Ancora una volta, il punto di ingresso non è stato un malware sofisticato, una vulnerabilità zero-day o una falla critica dimenticata in un sistema esposto su Internet.
È bastato convincere una persona.
Carnival Corporation, uno dei più grandi operatori mondiali del settore crocieristico, ha confermato una violazione che ha coinvolto quasi sei milioni di individui. Secondo le informazioni diffuse dall’azienda e dai documenti depositati presso le autorità statunitensi, gli attaccanti sono riusciti a compromettere un account aziendale attraverso una tecnica di social engineering, ottenendo così accesso a una porzione dell’infrastruttura IT interna.
Da quel momento la catena di compromissione è stata relativamente semplice: accesso ai sistemi, individuazione dei repository contenenti dati personali e successiva esfiltrazione dei file.
Il risultato è stato l’esposizione di informazioni appartenenti a circa 5,9 milioni di persone. Tra i dati sottratti figurano nomi, indirizzi email, date di nascita, dettagli geografici e informazioni relative ai programmi fedeltà dei clienti. Secondo le analisi effettuate successivamente da Have I Been Pwned, il dataset pubblicato dagli attaccanti conterrebbe addirittura circa 8,7 milioni di record complessivi.
Il vero problema non è il data breach
La notizia è stata riportata come l’ennesimo incidente che coinvolge milioni di utenti, ma il punto interessante per chi lavora nella difesa cyber è un altro.
L’intera operazione sarebbe partita da un dipendente manipolato.
Carnival non ha fornito dettagli tecnici sul meccanismo utilizzato, ma la formulazione impiegata nei documenti ufficiali è significativa: gli attaccanti hanno “deceived an employee” attraverso tecniche di social engineering.
Tradotto nel linguaggio operativo delle intrusioni moderne, significa che probabilmente non è stato necessario forzare alcuna protezione tecnica.
Nessun exploit.
Nessun bypass crittografico.
Nessun accesso privilegiato ottenuto tramite vulnerabilità software.
Gli attaccanti hanno semplicemente convinto qualcuno a collaborare, volontariamente o inconsapevolmente.
È esattamente ciò che osserviamo sempre più spesso nelle operazioni attribuite ai gruppi criminali contemporanei: il costo di sviluppare exploit complessi è elevato, mentre il costo di ingannare una persona resta incredibilmente basso.
ShinyHunters e l’evoluzione dell’estorsione
A rivendicare l’attacco è stato il gruppo ShinyHunters, nome ben noto nell’ecosistema cybercrime internazionale. Il collettivo avrebbe inserito Carnival nel proprio portale di estorsione già ad aprile, sostenendo di aver sottratto milioni di record e minacciandone la pubblicazione. Successivamente i dati sarebbero stati effettivamente diffusi online.
Anche questo dettaglio racconta qualcosa dell’evoluzione del panorama criminale.
Per molti gruppi il ransomware non rappresenta più necessariamente il punto centrale dell’operazione.
La semplice esfiltrazione dei dati è ormai sufficiente per monetizzare un’intrusione.
Se il valore dei dati rubati è elevato, la cifratura dei sistemi può persino diventare superflua. Il danno reputazionale, il rischio normativo e la possibilità di future campagne di phishing garantiscono già una leva di pressione significativa sulle vittime.
Il social engineering come bypass universale
L’aspetto più interessante del caso Carnival riguarda però una realtà che molte organizzazioni continuano a sottovalutare.
Negli ultimi anni le aziende hanno investito enormi risorse in EDR, XDR, SIEM, sistemi di threat intelligence, MFA e segmentazione delle reti.
Tutto corretto.
Ma nessuna di queste tecnologie elimina il problema fondamentale: l’essere umano continua a rappresentare un’interfaccia di accesso privilegiata.
Quando un attaccante riesce a convincere un dipendente a eseguire un’azione apparentemente legittima, molte delle difese costruite per bloccare comportamenti malevoli diventano improvvisamente meno efficaci.
È il motivo per cui i gruppi criminali stanno spostando sempre più energie verso campagne di impersonificazione, phishing mirato, vishing, MFA fatigue e tecniche di supporto IT fraudolento.
L’obiettivo non è più forzare il sistema ma convincere il proprietario del sistema ad aprire la porta.
La vera lezione per i team di sicurezza
L’incidente Carnival ricorda qualcosa che spesso viene dimenticato durante le discussioni sulle minacce avanzate.
La maturità di un’organizzazione non si misura soltanto dalla qualità dei controlli tecnologici implementati, ma dalla capacità di resistere alla manipolazione psicologica.
Per questo motivo la formazione tradizionale basata su slide annuali e quiz di compliance continua a mostrare tutti i suoi limiti.
I moderni attacchi di social engineering non sfruttano soltanto la disattenzione. Sfruttano fiducia, urgenza, stress operativo, gerarchie aziendali e processi interni.
Sono attacchi contro il comportamento umano prima ancora che contro l’infrastruttura. E finché continuerà a essere più semplice ingannare una persona che compromettere un firewall, casi come quello di Carnival continueranno a ripetersi.
Con numeri sempre più grandi.
E con conseguenze sempre più costose.