13 marzo, 2020CyberSecurity | OSINT

Perché i selfie aiutano il cybercrime.

  • Marco Govoni
Marco Govoni
Italy

Negli ultimi giorni le nostre abituditi sono cambiate radicalmente. A causa dei decreti necessari per contenere la diffusione del virus #COVID19, siamo tutti quanti obbligati a rimanere a casa.

Questa situazione ha portato - fortunatamente - moltissime aziende ad adottare una nuova (o meno nuova) modalità di lavoro, il così detto smart working.

Lavorando da casa, uno degli strumenti necessari per connettersi con colleghi, clienti o fornitori, sono i software di videoconferenza.

Ed è nato un "fenomeno" nuovo, forse figlio proprio del fatto che la maggior parte delle persone non è abituata a questa modalità di lavoro e ad utilizzare queste applicazioni: postare sui social network (LinkdeIn in particolare) fotografie dello schermo del proprio computer, durante una video conferenza.

Sfocature e annerimenti li ho aggiunti io, questa NON è la foto originale.

L'esempio qui sopra è stato postato da un dirigente di una nota compagnia di telefonia: la foto era in chiaro (poi sostituita dopo che gli ho fatto notare la cosa) e - come vedremo tra poco - è una minaccia per la propria ed altrui sicurezza informatica (ne ho parlato anche in questa puntata del Podcast).

Perché una foto può essere "pericolosa"?

Ovviamente non è pericolosa la foto in se: il fatto è che a volte il contenuto di una immagine che pubblichiamo può fornire elementi importanti ad un cybercriminale per profilarci.

Durante un attacco informatico, la raccolta di informazioni sul bersaglio (chiamata information gathering) prevede sia una analisi, che potremmo definire tecnica, ma anche un vero e proprio censimento di tutti i dati presenti in rete e di dominio pubblico, al fine appunto di profilare il target, ovvero di capirne le abitudini, le modalità di relazione, il contesto aziendale e personale.

Perché? Semplice: più si conosce il proprio bersaglio, più diventa facile ingannarlo. Ricordiamoci che l'elemento umano è il punto più debole da colpire: è l'anello debole della catena in un piano di difesa di sicurezza informatica.

Quali informazioni si possono raccogliere da un semplice "selfie con il mio PC"?

Una immagine apparsa su LinkedIn: le barre nere le ho aggiunte, non erano presenti

Se in prima battuta una fotografia del genere sembra non poter diventare materiale prezioso per un criminale informatico, in realtà contiene dettagli molto preziosi.

  • Marca e modello del computer.
  • Argomento di discussione.
  • Applicazioni presenti sul PC (ce ne sono almeno 3 che possono essere usate come vettore di attacco)

Vediamo un altro esempio:

Anche in questo caso ho oscurato io le aree "sensibili"

Questo è uno dei classici esempi di questi giorni. Cosa possiamo trarne?

  • Associazioni viso - nome ed eventuali relazioni di lavoro (incrociando i dati con altri social network)
  • Marca e modello del PC
  • Applicazioni usate

Ma in concreto cosa può accadere?

Una premessa fondamentale: gli attacchi informatici via Phishing sono i più diffusi in assoluto. Il phishing è una vera e propria truffa, di norma confezionata tramite una email che l'attaccante invia al bersaglio: fa leva sull'errore umano per bypassare i sistemi di sicurezza, anche quelli più moderni e costosi.

E per raggiungere l'obiettivo, chi costruisce campagne di phishing, profila il proprio target, al fine di realizzare una comunicazione credibile e non riconoscibile come malevola.

Facciamo un esempio. Poniano che un attaccante sappia che:

  • io uso un MacBook (fonte: fotografia)
  • i miei colleghi di lavoro Giovanni e Lucia anche (fonte: fotografia + LinkedIn)
  • Lucia ed io passiano tempo assieme ache fuori dal lavoro (fonte: Facebook)
  • sia io che Lucia utilizziamo Spotify e ci piace Jovannotti (fonte: fotografia + Spotify)

Con queste informazioni, potrebbe arrivarmi un messaggio del tipo:

"Ciao Marco! Ti scrivo qui perché ho il mio MacBook è ancora occupato per un aggiornamento. Ho visto che Spotify ha lanciato la nuova app con tutte le raccolte di Jova!! L'hai già usata? Io sì, provala http://linksitodellafintapp

Lucia.
Ps: fino a questa sera sono in riunione non chiamarmi, ci sentiamo dopo. "

Magari non ci casco. O forse sì. Preso della quotidianità ma soprattutto forte del fatto che il messaggio contiene riferimenti concreti e che dal mio punto di vista non devo validare, clicco sul link.

Ma... chi ha tempo di raccogliere tutte queste informazioni?

Questo è uno degli errori più comuni: non pensiate ci siano criminali informatici "umani", persone, che manualmente cercano di raccogliere le vostre fotografie ed analizzarle.

La maggior parte del lavoro viene svolta da sistemi automatici: scandagliano il web e i social network, riconoscono gli elementi presenti nelle fotografie, catalogano il tutto.

Sarà poi cura dell'"operatore" fare il passaggio successivo, ma solo dopo una scrematura automatizzata. Ecco perché dobbiamo fare particolare attenzione...

Cosa fare?

Semplice: basta cancellare i dettagli in foto di questo tipo. Renderli irriconoscibili. Perlomeno non saremo "complici inconsapevoli" ed allo stesso tempo rendiamo la vita più difficile ai criminali informatici.

Related Posts
Comments