Quindicinale n.39, 30 novembre 2016

Ransomware: non fate phishing con gli sconosciuti

La tecnologia non potrebbe mai proteggere al 100%
Ransomware: non fate mai phishing con gli sconosciuti
Shares

La protezione più efficace, e generalmente meno costosa, è la creazione e la costante manutenzione di un programma di “security awareness” del personale realizzato tramite lezioni, training ed azioni mirate (anche creative).

L’industria del software malevolo

Il ransomware è il sottoinsieme di software malevolo che, una volta infettato un computer, cripta tutti i dati a cui ha accesso, come hard disk locale, cartelle di rete condivise o hard disk portatili collegati. Per “liberare” i dati sequestrati chiede un vero e proprio riscatto di una somma non troppo elevata. Circa 500 USD, che in alcuni casi vengono scontati se il riscatto viene pagato velocemente. Sì, perché i malintenzionati forniscono un “servizio completo e professionale”. Promettono di liberare i dati e forniscono guide dettagliate e a volte veri e propri help desk che rispondono H24 e danno anche supporto telefonico al malcapitato.

La produzione di ransomware è un perfetto esempio della “industrializzazione” del software malevolo. Nel cyberspazio è possibile trovare kit estremamente economici che devono essere solo personalizzati con la solita “lettera dalla Banca” o bolletta della Società distributrice di servizi. La modalità d’attacco è quasi sempre il phishing e le vittime crescono ogni anno. Solo la variante CriptoWall 3 tra gennaio e ottobre 2015 ha causato danni per 325 millioni di USD, secondo il Cyber Threat Alliance Report.

Che fine fanno i dati attaccati?

Diciamolo subito: una volta colpiti dai vari CryptoMalware, la probabilità di avere indietro i propri dati, se non si ha una copia, tende a zero. La reazione più semplice e immediata (quindi migliore) è disporre di un backup aggiornato su un supporto non collegato al computer che si usa sempre (immaginatevi la beffa di vedersi sequestrato anche il backup che doveva proteggerci dal ransomware). Pagare il riscatto ci espone a rischi legali e non ci garantisce di riavere i dati. Esiste anche la vaga speranza che qualche ethical hacker o società specializzata del settore pubblichi i tool appositi che “liberano” i dati criptati, ma si tratta di casi rari e solo su poche varianti isolate del malware.

La tecnologia non ci può proteggere al 100%. Fidatevi, si tratta di un dato di fatto e non una scusa degli esperti IT. Anche con un antivirus aggiornato e con un’infrastruttura all’avanguardia, nessuna tecnologia potrebbe impedire a Dott. Rossi di scaricare il PDF con il malware incorporato. Anche perché Dott. Rossi si è innervosito, ha insistito ed ha chiesto supporto alla segretaria ignara che, dopo vari tentativi e diversi click sul tasto “OK” e “Avanti”, è finalmente riuscita nel download di quell’importante invito al convegno al Porto Cervo.

La soluzione più tecnologica è nella formazione delle risorse umane

Quale è la soluzione, quindi? Prevenzione sotto forma di formazione mirata alla creazione di una cultura aziendale e personale. Per creare cultura, però, non è sufficiente l’ora obbligatoria in aula o il filmato nella intranet aziendale che tutti devono lanciare sul proprio PC (di solito dura il tempo di prendere il caffè alla macchinetta). Per creare consapevolezza e attenzione, è necessario fare leva sugli aspetti personali. Fa impressione vedere come cambia l’atteggiamento delle persone durante la formazione in aula quando, parlando di “obbligo di proteggere i dati aziendali”, si fa un esempio “personale” come quello dell’amica che ha perso tutte le foto del figlio neonato e quelle del papà deceduto l’anno prima, o l’autore che si è visto sequestrato il manoscritto, quasi terminato.

Se per la nostra Organizzazione la formazione in aula non è applicabile (per la distribuzione territoriale, la numerosità dei dipendenti, ecc) le piattaforme di e-learning consentono di erogare un percorso formativo mirato, efficace dal punto di vista dei messaggi e dimostrabile, che è utile ai fini dell’espletamento degli obblighi normativi.

Aggiornamento e motivazione: il ruolo della formazione online

Si inizia con email di invito a collegarsi alla piattaforma di e-learning. Il tema viene introdotto da un breve video del Chief Security Officer o Data Protection Officer o un altro officer che presenta lo scopo e l’importanza dell’iniziativa, si prosegue ad una pagina dedicata dove è possibile seguire una presentazione con i principi fondamentali, i rischi e le Policy e le Linee guida sulla sicurezza. Con la possibilità di sospendere e riprendere in qualsiasi momento. Al termine c’è il Test finale, che se concluso positivamente, permetterà il rilascio di un attestato, con nome e data, che accerti il livello di comprensione. È leggermente diverso dal filmato di 24 minuti, messo in intranet! Ed il costo per produrlo non è di molto superiore.

Se non si riesce “con le buone” esistono anche i metodi “cattivi” per sensibilizzare i dipendenti. Un’azione di costo contenuto e di grande ritorno è il c.d. “employee phishing”. Sfrutta gli stessi principi dell’attacco malware, ma è concordato ed autorizzato dal top management aziendale. Il tool è configurato, lanciato e gestito dal Responsabile Sicurezza o ICT (o di un suo consulente specializzato), ed è disegnato per colpire i dipendenti.

In funzione della resistenza ipotizzata dell’organizzazione che si sta attaccando, viene modulato un attacco più o meno sofisticato. La “campagna” è lanciata sui dipendenti, ma le vittime che eseguono il malware innocuo contenuto nell’email di phising non sono immediatamente avvisate per non compromettere l’efficacia dell’azione. Passato un periodo congruo (in media 2 o 3 giorni sono sufficienti per garantire che le mail siano lette da tutti), si procede alla diffusione dei risultati. L’attaccante riceve un report dettagliato con il numero delle mail aperte e l’elenco degli utenti che “ci cascano” oltre ad un elenco contenente il numero di email cancellate senza essere aperte, quelle aperte e cancellate e altre informazioni.

Sulle modalità di comunicazione più o meno “incisiva” decide l’azienda stessa. Ad esempio alle vittime colpite potrebbe essere inviata una email comunicando che hanno subito l’attacco e che avrebbero compromesso i dati aziendali se fosse stato vero o ci si può limitare a comunicazioni di dati aggregati nell’organizzazione.

Il risultato è duplice ed estremamente valido: da un lato un quadro analitico e veritiero del livello di attenzione e “resistenza” ad un attacco di phishing e, dall’altro, un notevole aumento della soglia dell’attenzione nel momento in cui viene svelata l’iniziativa e pubblicati i risultati.

Shares

Tags: , , , ,



Autore
Bulgaro di nascita, romano di adozione, Delian Shumkov si è laureato in Economia Aziendale presso la UNICAL ed ha un BA in Business presso la Manchester Metropolitan University. Il suo percorso professionale è iniziato in Deloitte Consulting per poi proseguire in Codere Network (progetti IT, compliance tecnologica, qualità e governance con focus sugli aspetti di IT security, Data Protection e Privacy). Di recente è passato in ADS Assembly Data System, società tecnologica e giovane, concentrata sull'innovazione, dove si occupa di governance. E’ fermamente convinto che la cybersecurity, oltre che di tecnologia, sia fatta di consapevolezza, cultura ed educazione: da qua deriva il suo impegno (da volontario) nelle scuole dove tiene corsi sulla sicurezza internet.
Commenta questo articolo