lunedì 22 novembre 2021

Data leak: disponibili gratuitamente nel dark web i dati di quasi 4000 dirigenti di aziende anche italiane

E' stato rintracciato online, nel famoso forum dell'undergorund hacker RaidForums, dai ricercatori della cybersecurity firm italiana Yoroi: è un database contenente i dati di quasi 4000 tra CEO, responsabili team IT e responsabili comunicazione / marketing e non solo di centinaia di aziende italiane ed europee. Si va da istituzioni pubbliche a provider di servizi fino a società di consulenza, la maggior parte dei quali afferenti al settore bancario e finanziario italiano, ma anche Telco ecc..

Il post su RaidForum nel darkweb

Il post in questione si intitola "Contacts of 3K Executives and employees of Italian & EU fintech companies" e contiene, tra i tanti contatti a livello europeo, quelli di 3887 contatti di italiani: nella foto sotto la pivot ordinata per mansione della vittima


Nel dettaglio, per ogni persona sono elencati:

  • Nome e cognome;
  • Mansione;
  • Numero di telefono;
  • Contatto email;
  • Azienda


Quali rischi?
Lo diciamo spesso che i dati sono ormai il petrolio del nuovo millennio: sono appetibili, sono redditizi, tutti ne sono alla ricerca. Questo caso, i contatti di dirigenti e professionisti di centinaia di aziende afferenti a settori strategici nazionali, è una vera e propria miniera d'oro per un attaccante: non solo perchè qualcuno ha pubblicato questi dati rendendoli disponibili gratuitamente per chiunque ne voglia ottenere copia, ma soprattutto perchè dà grandi possibilità di monetizzazione.

Spiegare che tipologia di rischi si corrono con un data leak come quello raccontato sopra ci offre anche la possibilità di spiegare perchè sono errate le reazioni, come spesso ci è capitato di sentire, che minimizzano tali eventi: "sono stati rubati solo dati personali, ma non quelli finanziari", come se questo rendesse meno grave un episodio simile. 

Per approfondire > Aumentano i casi della "truffa del Ceo" in Italia: i consigli degli esperti dello Csirt

Coi dati personali è possibile organizzare svariate tipologie di attacco. I più comuni sono:

  • furto di identità:
    un attaccante che conosce dati personali come nome, cognome, azienda presso cui si è impiegati, compleanni ecc... può facilmente spacciarsi per qualcun altro. Non solo sui social, ma anche in azienda e nella vita privata;

  • spear phishing:
    lo Spear Phishing è una variante dei messaggi di phishing: un cyber-criminale invia una e-mail mirata ad un individuo camuffandola come se fosse proveniente da una fonte attendibile. L'utente riceve una mail meticolosamente personalizzata da una fonte affidabile o ancora da una compagnia con la quale ha familiarità: spesso è addirittura prevista una certa interazione con la vittima. Queste email sono così attentamente pensate che sono perfettamente confondibili con email inviate da amici, colleghi o del tuo capo che richiede l'accesso a informazioni sensibili. I cyber-criminali che usano questa tecnica vivono grazie al fatto che hanno una certa conoscenza sulla vittima, cosa che permette loro di capire che tipo di messaggio può farti abbassare la guardia. Così ad esempio, possono includere nel messaggio la mail personale, dettagli sulla posizione professionale o altri tipi di informazione sottratti da altre fonti, quasi sempre dalle attività sui social network. La finalità di questi messaggi è, come qualsiasi altra frode informatica, quella di accedere al sistema dell'utente o estorcere informazioni sensibili;

  • attacchi BEC (Business Email Compromise):
    il Business Email Compromise è un tipo di attacco di phishing nel quale l'attaccante si presenta come dirigente aziendale e cerca di convincere clienti, dipendenti o fornitori a trasmettergli informazioni sensibili e fondi associati. Gli attacchi BCE sono la forma più mirata possibile di phishing: la preparazione richiede approfondita analisi dei profili social e di tutto ciò che nel web è rintracciabile riguardo i dipendenti presi di mira.

Per approfondire > La truffa via email fa una vittima di eccellenza: rubati 37 milioni di dollari alla Toyota

Per approfondire > Truffa del CEO: gruppo di cyber criminali guadagna 15 milioni di dollari in pochi mesi 

Sono queste, tutte forme di ingegneria sociale: i dati personali sono usati per portare avanti truffe che non richiedono alcun malware, alcun accesso informatico abusivo... insomma poche difficoltà. Questo perchè tali attacchi non sono mirati contro le macchine, ma hanno al contrario un "bersaglio" preciso da sfruttare, l'anello debole della cyber security ovvero l'essere umano. Non a caso, per ingegneria sociale si intende proprio "l'arte" di truffare le persone convincendo esse stesse a cedere, volontariamente pur senza consapevolezza, soldi, ulteriori dati, accessi e credenziali senza lanciare alcun attacco. 

Insomma, i casi di data leak o data breach di dati personali non sono affatto meno gravi, meno pericolosi, meno preoccupanti dei casi in cui trapelano dati finanziari, anche nella vita extra lavorativa: è utile citare, in questo caso, l'indagine della procura di Lecce su un uomo che, spacciandosi per ginecologo, proponeva "visite in webcam" a giovani ragazze delle quali conosceva molti dati e dettagli della vita personale e sanitaria. 

Nessun commento:

Posta un commento