Blog

23 Jul 2020

Il fattore umano

“un attacco coordinato di ingegneria sociale da parte di persone che hanno preso di mira alcuni dei nostri dipendenti con accesso a sistemi e strumenti interni.“

 

Questo è quanto ha riferito Twitter relativamente alla compromissione degli account di alcuni personaggi famosi e aziende presenti sul social network.

Gli attaccanti una volta ottenuto l'accesso ai sistemi interni di Twitter hanno pubblicato su diversi profili (tra cui quelli di Bill Gates, Elon Musk ed Apple) messaggi che invitavano a effettuare versamenti su di uno specifico conto Bitcoin per ottenere un ritorno economico immediato.

 

Questo il messaggio presente sul profilo di Bill Gates:

“Everyone is asking me to give back, and now is the time, You send $1,000, I send you back $2,000"

 

Questo quanto pubblicato apparentemente da Apple:

“We are giving back to our community.

We support bitcoin and we believe you should too!

 

All bitcoin sent to our address below will be sent back to you doubled"

 

La truffa ha portato nelle tasche degli attaccanti circa 120.000$ in Bitcoin, una cifra considerevole ma tutto sommato non esagerata, si è visto di peggio…

L'aspetto interessante della vicenda è relativo alla modalità dell'attacco.

I cyber criminali non hanno sfruttato nessuna vulnerabilità nota o particolari exploit kit per ottenere accesso ai sistemi di Twitter.

 

Hanno "semplicemente" contattato alcune persone interne all'organizzazione e dopo aver conquistato la loro fiducia sono riusciti a farsi garantire l'accesso ai sistemi interni con cui poi pubblicare i post su account di altri utenti.

 

Questo è un classico esempio di ingegneria sociale, ovvero un attacco in cui il malintenzionato sfrutta le vulnerabilità umane e l'innata fiducia verso il prossimo.

 

Un attacco di ingegneria sociale può avvenire in vari modi: attraverso il telefono, attraverso le mail (in questo caso prende il nome di phishing o spare phishing se mirato a una specifica realtà), incontrando la vittima di persona oppure ancora come un mix delle precedenti modalità.

 

Ma non finisce qui, la stessa tecnica è stata utilizzata per estorcere il denaro ai follower degli account violati. Molti utenti, leggendo i post provenienti da fonti presumibilmente fidate, hanno effettuato il trasferimento di denaro senza verificare attraverso altri canali le fonti e la veridicità dell'informazione.

 

Questo dovrebbe far riflettere (sicuramente Twitter ci starà riflettendo): se incontrassimo qualcuno per strada che ci chiede la chiave di casa o ci promette di raddoppiare il nostro patrimonio di certo non gli crederemmo e ce ne staremmo alla larga, mentre quando si parla di informatica quasi sempre ci focalizziamo (aziende e privati cittadini) nello spendere tempo e denaro in prodotti e soluzioni tecnologiche (Twitter sicuramente avrà i migliori sistemi anti intrusione sul mercato) dimenticandoci degli aspetti più "banali”, ma forse più importanti, come il fattore umano.

 

Sicuramente la strategia corretta a medio e lungo termine è quella di prevedere un percorso di formazione (che non sia la solita mail/newsletter invita a tutti i dipendenti con l'elenco delle nuove minacce…) che renda gli utenti consapevoli dei rischi in cui possano incorrere.

 

Nel frattempo qualche piccola accortezza può sicuramente ridurre il pericolo di incappare in truffe simili:

  • Verificare sempre le informazioni attraverso un diverso mezzo di comunicazione
  • Prevedere procedure di controllo da parte di diverse persone sulle operazioni dispostive

Other articles