Gli attacchi informatici alle aziende iniziano quasi sempre con un dipendente che riceve un’email fittizia e clicca su un link a un sito malevolo. In gergo, questa operazione si chiama phishing e serve a rubare l’identità della vittima e penetrare nelle reti aziendali a suo nome. Ecco un comune test sulla sicurezza che dimostra come Facebook può essere utilizzato per raccogliere le informazioni necessarie per lanciare un attacco di questo tipo. L’esperimento ci ricorda, se ce ne fosse bisogno, che su internet anche solo rendere pubblico il proprio impiego o la propria email aziendale può essere pericolosissimo. Anche se, come sarà evidente, il miglior alleato di ogni hacker non è la tecnologia ma l’impagabile leggerezza di chi la utilizza.
Prima fase: raccogliere gli indirizzi. Innanzitutto dobbiamo individuare i gruppi aziendali creati dai dipendenti del nostro obiettivo su Facebook. Con una falsa identità ci uniamo alla pagina dell’azienda e cominciamo a raccogliere i nomi e gli indirizzi dei membri che si identificano come dipendenti dell’azienda. Per ricostruire un indirizzo email mancante, cerchiamo su internet un indirizzo qualsiasi della stessa azienda che ci serva da modello per seguire. Per fare un esempio dei più comuni, se la convenzione è nome.cognome@dominioazienda, allora ci basta sapere il nome del dipendente per risalire al suo indirizzo. In questo modo possiamo stilare la nostra lista di contatti per l’attacco.
Seconda fase: creare un sito-civetta. Dobbiamo scegliere un dominio che appaia collegato a quello dell’azienda, aggiungendo un argomento di comune importanza; i più sfruttati sono legati alla beneficenza o alle risorse umane. Il nostro dominio potrà essere ad esempio nomeazienda-terremoto-haiti.com. La pagina che corrisponde a questo dominio dovrà avere un aspetto molto simile a quello del sito aziendale, utilizzando lo stesso logo e la stessa struttura.
Terza fase: creare l’email-esca, che dovrà avere tutto l’aspetto di una email delle risorse umane dell’azienda. Nel nostro caso, il testo annuncerà ai dipendenti l’apertura di un nuovo portale per la beneficenza e conterrà l’invito a cliccare sul link alla pagina web-trappola.
Quarta fase: gettare l’amo. Coloro che riceveranno l’email e cliccheranno sul link verranno condotti alla pagina fittizia, che chiederà loro di inserire le credenziali della rete aziendale, come se dovessero effettuare un normale login. Una volta inserite username e password, le vittime verranno condotte a una pagina ‘under construction’.
I risultati di questi test sono sbalorditivi. Pur lasciando diverse chance di avere qualche sospetto (diversi errori ortografici e un piccolo disclaimer per avvertire che la pagina era un fake), normalmente tra il 45 e il 50 percento dei dipendenti contattati risponde alla email e inserisce le credenziali aziendali. In alcuni casi, addirittura, l’esperimento dev’essere interrotto perché le email vengono inoltrate ai dipendenti di altre aziende, dove normalmente qualcuno si insospettisce lanciando l’allarme.
Morale: mai lasciare incustodite le pagine aziendali su Facebook. È necessario che un amministratore controlli regolarmente gli iscritti alla pagina ed elimini tutti i contatti sospetti. Ma non è tutto: la policy non dovrebbe permettere che i dipendenti rendano pubbliche le proprie email aziendali. Siccome però le policy sono molto noiose da leggere e regolarmente non vengono osservate, forse sarebbe più sicuro offrire ai propri dipendenti uno spazio sulla intranet. Sarebbe una scelta molto più saggia, vista anche la normale tendenza degli utenti di Facebook a essere particolarmente loquaci sulla propria vita e sul proprio lavoro, regalando così ai malintenzionati informazioni che, unite all’appartenenza all’azienda obiettivo dell’attacco, possono rivelarsi micidiali. A questo proposito ne sa qualcosa il fondatore stesso di Facebook Mark Zuckerberg, che al momento di fregare la concorrenza ha saputo benissimo come muoversi.
