente rivelare passaggi come le procedure di check-in, la disposizione degli edifici, la struttura del parcheggio, i controlli delle porte, le credenziali, il dress code dei dipendenti, le disposizioni di sicurezza dei locali, i sistemi operativi, la scelta degli antivirus, i numeri di telefono e molto altro ancora.

Se un Criminal Hacker trova il video giusto, compromettere la sicurezza dell'organizzazione diventerebbe un compito sicuramente più facile.

Ovviamente davanti a un’azione di Data gathering “in chiaro” e non frutto di azioni di forza bruta come la violazione di Database come questa bisogna agire sul fronte più umano del rischio.

È sicuramente in carico ai datori di lavoro formare adeguatamente i nuovi dipendenti e gli stagisti a mantenere sicuri i beni aziendali per prevenire le violazioni e soprattutto i Leak dei social media.

Bisogna sempre mettere bene in chiaro quali sono le politiche aziendali quando pubblicano su qualsiasi sito web di social media o altre piattaforme che richiedono informazioni aziendali, anche circostanziali.

Educarli attraverso scenari comuni sulla protezione delle informazioni personali e sulla sicurezza dei dati aziendali è essenziale per la sicurezza aziendale.

Non dobbiamo sottovalutare il rischio concreto che questa disattenzione e generale laissez faire nei confronti delle policy legate ai social potrebbe portare a devastanti attacchi Ransomware e relativi processi di Data Recovery.

Il fenomeno del Data Gathering attraverso i social, come spiegato, spesso sfocia in azioni di Phishing e Spear Phishing mirate.

Per i dipendenti, alcune semplici regole possono evitare il peggio:

Per le aziende, invece, le raccomandazioni sono: