Il baiting (letteralmente adescamento) è una delle tecniche di Social Engineering.
Tecniche spesso molto semplici, che non richiedono l’utilizzo di tecnologie sofisticate e costose e che sfruttano nostri comportamenti avventati o imprudenti.
Le leve più comunemente utilizzate riguardano lo sfruttamento di strumenti quali autorevolezza, senso di colpa, panico, ignoranza, curiosità, desiderio, avidità e compassione.
Hackers dunque sempre meno tecnologici e sempre più studiosi dei comportamenti e della psiche umana.
Basti pensare alla semplicità degli attacchi di phishing anche nelle sue diverse forme (smishing e vishing).
Nel baiting si sfrutta la nostra curiosità, il desiderio, l’avidità.
L’obiettivo è invariato: raccogliere informazioni, trarre profitto o distruggere la reputazione di un brand.
Possibile nel momento in cui si ottiene il controllo del dispositivo di una persona o l’accesso alla rete di un’azienda.
Come avviene un attacco nel baiting
Nel baiting l’attacco viene sferrato usando un dispositivo di memorizzazione infetto (es chiavetta USB o disco rigido esterno), opportunamente camuffato dal cyber criminale e “abbandonato” in posti strategici nei pressi o all’interno dell’azienda target.
Questo è probabile che verrà notato da uno o più dipendenti, suscitando l’interesse di questi ultimi.
Spinti dalla curiosità di poterne esplorare il contenuto o dal desiderio di poter entrare in possesso di un dispositivo utile, spesso anche dal look accattivante, senza doverlo acquistare.
Non appena il dispositivo verrà collegato al computer un programma malevolo in esso contenuto si auto-eseguirà. Il computer a questi punti sarà infetto e controllabile da remoto dal cyber criminale che sarà quindi libero di muoversi indisturbato all’interno della rete aziendale.
La leva psicologica sfruttata
Questi attacchi sono molto pericolosi perché fanno leva su aspetti psicologici che sono fortemente radicati in noi e difficilmente controllabili.
Per suscitare l’interesse della vittima spesso il dispositivo utilizzato per veicolare l’attacco è personalizzato.
Può trattarsi ad esempio del logo dell’azienda stessa e, soprattutto, delle etichette adesive con scritte come “Confidenziale”, “Buste paga dipendenti” o magari “Licenziamenti 2020”.
Un oggetto dall’aria familiare capace di suscitare una grande curiosità (chi di noi non vorrebbe conoscere lo stipendio dei colleghi o sapere se rientrerà nei licenziamenti previsti?).
Posizionato in modo strategico (nei bagni, sull’ascensore o nel parcheggio aziendale), lontano da occhi indiscreti.
Il buonsenso avrebbe dovuto consigliare di consegnare l’oggetto alla reception o al dipartimento IT in cerca del legittimo proprietario. Ma la curiosità prende il sopravvento.
Negli ultimi anni, visto anche il costo contenuto di questi dispositivi, si è assistito anche ad un aumento degli attacchi di baiting sferrati dall’interno. Da dipendenti arrabbiati o disonesti che conoscendo la realtà aziendale hanno una probabilità molto alta di successo.
Investire nella formazione continua
Sebbene sia possibile monitorare le connessioni USB e bloccare l’auto-esecuzione dei software contenuti nei dispositivi (software antivirus, port protection, data loss prevention etc), le misure di sicurezza più efficaci sono quelle di tipo organizzativo.
La formazione e sensibilizzazione continua, a tutti i livelli, sul problema del Social Engineering con il supporto di policy e procedure specifiche sono fondamentali e hanno carattere di urgenza.
Ciascuno di noi deve acquisire le nozioni per riconoscere una minaccia ed evitarla. Perché ciascuno di noi deve essere parte attiva della difesa informatica propria e della propria azienda.