Sebbene le organizzazioni di solito facciano di tutto per affrontare le vulnerabilità della sicurezza che possono esistere all’interno della loro infrastruttura IT, l’helpdesk di un’organizzazione potrebbe rappresentare (inavvertitamente) una minaccia maggiore, questo a causa degli attacchi di social engineering.
Il social engineering è “l’arte di manipolare le persone in modo che comunichino informazioni riservate“.
Esistono molti tipi diversi di schemi di social engineering, ma in questo caso analizzeremo come il social engineering potrebbe essere utilizzato contro un tecnico dell’helpdesk per rubare le credenziali di un utente.
L’obiettivo è trasmettere conoscenza, di modo che si possano prevenire questi tipi di attacchi alle aziende.
Come ottenere l’accesso non autorizzato attraverso il social engineering
Il primo step è raccogliere informazioni sull’organizzazione presa di mira. L’autore dell’attacco potrebbe iniziare utilizzando le informazioni disponibili nel web per capire chi all’interno dell’organizzazione ha maggiori probabilità di disporre di autorizzazioni elevate o di accedere a informazioni riservate. Un utente malintenzionato può spesso ottenere queste informazioni tramite una semplice ricerca su Google o, ancora meglio interrogando social network professionali come LinkedIn.
Una volta che un utente malintenzionato identifica un utente di cui vuole rubare le credenziali, deve conoscere il nome utente.
Trovare il nome utente
Un metodo semplice per l’attaccante è interrogare i database online (nel dark web) alla ricerca di credenziali trafugate.
L’attaccante non deve necessariamente conoscere le credenziali dell’account che sta attaccando.
Deve solo trovare le credenziali di qualcuno che lavora in quell’organizzazione.
Telefonata all’helpdesk
Scoprendo la struttura del nome utente utilizzata dall’organizzazione (ad esempio nome.cognome), l’autore dell’attacco potrebbe effettuare una telefonata all’helpdesk dell’organizzazione e richiedere la reimpostazione della password.
L’obiettivo di questa prima telefonata non è tanto ottenere la reimpostazione della password, ma piuttosto scoprire quali tipi di protocolli di sicurezza l’organizzazione ha in atto. Ad esempio, il tecnico dell’helpdesk potrebbe porre all’aggressore (che si spaccia per un dipendente legittimo) una domanda di sicurezza come “qual è il numero identificativo dipendente?“.
L’aggressore potrebbe quindi dire al tecnico che non ha a portata di mano il numero ID e richiamerà più tardi.
Molte informazioni in possesso
A questo punto, l’attaccante ha diverse informazioni cruciali in suo possesso. Conosce il nome della vittima, il nome utente della vittima e la domanda di sicurezza che il tecnico dell’helpdesk chiederà prima di concedere la reimpostazione della password.
Sfortunatamente, le domande di sicurezza sono in gran parte inefficaci. Un utente malintenzionato esperto può acquisire facilmente le risposte alle domande di sicurezza da fonti diverse. Il Dark Web, ad esempio, contiene interi database di risposte a potenziali domande di sicurezza e sappiamo che gli utenti finali spesso divulgano troppe informazioni personali sui social media.
Oltre alle domande di sicurezza, molte utilizzano le informazioni sull’ID chiamante come strumento per verificare l’identità di un utente. Un metodo inaffidabile perché i sistemi di telefonia su cloud rendono semplice per un utente malintenzionato falsificare le informazioni dell’ID chiamante.
Teoria? No, realtà: il caso di EA Sports
Gli attacchi di social engineering avvengono nel mondo reale. All’inizio di quest’anno, Electronic Arts è stata infiltrata da hacker che hanno rubato una grande quantità di dati (incluso il codice sorgente per la partita di calcio FIFA 21 dell’azienda): l’hacker ha ottenuto l’accesso ingannando il personale di supporto IT dell’azienda per consentirgli di accedere alla rete aziendale.
Cosa fare allora per impedire attacchi di social engineering all’helpdesk?
Quindi, se le domande di sicurezza e altri meccanismi convenzionali di verifica dell’identità non sono più efficaci, come può un’organizzazione difendersi da questo tipo di attacco?
La chiave è rendere impossibile per un tecnico dell’helpdesk aiutare consapevolmente o inconsapevolmente in un tale attacco. Il tecnico è, a tutti gli effetti, l’anello debole della catena della sicurezza.
Il modo migliore per eliminare la possibilità che l’organizzazione venga violata da questi tipi di attacchi è impedire al personale dell’helpdesk di utilizzare strumenti per la reimpostazione della password.
Soluzione di terze parti
Meglio utilizzare una soluzione di terze parti, che impedirà fisicamente (senza possibilità di deroghe) a un tecnico di reimpostare una password a meno che non siano stati soddisfatti determinati requisiti di sicurezza.
Un esempio: un utente legittimo richiede una reimpostazione della password. Il tecnico dell’helpdesk invia un codice al dispositivo mobile dell’utente (preregistrato e associato all’utente).
Il tecnico non può vedere questo codice e non sa quale codice è stato inviato: quando l’utente riceve il codice, deve leggerlo al tecnico, che poi inserisce il codice nel software di terze parti. A questo punto può partire l’invio della password temporanea, da utilizzare per la creazione di una nuova password.
Ti è piaciuto questo articolo? Se sei interessato a una consulenza in materia di cyber security per la tua azienda, contattaci:
Errore: Modulo di contatto non trovato.