Parte del mio lavoro consiste nel testare l'elemento umano della sicurezza nelle organizzazioni creando e lanciando campagne di phishing (su commissione, cioè autorizzati a farlo dall'azienda!).
Eseguire ogni anno alcune simulazioni di campagne di phishing potrebbe ridurre la probabilità che i dipendenti facciano click su collegamenti malevoli, scarichino file dannosi o forniscano informazioni critiche interne quando contattati da un utente malintenzionato. Svolgere queste attività e poi discuterne attraverso una formazione di sensibilizzazione permette solitamente di ottenere i migliori risultati.
In questo breve articolo spiegherò cos'è il phishing e quanto è facile creare una campagna di phishing, in modo che ognuno di noi possa essere più consapevole dei rischi che noi e le Aziende per cui lavoriamo affrontiamo ogni giorno.
Cos’è il Phishing?
Il phishing è una attività di social engineering. Fondamentalmente consiste nell'indurre le persone a compiere un'azione tramite l’invio di un'e-mail.
Il tipo più comune è il credential phishing, in cui l'attaccante tenta di ottenere l'accesso a nomi utente e password in chiaro per ottenere un primo punto d’accesso nell'organizzazione. Altre tipologie di phishing potrebbero veicolare file dannosi allegati, generalmente correlati a un payload, un componente malevolo che favorisce l’infezione di un sistema, creato da qualcun altro (ad esempio, Cobaltstrike).
Il phishing è solo una delle modalità attraverso cui un attaccante potrebbe stabilire una prima posizione interna, altre modalità possono essere il vhishing (ovvero una forma di “phishing” vocale, svolto mediante una o più telefonate verso il target), lo smishing (“phishing” veicolato da sms), o altre forme di manipolazione attraverso mezzi tecnologici o meno.
La fase Ricognitiva
Per avviare il phishing, quando si prende di mira un'organizzazione, il primo passo è creare un database delle persone che potrebbero lavorare lì (indirizzi e-mail e contatti). Esistono molti strumenti e piattaforme gratuiti che consentono a chiunque di raccogliere informazioni da LinkedIn.
Figura 1- https://rocketreach.co/
Rocket Reach, come molte altre piattaforme, consente agli utenti registrati di scoprire e-mail valide che facevano parte di data breach. Con pochissimi tentativi si riesce a trovare una mail valida per l'azienda target, capendo così com'è composta (es. nome.cognome@nomeazienda.com) e rendendo molto facile andare a popolare il database.
Una volta che abbiamo il nostro database, se l'obiettivo è raccogliere le credenziali dei dipendenti, dovremo eseguire un'enumerazione web di base alla ricerca dei portali di accesso utilizzati dalla vittima e decidere quale impersoneremo.
La fase di Weaponization
La seconda parte della fase preliminare è la weaponization, o creazione dell’armamento.
Se il nostro obiettivo è raccogliere credenziali, per cominciare, dovremo preparare l'ambiente, il che significa acquistare il dominio che utilizzeremo per la valutazione del phishing e configurare i record relativi al servizio di posta elettronica. Per rendere le cose più facili (e più smart) di solito configuriamo il VPS (Virtual Private Server, un’istanza di un sistema che viene eseguito in ambiente virtuale) con GoPhish, piattaforma che permette di inviare e-mail in massa e raccogliere informazioni sulla campagna.
Figura 2 - https://github.com/gophish/gophish
Una volta che l'ambiente è pronto, si procede alla preparazione del modello di e-mail. Ecco la parte difficile: il contenuto del modello può variare in base al tipo di campagna, che sia mirata o meno.
In una campagna di phishing mirata, di solito aggiungiamo un passaggio nella fase di ricognizione in cui eseguiamo attività di OSInt sul bersaglio per conoscerlo: come comunica, come è strutturato, quali sono i suoi interessi e valori fondamentali, ecc. per creare un modello di e-mail su misura che induca la maggior parte dei dipendenti a eseguire l'azione desiderata.
Quando la campagna non è mirata, di solito veicola argomenti di interesse generale (es. bonus, lotterie, ecc.) che fanno leva su un qualche tipo di bisogno, desiderio, paura, ecc., in chi legge, inducendolo a compiere un'azione al fine ottenere qualcosa che bramano o per impedire che accada qualcosa di cui hanno paura.
Quando optiamo per una campagna di furto di credenziali, andiamo poi a preparare la pagina web che permetta di inserirle ed inviarle successivamente al nostro GoPhish (che segnerà l'azione come “eseguita”). Il portale che costruiamo di solito presenta caratteristiche (raccolte durante la fase di ricognizione) che richiamino all’azienda, per sembrare un po' più legittimi e creare fiducia.
Lancio della campagna e raccolta di informazioni
Una volta svolti tutti questi passaggi, è possibile lanciare la campagna. È più probabile che le campagne vengano avviate in momenti "scomodi" come vicino alla pausa pranzo o alla fine della giornata lavorativa; quindi, di solito scegliamo uno di questi due momenti. Gli aggressori tentano il loro accesso iniziale in queste finestre temporali perché è più probabile che i dipendenti siano distratti o stanchi, quindi più inclini a eseguire l'azione desiderata.
GoPhish è molto utile quando si tratta di raccogliere dati; l'utilizzo di un semplice tracker nel corpo dell'e-mail consente a GoPhish di tenere traccia di quali utenti hanno aperto l'e-mail e quanti hanno fatto click sul collegamento che è arrivato al nostro portale dannoso. Infine, tiene anche traccia degli utenti che hanno inserito le credenziali.
Tutti questi dati potrebbero essere utili a un utente malintenzionato:
- Il tracker che comunica all'aggressore che l'e-mail è stata aperta confermerà la validità dell'indirizzo e-mail che potrebbe essere utilizzato in una seconda campagna mirata;
- L'azione del click (anche quando non seguita dall'inserimento delle credenziali), potrebbe segnalare l'utente come potenziale “punto debole”;
- Le credenziali inserite potrebbero essere utilizzate per ottenere un punto d’accesso all'infrastruttura target.
Conclusioni
Capire come pensa e agisce un attaccante può aiutare a migliorare la difesa di un'azienda.
Rafforzare l'anello più debole della catena, quasi sempre l'uomo, potrebbe giovare sia ai singoli che all'Azienda stessa.
La formazione continua degli utenti, non solo strettamente connessa al perimetro aziendale ma anche al proprio, potrebbe giovare a entrambe le parti e quindi essere più efficace.
