Azioni di ingegneria sociale hanno permesso l’accesso a dati riservati di due colossi americani, fingendosi agenti di polizia.
Un gruppo di utenti malintenzionati è riuscito a ottenere informazioni riservate dopo aver contattato le aziende Apple e Meta fingendosi agenti di polizia, accedendo a record interni (non pubblici) come nomi completi, numeri di telefono e indirizzi IP di loro interesse.
Social engineering contro Apple e Meta
Secondo Bloomberg, per entrambe le società l’attacco risalirebbe a metà del 2021, quando i loro dipendenti hanno ricevuto richieste legali emergenziali di accesso ai dati. Evidentemente false.
Queste richieste sono un genere di documenti che consentono, in condizioni di normalità, alle forze dell’ordine di ottenere determinate informazioni dagli utenti coinvolti in indagini critiche. Questo tipo di richieste non necessita di un’ordinanza del tribunale, poiché è considerata urgente e viene formulata in situazioni di vita o di morte, quindi i dipendenti ingannati, presi dall’immediatezza dell’operazione, non hanno esitato a condividere le informazioni richieste.
Questo è un esempio dell’attacco noto come pretesto. Gli esperti affermano che il pretesto è alla base di qualsiasi ingegneria sociale e consiste nella creazione di uno scenario o di una storia fittizia (ma plausibile), consentendo agli attori delle minacce di ottenere dalla vittima informazioni riservate che non sarebbero condivise in circostanze normali.
Sebbene sia Apple che Meta abbiano ripetutamente assicurato di disporre di protocolli rigorosi in atto per verificare la legittimità di queste richieste di emergenza, gli attori delle minacce dietro questo attacco sono riusciti a eludere con successo questi meccanismi di verifica. Gli specialisti della sicurezza informatica affermano che gli attori delle minacce potrebbero aver utilizzato indirizzi e-mail compromessi appartenenti a veri agenti di polizia. Un recente rapporto di Brian Krebs afferma che questo vettore di attacco è altamente efficace, inoltre sembra essere un compito banale per gli hacker accedere agli account delle forze dell’ordine online.
I team di sicurezza di Meta hanno già preso provvedimenti in merito, Andy Stone, un portavoce dell’azienda, afferma: “Abbiamo bloccato gli account compromessi in modo che non facciano presunte richieste fraudolente in futuro”.
Come arginare il social engineering
I metodi di sicurezza dei dati di ultima generazione come la protezione dei confini e dei perimetri attorno ai dati sensibili non garantiscono più la completa sicurezza.
Ogni azienda e organizzazione governativa deve essere in procinto di aggiornare attivamente la propria posizione di sicurezza dei dati per includere strategie incentrate sui dati, che proteggano i dati stessi anziché i perimetri che li circondano. I metodi di protezione come la tokenizzazione e la crittografia di conservazione del formato consentono alle organizzazioni di lavorare con dati altamente mobili senza esporli a rischi. Quindi, anche se quei dati cadono nelle mani sbagliate, gli attori delle minacce non possono compromettere le informazioni sensibili all’interno. In sostanza una chiave utilizzata per conservare questi dati (da parte delle aziende) è la stessa chiave che sarebbe in possesso anche degli enti governativi che volessero accedervi facendone richiesta, a questo punto solo chi ha la chiave (senza che venga scambiata in fase di richiesta dei dati), può accedere ai dati consegnati dalla società.
Questo può essere un investimento che vale la pena esplorare.
L’attribuzione dell’attacco
Rapporti preliminari indicano che l’attacco è stato organizzato da Recursion Team, un gruppo di criminali presumibilmente composto da adolescenti provenienti dagli Stati Uniti e dal Regno Unito. Questo neo gruppo sarebbe stato sciolto subito dopo la sua individuazione.
Altri rapporti indicano che alcuni degli ex membri di Recursion Team si sono uniti a Lapsus$, l’organizzazione criminale responsabile dei recenti attacchi contro aziende come NVIDIA, Microsoft, Okta e Samsung. Pochi giorni fa la polizia britannica ha arrestato alcuni presunti membri di Lapsus$, tutti adolescenti di età inferiore ai 18 anni.