logo

CybergON Blog

Advancing the State of Cybersecurity.

Alla ricerca delle credenziali perdute: l'analisi OSINT

Ti sarà sicuramente capitato di ricevere una telefonata da un numero sconosciuto, salvarlo e andare a visualizzare la foto di quella persona su WhatsApp per verificare chi fosse. Questa, anche se in modo semplificato, si può definire un’analisi OSINT.

OSINT: Open Source INTelligence. Un’attività più longeva di quello che si pensa e largamente utilizzata nell’ambito della Cyber Security, ma non solo: giornalisti, reporter, agenzie investigative ne fanno uso per le loro attività.

analisi-osint

L’analisi OSINT consiste nella raccolta delle informazioni pubbliche (Open Source, appunto) di una determinata azienda o persona.
Prima di comprenderne i possibili impatti (piccolo spoiler: decisamente importanti!), facciamo una breve digressione sulla base fondante di questa attività: la presenza delle informazioni che ci riguardano in rete.

L’informazione in rete: quando diventa pubblica

Le informazioni che ci riguardano e che carichiamo in rete – le foto, i documenti, la mail, la data di nascita – possono essere trovate, salvate e utilizzate. Capiamo come.

In principio furono i “data breach” (un esempio recente è quello di Inps). Quando un’organizzazione subisce un attacco e questo ha successo, i dati vengono prima esfiltrati e poi pubblicati; se ci siamo registrati su quel sito o abbiamo collaborato con quell’ente, allora è probabile che le nostre informazioni (nome, cognome, mail, data di nascita, ecc.) finiscano nel Dark Web, il mercato nero della rete. Esiste anche l’ipotesi che le informazioni sottratte non vengano subito pubblicate, ma vengano prima messe in vendita.

Recuperare queste informazioni non è semplicissimo, ma è ciò che fanno i Cyber criminali (e, per fini opposti, gli esperti di Cyber Security ed Intelligence). La prima fase o Fingerprint di un attacco è proprio quella di “information gathering”.

Un altro modo molto comune per raccogliere le informazioni di terzi è far leva sui Social Network: se la privacy dei nostri profili di Facebook e Instagram non è settata correttamente, ad esempio, sarà molto facile recuperare il nome del nostro cane, il paese in cui abitiamo, le nostre abitudini.

approfondimento-social-network-cyber-crime

L’obiettivo è sempre uno: sfruttare queste informazioni per scopi illeciti. Il più diffuso è il phishing.

Più informazioni di una persona riesco a trovare, maggiore sarà l’accuratezza della comunicazione esca e quindi la probabilità che quella persona abbocchi.

Avere a disposizione il nome e cognome di una persona rappresenta già una quantità di nozioni utili a riuscire nell’attacco, specialmente se stiamo parlando di figure apicali. Sono molto comuni i casi di CEO fraud: solo conoscendo il nome dell’amministratore delegato, si può impersonificarlo e creare mail credibili con cui spingere i collaboratori dell’azienda a “cliccare sul link” o “scaricare l’allegato” o “fare questo bonifico urgente”, nel caso in cui la vittima designata sia una persona del reparto Finance.

Informazioni aggiuntive come la data e il luogo di nascita possono rendere le comunicazioni del Cyber criminale ancora più credibili. Un esempio è il Man in the Middle, ovvero quel tipo di attacco informatico in cui l’attaccante intercetta e si inserisce in una conversazione (di solito trattative vie e-mail). Lo scopo è tipicamente pilotare la conversazione fino ad indirizzare un pagamento su un IBAN diverso da quello che prevedrebbe la trattativa.

Dall’individuo all’azienda

Possedere queste informazioni è una conditio sine qua non se si intende procedere con un attacco ben congeniato. I motivi per cui un’azienda viene attaccata possono essere molti. Un’organizzazione criminale è interessata a fare soldi, ottenere altri dati da sfruttare in futuro o, ad esempio, le è stato commissionato un attacco da un competitor per ottenere vantaggio competitivo.

L’attacco informatico spesso e volentieri però, non è indirizzato a quella specifica azienda, ma passa dall’anello più debole di una qualsiasi organizzazione: le sue persone. Spieghiamo meglio: se l’azienda “X” ha credenziali esposte di una o più persone del Management Team, è probabile che il Cyber criminale le sfrutterà, indipendentemente da ciò che l’azienda può offrire in termini di dati/denaro.

La chiave, per un attaccante, quindi è far leva sulle vulnerabilità delle identità digitali. Essere vulnerabile nella propria identità digitale “privata” corrisponde molto spesso all’esserlo in quella professionale. Questo accade perché è piuttosto diffusa la pratica di utilizzare password correlate – o addirittura identiche - per utenze private e lavorative; o ancora utilizzare la mail aziendale per iscriversi a servizi generici. Un esempio noto di data breach è LinkedIn, che nel 2012 si è visto esporre le credenziali di ben 6.5 milioni di account. Molte delle credenziali esposte erano verosimilmente correlate agli account aziendali degli utenti coinvolti.

Lasciare tracce nel web come interessi, password, o addirittura una webcam esposta su internet (ad esempio quelle di sorveglianza che si collegano tramite wi-fi), è l’equivalente di chiudere la porta di casa a chiave ma lasciare spalancata la finestra sul retro.

corsi-1

Veniamo ora alla domanda che ti stai facendo dall’inizio di questo articolo:

Posso capire con certezza se ho subito un Data Breach?

La risposta è duplice.

Affidandoti ad esperti di Threat Intelligence, puoi fare una ricerca più o meno approfondita sia nel Clear Web che nel Dark Web e scoprire se hai mai subito un data breach e su che sito. Questa è una buona notizia, perché ti permette di intervenire, ad esempio cambiando le password. Tuttavia non è detto che l’attaccante pubblichi sempre le credenziali rubate. Spesso e volentieri l’organizzazione criminale, una volta recuperate le credenziali, ci fa quello che vuole, con chi vuole, quando vuole. E ancora, puoi trovare delle credenziali esposte, ma non puoi sapere con certezza da quanto tempo siano presenti.

Questo secondo punto è anche il motivo per cui è difficile stabilire con certezza quando è il caso di effettuare un’analisi OSINT sulla propria persona. L’urgenza varia e bisogna considerare alcuni aspetti:

  • le abitudini di Cyber Security: ad esempio cambiare spesso password e utilizzare un password manager sono buone abitudini che abbassano – ma non eliminano del tutto – il rischio di essere violati;
  • la rilevanza professionale: una figura apicale avrà sempre più appeal di una di staff;
  • evidenza di accessi non autorizzati;

Abbiamo intitolato questo articolo “Alla ricerca delle credenziali perdute”, aggiungiamo che se sono perdute e pubblicate, è assolutamente possibile ritrovarle. Internet non dimentica.


Vuoi avere maggiori informazioni? Hai altre curiosità? Prenota il tuo speed date con noi e ponici le tue domande!