Hack tutorial: questo è il perché ogni perdita di dati è un problema per tutti.

Autore: P@km4N

La minaccia informatica globale continua ad evolversi ad un ritmo frenetico, con un numero crescente di violazioni dei dati anno dopo anno.

I servizi primari e gli enti pubblici e privati, hanno subito un numero massiccio di violazioni da parte dei criminali informatici, motivati sia per profitto che per interessi national-state, raccogliendo dati, estorcendo denaro, “bullizzando” stati e singole organizzazioni al fine di trarne un diretto vantaggio, tenendo sotto scacco i sistemi informatici e le potenze di tutto il mondo.

Su Red Hot Cyber abbiamo sempre parlato dell’essere consapevoli ai rischi informatici, ma ancora molte aziende non prendono sul serio la cosa, pertanto facciamo un “rewind”, per ricordarci quanto i dati siano importanti, ogni singolo dato, e quanto poco basta per generare un danno per la collettività e per il sistema paese.

Perché parliamo di paese?

Perché la resilienza agli attacchi informatici è un problema di tutti noi, dal semplice cittadino alla grande organizzazione fino ad arrivare alla piccola impresa.

Se la sicurezza informatica non viene messa in atto da una piccola azienda, è un problema collettivo, e quindi anche del singolo che spesso pensa che questi problemi non lo toccheranno mai.

I criminali sono ladri e come i ladri “reali”, rubano dove le difese sono più deboli, come un porta aperta, una finestra senza sbarre, o l’assenza di un allarme perimetrale.

L’obiettivo per i criminali informatici da profitto è avere il massimo guadagno con il minimo sforzo. Pertanto, se renderai loro la vita difficile, sarà più probabile che sceglieranno un altro e non te.

Esistono anche i Lupin della criminalità informatica, lo sappiamo bene, ma questi ultimi sono un caso a parte che lasciamo gestire ai governi e alle intelligence dei paesi.

Ma la cosa che ancora non capiamo (letta spesso su Linkedin, social di “qualità”), è il perché viene sminuita l’importanza di un data leak, come quello di Facebook, mentre invece queste informazioni, correlate ad un altre, generaro una “nitida” impronta di una persona, che consente poi di condurre successivi attacchi mirati, o banalmente prendere il controllo di una specifica identità (come visto nell’articolo del SIM Swap qualche giorno fa).

Facciamo un esempio.

Alcune aziende (piccole, medie e grandi organizzazioni), hanno perso dei dati nell’arco di 3 anni come riportato nella tabella in calce.

Attivando una “correlazione” tra i dati, si avrà per ogni determinata persona una “impronta” che porterà ad avere un insieme di informazioni di dettaglio quali:

1. Nome e cognome della persona
2. Numero di telefono
3. Password di alcuni servizi (o password precedenti utilizzate per alcuni servizi)
4. Domande segrete per alcuni servizi
5. Domicilio
6. Codice Fiscale
7. Tessera Sanitaria
8. Operatore Telefonico
9. Numero telefonico
10. Servizi aggiuntivi telefonici
11. Nome del medico della Mutua
12. Principali patologie
13. Marca e Modello dell’auto in suo possesso
14. Targa della macchina
15. Telaio della macchina
16. Data Revisione dell’autovettura
17. Nome dell’assicurazione
18. Numero di incidenti degli utlimi 5 anni
19. Premio annuo dell’assicurazione
20. Tipologia polizza assicurativa
21. Premio RCE ed Incendio e furto

E’ incredibile non è vero?

Cosa ti serve di più per poter hackerare una persona? Probabilmente nulla.

E molte di queste informazioni non cambiano nel tempo.

Non si cambia facilmente un Numero di telefono o un domicilio, una macchina, le patologie ricorrenti, quindi una informazione persa una sola volta, è persa per sempre.

Quindi non fidatevi di chi dice che il dataleak dei 533 milioni di utenti Facebook è roba di poco conto. Se all’interno di questo dataleak c’è la correlazione tra nome, cognome e numero di telefono (come ad esempio il mio), sarà li in eterno fino a quando non cambierai il tuo numero di cellulare.

Un databreach di 5 anni, per alcune di queste informazioni è egregiamente “attuale”.

Ma una farfalla che sbatte le ali da sola non fa allontanare la tempesta. Se tutte le farfalle sbattessero le loro ali contemporaneamente, la tempesta verrebbe allontanata velocemente.

Questo perché ogni dato fuoriuscito da un cliente di una azienda italiana, costituisce un “mattoncino” in più per i criminali informatici, ma un grave danno per tutta la collettività.

Dobbiamo comprendere che ogni databreach, piccolo o grande che sia, ha un costo importante per tutti.

Tutto questo consente ai criminali informatici di perpetrare i loro loschi piani come ad esempio:

1. Campagne si phishing o di “spear phishing” mirate verso un determinato utente;
2. Furto dell’identità di un determinato servizio, effettuando attacchi su base dizionario ricreato dalle informazioni correlate;
3. Vendere i dati ad assicurazioni, aziende di telecomunicazioni e aziende automobilistiche a broker sui forum underground
4. Vendere i dati agli inserzionisti pubblicitari
5. Effettuare SIM Swapping, simulando una reale identità
6. e molto e molto altro ancora…

Inoltre i criminali informatici da profitto, cercano l’azienda facile da violare, che lascia tracce delle sue vulnerabilità “alla luce del sole”, che consente loro (ad esempio) di inoculare un ransomware e chiedere un riscatto, rubare i dati delle certe di credito dei clienti, oppure a generare botnet per DDoS abusando della fiducia attraverso una campagna ben orchestrata di phishing.

Ogni Ransomware che esfiltra dati, tali dati (sia se paghi o non paghi il riscatto), inevitabilmente andranno in giro nel vasto mondo di “internet”, pronti ad essere utilizzati da chi sa dove e come trovarli.

Siamo molto indietro in Italia (anche se ci stiamo lavorando da anni), dobbiamo innalzare la cultura sul tema della sicurezza informatica a livello paese, partendo dalle scuole, dall’educazione civica del digitale, cercando di formare i nostri ragazzi nell’etica e nella collaborazione in un cyberspace pieno di rischi e pericoli, e non libertà, condivisione, trasparenza e cultura; quelle vecchie promesse che ci hanno raccontato agli inizi di internet.

Le acque di questo mare sono profonde, piene di pericoli ed insidie e occorre conoscerli per non rimanerne vittime inconsapevoli del primo squalo di turno.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks