Per gli esperti di sicurezza, l’incident response è un’attività molto particolare. Se normalmente l’attività delle società di cyber security punta alla prevenzione e al contrasto degli attacchi informatici, quando si interviene in seguito a un incidente già avvenuto la prospettiva cambia completamente. In questo caso, infatti, quello che bisogna fare è ricostruire la dinamica dell’attacco, individuare i punti deboli sfruttati dai pirati informatici e introdurre i sistemi di protezione che permettono di mettere in sicurezza i sistemi. Ma come si svolgono queste operazioni nella pratica? Lorenzo Bernini, Cyber Security Manager di HWG, lo illustra partendo da un caso reale che ha dovuto affrontare.
Anatomia di una frode informatica e incident response
“Il nostro intervento è stato richiesto quando l’azienda si è accorta di un movimento di denaro illegittimo” spiega Bernini. “Nel dettaglio, si è trattato di un pagamento di 400.000 euro operato da una filiale estera verso un conto corrente sconosciuto”. Un caso esemplare di attacco CEO Fraud o, come viene chiamata in gergo, Business Email Compromise. Una tecnica che punta a rubare l’identità digitale di un dirigente per disporre pagamenti fraudolenti che finiscono nelle tasche dei cyber criminali. “La nostra attività, in questo caso, ha preso le mosse dalla ricostruzione dell’attacco e dall’implementazione di strumenti per evitare che un evento del genere si possa ripetere” specifica l’esperto di HWG. “Partendo, in questo caso, dall’attacco che ha permesso di prendere il controllo dell’account di posta elettronica del General Manager dell’azienda”.
L’attacco iniziale
Come ha potuto verificare il team HWG, il vettore di attacco iniziale è stato un classico messaggio di spear phishing: una mail “mirata” per compromettere l’account di posta su Office 365. “La vittima è stata dirottata su una pagina web apparentemente identica a quella del servizio legittimo, ma quando ha inserito username e password, questi sono stati registrati dai pirati informatici, che a questo punto hanno ottenuto accesso alla casella di posta” spiega Bernini. “Attacchi di questo tipo sono estremamente comuni e introdurre sistemi di protezione è indispensabile. Abbiamo previsto l’introduzione di un sistema di autenticazione multi-fattore e di controlli basati su intelligenza artificiale che sono in grado di riconoscere le mail truffaldine, oltre a bloccare il collegamento a siti che utilizzano domini sospetti o fanno riferimento a indirizzi IP insoliti”. A fianco di queste tecnologie che operano in maniera preventiva, il team ha previsto l’adozione di un sistema di monitoraggio degli accessi all’account mail, che utilizza regole predefinite basate sul comportamento dell’utente (user behaviour) e sulla geolocalizzazione. “Se viene eseguito un accesso a orari o da luoghi insoliti, scatta un allarme” spiega l’esperto di HWG. “In fase di analisi forensica abbiamo individuato accessi eseguiti da Nigeria, Singapore e Olanda. Un sistema di monitoraggio li avrebbe immediatamente segnalati”.
La fase di preparazione
Dopo aver ottenuto l’accesso all’account di posta aziendale, i cyber criminali hanno atteso pazientemente per un periodo di almeno 10-15 giorni, sfruttando questo tempo per studiare le comunicazioni e le procedure interne all’azienda. Per nascondere la loro presenza, hanno impostato una serie di regole all’interno di Office 365 prevedendo l’inoltro automatico a un indirizzo mail esterno. Hanno poi individuato il bersaglio ideale per mettere a segno la truffa: una filiale estera dell’azienda. “Si tratta di una strategia brillante, che i pirati adottano spesso” spiega Lorenzo Bernini. “Le conversazioni avvengono in inglese, una lingua che non è quella originaria degli interlocutori ed eventuali incongruenze passano inosservate. Il fuso orario, inoltre, riduce il rischio di eventuali tentativi di contatti telefonici che smaschererebbero i truffatori. Tutto avviene solo via mail”.
Scatta l’attacco
Solo a questo punto i pirati hanno colpito, contattando la filiale per ordinare un pagamento a un inesistente fornitore. Per rendere più credibile l’operazione e non suscitare sospetti nell’interlocutore, ogni messaggio aveva in copia conoscenza quelli che apparentemente erano altri dirigenti dell’azienda. In realtà, gli indirizzi facevano riferimento a un dominio quasi identico, ma diverso da quello autentico. “I truffatori hanno registrato un dominio simile a quello del loro bersaglio, ma nel nome c’era una “i” in più. Un dettaglio che può passare facilmente inosservato” conferma Bernini. Il trucco, come anticipato, ha permesso ai cyber criminali di incassare 400.000 euro. Per impedire che un episodio del genere si ripeta, oltre a predisporre gli strumenti di difesa già citati, il team di sicurezza ha collaborato con l’azienda per modificare le procedure per i pagamenti, con l’introduzione di verifiche incrociate che permettano di individuare truffe di questo genere. “Abbiamo previsto anche un percorso triennale di formazione per tutti i dipendenti con lo scopo di sensibilizzarli sugli attacchi informatici” spiega il Cyber Security Manager di HWG. “In molti casi conoscere le tecniche usate dai cyber criminali è uno degli strumenti più efficaci per bloccarne l’attività”.
