Il baiting è una tecnica di social engineering che sfrutta la curiosità umana per sferrare attacchi informatici.

Riesce nell’intento, impiegando semplici dispositivi di archiviazione infetti, come chiavette USB, su cui vengono preinstallati virus e malware di ogni tipo. In questo articolo illustreremo in dettaglio meccanismi d’attacco e strategie di difesa, non dimenticando di far luce sulle leve psicologiche che gli hacker  riescono a sfruttare a proprio vantaggio.

baiting informatica
  1. Baiting: di cosa si tratta
  2. Baiting: come agisce
  3. Cosa differenzia il baiting dal phishing
  4. Baiting; perché è così redditizio
  5. Casi esemplari di attacchi di baiting: la vicenda Stuxnet
  6. Formazione del personale: la prima difesa contro baiting e social engineering
  7. Buone pratiche per arginare il rischio baiting

Baiting: di cosa si tratta

In italiano il termine baiting significa letteralmente “adescamento”.

Difatti, l’inganno consiste nel posizionare in uno o più punti strategici chiavette USB incustodite– o altro dispositivo di archiviazione infetto – e attendere che qualcuno la trovi e la colleghi a un PC per verificarne il contenuto.

A quel punto, l’intruso avrà conquistato una via d’accesso diretto a network e risorse aziendali.

In sintesi, il baiting costruisce una sorta di Cavallo di Troia mascherato da risorsa hardware apparentemente innocua.

Sebbene possa apparire scontato, è opportuno chiarire sin da subito un concetto: non c’è nessun indizio che possa lasciar presagire la reale natura malevola del dispositivo. Ad occhi esterni, infatti, questo appare una normalissima chiavetta o un comune hard disk utilizzato per l’archiviazione dei file.

In termini tecnici, si tratta di una forma di ingegneria sociale, ovvero uno stratagemma psicologico che hacker e malintenzionati utilizzano per far leva sull’errore umano.

In questo contesto, ad essere presa principalmente di mira è la curiosità istintuale, mista alla mancanza di un’adeguata formazione in ambito sicurezza informatica.

Baiting: come agisce

Ma caliamoci per un attimo in un contesto realistico.

Un dipendente si imbatte – casualmente – in un drive USB, spesso munito di etichetta corredata di logo aziendale e frasi accattivanti (ad esempio: “stipendi dei dipendenti”, “licenziamenti nel 2020”, “prossimi aumenti”).

Ciò susciterà inevitabilmente il suo interesse, tanto da spingerlo a collegarlo al proprio PC  e verificarne il contenuto, senza adottare alcuna precauzione.

In tal modo, il malware  entrerà automaticamente in esecuzione, manifestandosi nell’immediato, o perpetrando la sua azione in modo silente.

In ogni caso, sarà riuscito a penetrare nel sistema dall’interno, bypassando completamente i controlli perimetrali del firewall.

Cosa differenzia il baiting dal phishing?

Sia il baiting che il phishing sono tecniche di ingegneria sociale.

Tuttavia possiamo identificare imporranti elementi di differenziazione:

  •  l’esca del baiting sfrutta principalmente la curiosità
  •  gli attacchi di phishing, invece, si basano essenzialmente su fiducia, su paura e senso di urgenza

Baiting: perché è così redditizio

Come abbiamo visto, uno dei punti di forza del baiting è il riuscire a violare un sistema dall’interno.

Ma perché le minacce interne hanno maggiori probabilità di successo rispetto a quelle provenienti dall’esterno?

Al di là della minore sorveglianza cui di solito sono sottoposti utenti e risorse interni ad un network, la conoscenza approfondita che i malintenzionati hanno dell’ambiente, e delle persone che lo popolano gioca un ruolo assai importante.

Non stupisce, dunque, constatare che, secondo le statistiche, il 90% delle persone collega un’unità USB sconosciuta al proprio computer senza alcun tipo di precauzione.

Casi esemplari di attacchi di baiting: la vicenda Stuxnet

Tra i casi esemplari di baiting rientra senza dubbio il caso Stuxnet.

Risalente all’ormai lontano 2006, la vicenda vide protagonisti Stati Uniti e Israele alleati per il boicottaggio delle centrali nucleari iraniane.

Esploso all’epoca come attacco zero-day<, Stuxnet è oggi riconosciuto come uno dei worm più potenti della storia, oltre ad aver scatenato il primissimo episodio di cyberwarfare.

Tuttavia, la sua tecnica di diffusione era a tutti gli effetti basata sul baiting.

Era, infatti, sufficiente inserire su un terminale un piccolo drive USB con Stuxnet preinstallato, per danneggiare direttamente le strutture fisiche degli impianti nucleari.

Data natura e portata degli obiettivi, le precise dinamiche su come quei piccoli dispositivi hardware siano effettivamente arrivati dentro le centrali restano abbastanza oscure.

La cronaca, però, documenta quattro centrali nucleari colpite in Iran e una diffusione su scala globale – non preventivata – che portò a infettare oltre 100.000 dispositivi.

Il tutto partendo da piccole – e apparentemente innocue – chiavette USB.

Formazione del personale: la prima difesa contro baiting e social engineering

È imperativo che le aziende informino i propri dipendenti sull’esistenza e i rischi legati al baiting e, più in generale, su tutte le minacce legate al social engineering.

Oltre a diffondere una sana cultura di sicurezza informatica, è importante rendere consci i dipendenti che le loro scelte e le loro azioni possono influenzare in positivo e in negativo la security posture aziendale.

Pertanto, è fondamentale che questi sentano di partecipare attivamente alla difesa informatica dell’azienda.

Inoltre, l’utilizzo di supporti rimovibili interni ed esterni deve essere regolato da apposite policy.

In particolare, i passi compiuti quando viene scoperto un dispositivo sconosciuto si rivelano quantomai cruciali.

La prassi, in questi casi, non dovrebbe essere quella di collegare il dispositivo alla rete aziendale, ma di consegnarlo direttamente al dipartimento di sicurezza.

Buone pratiche per arginare il rischio baiting

Gli attacchi di baiting, o di social engineering più in generale, hanno un ampio tasso di successo grazie a protocolli di sicurezza deboli e/o scarsa consapevolezza in ambito sicurezza informatica.

Fortunatamente, le organizzazioni possono implementare diverse best practice per ridurne notevolmente il rischio di incidenza.

Illustriamo di seguito alcuni accorgimenti da adottare sin da subito:

  • Investire sulla formazione dei dipendenti. Le sessioni di sensibilizzazione dovrebbero essere condotte regolarmente e includere molti esempi di vita reale che dimostrino chiaramente che gli attacchi non sono minacce fittizie.
  • Effettuare simulazioni periodiche. È facile per i dipendenti impegnati nelle loro attività quotidiane infrangere le regole di sicurezza e mettere a rischio l’intera organizzazione. Consigliamo di eseguire di tanto in tanto simulazioni mirate per misurare con precisione il livello di consapevolezza complessivo relativo al rischio cyber.
  • Monitorare e irrobustire la sicurezza dell’infrastruttura informatica, attraverso periodici test di vulnerabilità e l’implementazione di adeguate policy di sicurezza

Articoli che potrebbero interessarti: