Sulle tracce degli hacker

Ma quali sono le conseguenze se i dati degli utenti dipendenti finiscono nelle mani sbagliate e che impatto avrebbe sull'azienda? Il team di ricerca di Bitglass ha cercato di rintracciare i canali di distribuzione dei dati ottenuti illegalmente con l'aiuto di un esperimento chiamato "Cumulus".

L'esperimento: un impiegato di banca come esca

Per rispondere a queste domande, il team di ricerca ha utilizzato un'esca: ha creato l'identità digitale di un dipendente di una banca fittizia. A questo scopo, è stato creato un portale bancario funzionante e un account Google Drive, in cui sono stati depositati sia i dati personali, come i numeri delle carte di credito, sia i documenti del lavoro quotidiano. I dati di accesso a Google dell'account esca sono stati infine pubblicati su Darknet dal team di ricerca. Tuttavia, tutti i file nella cartella di Google Drive erano stati precedentemente filigranati digitalmente, in modo che il team di ricerca potesse tracciare tutte le attività dei "ladri di dati", dal login al download dei file.
Nelle prime 24 ore dopo la pubblicazione sulla darknet, più di 1400 visitatori da oltre 30 Paesi hanno dato un'occhiata ai dati degli utenti apparentemente rubati e i primi download di file dalla cartella di Google Drive sono avvenuti entro 48 ore.

1. i ladri di dati sono selettivi

Tra i visitatori è emerso chiaramente un approccio mirato: i file che apparentemente contenevano informazioni finanziarie sensibili sono stati aperti più rapidamente. I registri delle attività che il team di Bitglass ha ottenuto dall'integrazione API dell'applicazione di Google hanno anche mostrato che in molti casi il download dei file veniva effettuato subito dopo l'accesso all'unità Drive. Questo ha rivelato diverse procedure: Mentre alcuni hanno scaricato tutti i file in modo apparentemente indiscriminato - compresi, ad esempio, i menu della mensa - una parte dei 12% si è concentrata esclusivamente sui contenuti più sensibili, in particolare i documenti con i dati delle carte di credito e i documenti aziendali con informazioni bancarie sui clienti.
Tuttavia, durante l'esperimento non si è verificata alcuna divulgazione o utilizzo dei dati della carta di credito. Tuttavia, non vi è alcuna certezza che gli hacker non continueranno a utilizzare questi dati in futuro.

2. un errore fatale dell'utente: convenienza nell'assegnazione della password

Come molti utenti di Internet, l'impiegato di banca fittizio ha utilizzato la stessa password per diversi servizi web. Un fatto di cui i criminali informatici sono consapevoli: Dopo che gli hacker sono riusciti ad accedere al drive di Google Drive con le credenziali trapelate, il team di ricerca ha notato che la maggior parte di loro ha successivamente cercato di applicare le stesse credenziali ad altri siti web. A questo proposito, gli hacker sono stati estremamente implacabili: 36% dei criminali informatici adescati si sono precipitati sul conto bancario privato della vittima, al quale hanno potuto accedere facilmente con le credenziali. Nel corso del processo, i ricercatori di Bitglass hanno anche osservato molteplici accessi ricorrenti da parte degli stessi utenti criminali, alcuni nel giro di poche ore, altri per settimane dopo il primo accesso. È stato anche spesso osservato che gli hacker hanno cambiato le password per bloccare gli utenti dai loro account.

3. gli hacker conservano professionalmente il loro anonimato 

Per alcuni accessi al portale bancario, è stato possibile determinare che i criminali informatici provenivano dagli Stati Uniti del Wisconsin e della California, oltre che da Austria, Paesi Bassi, Filippine e Turchia. Tuttavia, la netta maggioranza (68%) ha utilizzato il browser Tor per accedere sia al portale bancario sia all'unità Google Drive per camuffare il proprio indirizzo IP. Un hacker della comunità del Dark Web ha persino incoraggiato i membri a utilizzare un servizio VPN a pagamento di criptovaluta insieme a Tor per ridurre al minimo il rischio di essere perseguiti ai sensi della legge statunitense sulla frode e l'abuso di computer. Una chiara indicazione della crescente professionalizzazione e organizzazione dei criminali informatici.

La sicurezza nel cloud richiede un approccio a più livelli

Come ha dimostrato l'esperimento, sia i dati aziendali che quelli personali sono beni popolari per i quali ci sono sempre acquirenti interessati. Per proteggere efficacemente i propri dati e non affidarsi esclusivamente alla consapevolezza dei propri dipendenti in materia di sicurezza, le aziende devono stabilire meccanismi di controllo a più livelli che possano prevenire la perdita di dati sensibili.

Per le applicazioni cloud pubbliche come Google Drive, la possibilità di limitare o impedire l'accesso in base al contesto è fondamentale per proteggere i dati sensibili. Nell'esempio della banca, l'IT avrebbe potuto utilizzare una soluzione CASB (Cloud Access Security Broker) per identificare i tentativi di accesso sospetti, impedire il download dei dati dei clienti dal cloud o bloccare il caricamento di dati sensibili nel cloud. Gli amministratori IT vengono inoltre immediatamente avvisati di attività insolite, come quelle presenti nel Google Drive di un dipendente della banca, soprattutto quando gli accessi multipli provengono da postazioni remote, e possono adottare contromisure immediate. La tecnologia di watermarking utilizzata nell'esperimento può anche fornire indicazioni sulla gestione sospetta dei dati delle applicazioni cloud. In combinazione con le tecniche di apprendimento automatico per catturare il comportamento degli utenti e rilevare le deviazioni, gli accessi sospetti possono essere rintracciati immediatamente, anche se possono sembrare un "ago in un pagliaio" per gli amministratori IT umani.

Infine, gli accessi registrati nell'esperimento avrebbero potuto essere evitati se fosse stato vietato il riutilizzo delle password e fossero stati utilizzati metodi di autenticazione avanzati. A tal fine è essenziale una soluzione integrata di gestione delle identità che supporti il single sign-on, l'autenticazione a più fattori e le password monouso. Ad esempio, nel caso di accessi e attività sospette, si applica sempre l'autenticazione a più fattori. Infine, applicando questo approccio a più livelli, le aziende possono non solo proteggere i propri dati sensibili, ma anche continuare a offrire ai propri dipendenti la comodità di lavorare con le applicazioni cloud.

Testo: Michael Scheffler, direttore regionale CEEU, Bitglass