Difficilmente effettuano degli attacchi alla "Swordfish", e neanche tentando la tecnica di mettere le password (dopo 3 volte di password errata il sistema ti blocca) e quindi usano la tecnica più vecchia del mondo, cioè recuperando informazioni su una figura di rilievo all'interno della banca.
Principalmente usano la tecnica del social engineering, cioè lavorando con le persone. Sembrerà banale, ma basta un'amante (pagata) o un falso amico per carpire alcune informazioni importanti tipo la password che si sta usando.
Altre tecniche sono quelle di rovistare nei cestini della carta alla ricerca di informazioni che potrebbero essere utili, soprattutto per la costruzione di e-mail veramente difficili da comprendere (per chi le riceve) se sono fake oppure provengono da fonti attendibili, e quindi fare phishing; oppure, indurre a scaricare un documento in word che esegue qualche programma malaware (tipo i keylogger, oppure, intercettare le e-mail in uscita / entrata e mandarne una copia all'hacker, leggi anche in dettaglio il link a pié di pagina).
Le informazioni carpite, possono essere utilizzate anche per la richiesta di informazioni tramite telefono. Per esempio, se dalle informazioni che ho, so che tu sei un dipendente di un certo "super direttore", ti telefono e mi millanto per lui e ti chiedo delle informazioni, e farò pressione affinché difficilmente mi dirai di no…(tecnica detta dello vishing, leggi di che si tratta cliccando sul link a pié di pagina).
Oppure sembra sciocco, ma è un cavallo di troia, anche le informazioni che involontariamente si scrivono in Facebook o in altri social; oppure ancora lasciare le proprie informazioni a qualche sedicente intervistatore per strada: la maggior parte delle password hanno come base di informazioni la propria vita privata (nome del figlio, del cane, del gatto, data di nascita, di matrimonio, etc...), cioè è uso comune utilizzare nomi di persone, animali, o altro che appartengono alla propria sfera privata nella costruzione di password personali.
Tuttavia, in genere, il phishing e il social engineering sono le tecniche più facili e che danno più possibilità di riuscita; ultimamente la tecnica utilizzata è l’impersonificazione di figure autorevoli o organizzazioni di rilievo. In diverse operazioni, i gli hacker si sono finti giornalisti di testate internazionali, organizzatori di eventi o rappresentanti di ONG per guadagnare la fiducia delle loro vittime. Questo tipo di inganno è stato utilizzato per distribuire malware a obiettivi situati principalmente in Medio Oriente, Stati Uniti ed Europa, con l’obiettivo di raccogliere informazioni sensibili e supportare gli interessi strategici iraniani.
Per ovviare a questo problema (leaks in termini di cybersecurity) molte banche assumono degli ethical hacker (o white hat) che hanno il compito sia di formare l'utenza sulla protezione proattiva dei sistemi informativi che di creare delle piccole trappole ai dipendenti per "testare" la loro capacità di identificare un tentativo di social engineering, un vhishing o un phishing.
Ma, che cosa possiamo fare, noi, per proteggere i nostri cari dati digitali (anche bancari) ?:
non rilasciare mai informazioni importanti su di sè sui social e a sedicenti intervistatori incontrati per strada;
utilizzare password complesse ed utilizzare un gestore di password (software specifico);
non utilizzare word ed excel, ma prodotti di terze parti: la maggior parte di malaware utilizzano le macro microsoft;
se si usa microsoft excel o word, l'impostazione di base è macro disattivata;
non scaricare file con estensione zip. Concordare con il mittente un formato diverso per l'invio. Per esempio 7zip e proteggerlo con password; oppure concordare con il mittente una password (o un testo) di riconoscimento;
non entrare in siti che funzionano ancora con Flash Player (eh, sì ce ne sono ancora!);
navigare solo in siti che hanno protocollo sicuro (https:);
se un allegato è dubbio sottoporlo all'analisi di VirusTotal;
organizzarsi con sistemi di identificazione delle persone al telefono;
utilizzare opera browser che ha una VPN integrata gratuita.
Commenti