Cassa di Sovvenzioni e Risparmio ed il tentativo di data breach andato male

Indice

Uno dei dipendenti della Cassa di Sovvenzioni e Risparmio fra il personale della Banca d’Italia (CSR) avrebbe subito un attacco hacker a seguito del quale avrebbe si sarebbe un concreto rischio di violazione del conto corrente.

Il fatto

L’attacco sarebbe avvenuto a marzo, quando il dipendente avrebbe subito il data breach e sarebbe stato anche contattato telefonicamente dall’hacker (procedura non proprio usuale). RaiNews, in un articolo nel quale viene riportata la notizia, spiega che:

Secondo quanto riportato in prima pagina, a lanciare l’allarme è stato in una chat interna un dipendente, dirigente sindacale della First  Cisl, contattato dallo stesso hacker al telefono ai primi di marzo

Fonte: RaiNews (LINK)

Sempre l’articolo di RaiNews riporta il metodo con il quale l’attacco sarebbe stato perpetrato, ossia attraverso una finta telefonata al dipendente da un numero attribuito alla Banca d’Italia.

… l’hacker ha chiamato al  telefono, da un numero apparentemente identico a quello dei centralini dell’istituto, un dipendente di Banca d’Italia. Alla vittima,  fingendosi operatore della cyber sicurezza di Palazzo Koch, ha chiesto  di effettuare alcune operazioni necessarie per prevenire frodi,  fornendo addirittura un numero di ticket. Il dipendente che ha  ricevuto la chiamata, però, dopo alcuni tentativi andati a vuoto, si è insospettito e rimanendo al telefono con il falso operatore, ha chiamato da un’altra linea il service desk della Banca d’Italia, che  lo ha aiutato a smascherare il tentativo di truffa.

Fonte: RaiNews (LINK)

Il tipo di attacco

Qualcuno dei lettori starà pensando al celebre attacco a Twitter dell’estate 2020, in cui il social network americano fu vittima di una sofisticata, quanto apparentemente semplice, offensiva partita proprio da alcune telefonate.

Indeed, the Hackers used basic techniques more akin to those of a traditional scam artist: phone calls where they pretended to be from Twitter’s Information Technology department. The extraordinary access the Hackers obtained with this simple technique underscores Twitter’s cybersecurity vulnerability and the potential for devastating consequences. Notably, the Twitter Hack did not involve any of the high-tech or sophisticated techniques often used in cyberattacks – no malware, no exploits, and no backdoors. 

Fonte: New York State – Department of Financial Services (LINK)

La tecnica, come molti sapranno, prende il nome di phone spear phishing e consiste nello stabilire un contatto telefonico diretto con la vittima al fine di indurlo a pensare di dover compiere un’azione o fornire informazioni a seguito di un fantomatico evento. È una tecnica che si basa sull’incapacità di pensare che l’hacker sia tanto audace da entrare in diretto contatto con la vittima e non richiede particolari accorgimenti tecnici. Il phone spear phishing si è rivelato efficace anche in questa occasione, mostrandosi in tutta la sua forza anche se, fortunatamente non è andato a buon fine.

Tecniche di difesa

La formazione del personale è l’unica tecnica di difesa affidabile: la sensibilizzazione nel riconoscimento della minaccia, unita alla capacità di sapere “cosa fare” nel momento di maggior criticità, sono aspetti fondamentali. Il caso Twitter, ormai divenuto un caso di scuola, ha mostrato come la mancanza di procedure interne efficaci (non si parla di tecnologie), sia stato essenzialmente la principale causa della mancanza di difesa.

Not all of the employees that were initially targeted had permissions to use account management tools, but the attackers used their credentials to access our internal systems and gain information about our processes. […] We’re sorry for any delays this causes, but we believe it’s a necessary precaution as we make durable changes to our processes and tooling as a result  of this incident.

Fonte: Twitter Security Blog (LINK)

L’azione del dipendente, che è stata fondamentalmente quella di richiamare il service desk della Banca d’Italia, è stata vincente ma si è basata su un sospetto, ossia sul risultato di un ragionamento. Non si parla di tecnologie, non si parla di software, non si parla di hardware, si parla solo della capacità di essere sensibili e preparati ad un fenomeno di questo tipo.

In questa direzione la Cassa di Sovvenzione e Risparmio ha pubblicato un avviso sul proprio portale web in cui il messaggio è chiaro.

La schermata di avviso pubblicata sul portale del CSR

E ci si augura che il personale della CSR possa essere formato adeguatamente con un corso oltre che con un semplice ma importante avviso pubblicato a schermo.