#3. Quali sono i vettori di attacco più pericolosi?
SICUREZZA INFORMATICA

#3. Quali sono i vettori di attacco più pericolosi?

Piccolo glossario dei concetti e dei termini della cybersecurity

Di Marcello Fausti

La seconda cosa che è indispensabile capire bene è quali sono i vettori di attacco più comunemente utilizzati dalle minacce. Bisogna fare attenzione, perché è molto semplice fare confusione tra il concetto di vettore di attacco ed il concetto di tecnica di attacco utilizzata tramite un vettore. Un malware è una tecnica d’attacco che può essere attuata mediante un vettore che nella maggior parte dei casi è una e-mail di phishing, anche se in qualche caso famoso (attacco alla centrale nucleare di Natanz-Iran effettuato tramite il virus Stuxnet nei primi mesi del 2010), gli attaccanti sono riusciti a penetrare in sistemi “chiusi” lasciando in giro una chiavetta USB contenente un malware. In quel caso, il vettore d’attacco era la chiavetta USB. Un’app malevola è un vettore di attacco, mentre il social engineering è una tecnica raffinata che può aiutare ad aumentare la probabilità di successo di un attacco veicolato, ad esempio, tramite phishing. Una botnet è un vettore d’attacco mentre il tentativo di sfruttare una vulnerabilità nota tramite una serie di operazioni (exploit) è una tecnica di attacco.

Giusto per avere un ordine di grandezza del fenomeno, il global e-mail spam rate (www.statista.com 2020) a fine 2018 si è attestato al 55% in discesa dal 69% del 2012. Tra queste si annidano le e-mail di phishing che sono il principale veicolo di trasporto del malware, ovvero, del software che i cybercriminali utilizzano per raggiungere tutti gli obiettivi descritti nel secondo articolo.

È molto importante capire che non esistono programmi in grado di filtrare completamente le e-mail di phishing ma che siamo noi a dover fare una parte del lavoro ponendo la giusta attenzione nel riconoscerle. E quindi, anche a costo di essere ripetitivo e di stancarvi oltre il lecito, i suggerimenti più importanti che bisogna tenere bene a mente sono:

  • Non aprite mai le e-mail provenienti da mittenti sconosciuti o sospetti;
  • Se anche avete aperto un’e-mail sospetta, non aprite mai gli allegati e non cliccate mai sui link contenuti nel corpo dell’e-mail;
  • Attenzione ai link che vi vengono proposti sui social network; cliccate solo se siete sicuri del profilo che ha postato il link e, comunque, state attenti;
  • Dotate il vostro personal computer di un software antivirus che deve essere costantemente aggiornato;
  • Attenzione alle e-mail che riguardano i temi di attualità: pandemia, raccolta fondi, avvisi urgenti, app dedicate al fatto del momento sono veicoli perfetti per la diffusione di malware;
  • Sul vostro smartphone, non cliccate mai su link che vi inducono a scaricare APP da store non ufficiali (e state attenti anche con quelli ufficiali);
  • Ove previsto dal servizio che state utilizzando (es. webmail, social, e-commerce), attivate l’autenticazione a due fattori basata sul vostro numero di telefono cellulare;
  • Aggiornate costantemente la versione del sistema operativo del vostro PC e del vostro smartphone e tutte le applicazioni o APP che utilizzate più di frequente;
  • Non rispondete mai alle e-mail di spam;
  • Non fidatevi mai delle e-mail che propongono sconti eccezionali o che promettono qualcosa in regalo;
  • Non fidatevi … punto!

Antivirus. Software che serve a prevenire, rilevare e/o rendere inoffensivi codici dannosi: i virus.

Phishing. È una frode informatica finalizzata all’acquisizione, con l’inganno, di dati riservati del cliente (ad esempio username e password) attraverso l’invio di e-mail contraffatte che presentano grafica e loghi ufficiali di aziende ed istituzioni conosciute (es. banche).

Spear-phishing. Phishing condotto contro utenti specifici mediante l’invio di e-mail formulate con il fine di carpire informazioni sensibili dal destinatario ovvero di indurlo ad aprire allegati o link malevoli.

Spoofing. Camuffarsi, mascherarsi allo scopo di assumere le sembianze di qualcun altro falsificando l’indirizzo sorgente di una comunicazione. Ad esempio, è possibile fare spoofing di un indirizzo di e-mail impostando il nome utente (quello che in prima battuta viene visualizzato nella e-mail) con un nome conosciuto dal destinatario, mentre il reale indirizzo ne rivela la provenienza sconosciuta e inaffidabile. Si usa il termine spoofing (in questo caso IP spoofing o address spoofing) quando si crea un pacchetto IP nel quale viene falsificato l’indirizzo IP del mittente.

Social engineering. Arte di manipolare psicologicamente le persone affinché compiano determinate azioni o rivelino informazioni confidenziali, come le credenziali di accesso a sistemi informatici.

Spammer: colui che invia e-mail di spam.

Post. È un messaggio che può contenere testo, immagini, video, link a siti web o ad altri post pubblicato su un social netwok.

App malevole. Si tratta di App – a volte anche scaricabili dagli store ufficiali, che contengono delle funzionalità malevole.

DDoS. Un attacco combinato eseguito da numerose macchine, pensato per portare al collasso siti web o server, la maggior parte delle volte è realizzato utilizzando le botnet.

IOT (Internet Of Things). Termine riferito alla capacità di oggetti appartenenti al mondo dell’elettronica industriale o di consumo di connettersi alla rete Internet. I campi di impiego sono molteplici: dai processi produttivi in ambito industriale, alla logistica, all’infomobilità, all’efficienza energetica, all’assistenza remota, alla tutela ambientale e alla domotica.

Tra i vettori di attacco, un ragionamento a parte meritano le botnet.

Botnet. Una rete di computer utilizzata per effettuare attacchi da remoto, formata da computer infetti gestiti a distanza da un centro di comando e controllo, spesso appartenenti a persone inconsapevoli. Tali macchine infettate nel gergo vengono chiamate zombie.

Sostanzialmente, i computer zombie – quelli arruolati nelle botnet – sono inconsapevoli teste di ponte utilizzate dai cybercriminali per raggiungere i propri obiettivi (sempre quelli descritti nel secondo articolo). Ad esempio, le botnet vengono molto spesso utilizzate per inviare e-mail contenenti spam ma anche per veicolare messaggi di phishing, temi su cui sappiamo ormai tutto incluso come difenderci.

Le botnet, però, possono essere utilizzate anche per realizzare attacchi più sofisticati diretti verso le grandi aziende o le grandi infrastrutture nazionali come, ad esempio, per realizzare attacchi di Distributed Denial of Service (DDoS) sia volumetrici che applicativi (questi temi li approfondiremo più avanti).

Una botnet può essere composta sia da computer (server o client) che da device di altro tipo (es. IOT) come nel caso della famosa botnet MIRAI.

Ora, una botnet può essere pilotata dal suo centro di comando e controllo sostanzialmente secondo due strategie, ovvero, utilizzare la “potenza” della botnet (che è direttamente proporzionale alla sua dimensione) per:

  • tentare di sfruttare una singola vulnerabilità sul maggior numero possibile di computer connessi ad Internet (vedi figura di sinistra);
  • far convergere lo stesso attacco (es. DDoS) su di un singolo computer di una singola vittima (vedi figura di destra).

Nel primo caso non c’è una vittima predefinita, nel secondo caso la vittima è individuata e studiata prima di lanciare l’attacco.

Un PC zombie è un vettore di attacco ma, prima di diventare tale, è stato esso stesso vittima di un attacco avente come obiettivo il suo arruolamento nella botnet e la sua trasformazione in zombie. I motivi per cui un cybercriminale spende tempo e risorse per costruire una botnet, sono due:

  • creare uno strumento utile a realizzare attacchi;
  • rivendere questa capacità ad altri cybercriminali traendone un guadagno.

Negli ultimi anni è sorto un fiorente commercio di questo tipo con strumenti che si sono via via raffinati fino ad arrivare alla nascita di veri e propri sistemi in cloud noti come “Botnet as a Service” (BaaS). Ne esistono di tutti i tipi con due caratteristiche che li accomunano: estrema economicità e completo anonimato. Insomma, un vero e proprio supermercato di “armi digitali”.

Leggi gli altri articoli del Piccolo glossario dei concetti e dei termini della cybersecurity

#1. Che cos’è il rischio cyber e come si gestisce

#2. Quali sono le principali minacce? E come è possibile proteggersi?

© Italiaonline S.p.A. 2020Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963