Come difendersi dall’attacco degli hacker: l’esempio di Microsoft
Le società di gioco gestiscono ogni anno miliardi di dollari in transazioni, proteggendo nel contempo enormi database di informazioni finanziarie dei clienti, e questo le rende obiettivi primari per i
Le società di gioco gestiscono ogni anno miliardi di dollari in transazioni, proteggendo nel contempo enormi database di informazioni finanziarie dei clienti, e questo le rende obiettivi primari per i criminali informatici. Durante il panel “From Recon to Compromise: Defending Against Modern Threats in the Gaming Sector” al Canadian Gaming Summit (svoltosi dal 19 al 21 maggio scorsi), Nick Selvaggio, Microsoft Global Black Belt (esperto tecnico strategico), ha dimostrato come le organizzazioni di ogni tipo siano vulnerabili ad attacchi sorprendentemente semplici, eseguendo una simulazione in tempo reale di un attacco informatico al casino fittizio di Contoso.
L’esperto ha sottolineato che il primo obiettivo di un hacker raramente coincide con quello finale, ma rappresenta piuttosto un percorso per raccogliere ulteriori informazioni sui sistemi di un’organizzazione. Ha illustrato questo concetto utilizzando Bloodhound, uno strumento impiegato dagli hacker per organizzare il loro percorso da punti di accesso a bassa sicurezza, come i sistemi di controllo qualità, fino a individuare i dipendenti che hanno accesso alle infrastrutture critiche e ai controlli amministrativi.
Il phishing tramite codice QR, o “Qhishing”, consiste nella scansione da parte della vittima di un codice QR che sembra ufficiale, ma che in realtà reindirizza l’utente ignaro a un sito web controllato dagli hacker. Il Qhishing è particolarmente efficace, poiché l’utente si trova quasi sempre su un dispositivo mobile. “E in definitiva, poiché avviene su un dispositivo mobile, che in genere ha uno schermo di dimensioni molto limitate, è più difficile notare eventuali problemi con l’URL, ovvero che potrebbe non essere legittimo”, ha avvertito Selvaggio.
I codici QR dannosi possono essere distribuiti digitalmente o fisicamente sotto forma di volantini o adesivi e prendendo di mira non solo i dipendenti dell’azienda, ma anche i fornitori che hanno installato un sistema di controllo HVAC o persino un acquario (nel 2017, il database dei clienti high roller di un casino è stato violato tramite un termostato intelligente installato in un acquario appena allestito).
“I difensori devono essere perfetti, ma agli attaccanti basta trovare un solo punto debole”, ha spiegato Selvaggio.
L’attacco al casino Contoso (da notare che Microsoft utilizza da oltre 30 anni la società fittizia Contoso Corporation in corsi di formazione, dimostrazioni e simulazioni di sicurezza informatica) è iniziato con la raccolta di informazioni tecniche pubbliche sull’infrastruttura digitale del casino tramite il suo URL pubblico, che funge da intermediario, indirizzando le diverse richieste verso server web differenti.
Le indagini di Selvaggio hanno rivelato alcuni sistemi, tra cui un portale di controllo qualità (QA) per l’azienda e un pannello di amministrazione. Con il portale QA in vista, Selvaggio acquistò il dominio cont0socasino.com (avete notato lo zero al posto della o?) e progettò una pagina di accesso che imitava il sito reale.
Il dipendente preso di mira, dall’altra parte della sala conferenze, ha scansionato il codice QR presente in una falsa email aziendale relativa a un bonus (che mostrava tutti i segni distintivi di un’email di phishing, con l’intestazione “urgente”). Queste differenze, come detto, sono difficili da individuare sul piccolo schermo di un dispositivo mobile, soprattutto quando si lavora velocemente per rispettare una scadenza. Il dipendente ha quindi inserito nome utente e password nel sistema, consentendo a Selvaggio di accedere ai sistemi di Contoso Casino.
Il portale di controllo qualità compromesso si è così trasformato in una miniera d’oro di informazioni. Il chatbot basato sull’intelligenza artificiale ha condiviso liberamente il manuale del dipendente, contenente politiche e procedure di sicurezza dettagliate, insieme ai dettagli della polizza assicurativa informatica dell’azienda: tutte informazioni utili per un hacker che progetta ulteriori attacchi per penetrare più a fondo nei sistemi e massimizzare i profitti.
Quindi, cosa possono fare i casino e le altre organizzazioni per limitare i punti di accesso?
Il messaggio chiave emerso dalla dimostrazione di Selvaggio è il seguente: le organizzazioni devono utilizzare l’autenticazione a più fattori. “E assicurarsi che sia implementata su tutti i sistemi. Se si utilizza questo metodo, la riduzione del rischio è del 99,22%.”
Per i chatbot aziendali interni basati sull’intelligenza artificiale, i filtri di sicurezza dei contenuti possono rilevare e bloccare i tentativi di inserimento di prompt prima che si verifichi l’esposizione di dati sensibili. Selvaggio ha dimostrato che, con un filtro di sicurezza dei contenuti abilitato nel backend del chatbot basato sull’IA, quest’ultimo si è rifiutato di fornire informazioni sensibili e ha inviato una segnalazione agli amministratori IT di Contoso Casino, che hanno potuto quindi bloccare l’accesso dell’hacker al sistema.
PressGiochi
