La scorsa estate, le forze dell’ordine hanno contattato sia Apple che Meta, chiedendo i dati dei clienti per una questione di emergenza. Entrambe le aziende hanno risposto alla richiesta cfornendo questi dati, ma sfortunatamente i richiedenti si sono rivelati essere hacker affiliati a un gruppo cyber chiamato Recursion Team.

Circa tre anni fa, l’amministratore delegato di una società energetica con sede nel Regno Unito ha ricevuto una telefonata dall’amministratore delegato della società madre tedesca dell’azienda che gli chiedeva di trasferire un quarto di milione di dollari a un fornitore ungherese. Anche in questo caso il CEO ha eseguito quanto richiestogli, per poi scoprire che il collega era in realtà un criminale informatico che utilizzava la tecnologia audio deepfake per falsificare la voce del vero CEO tedesco.

Un gruppo di criminali è stato in grado di rubare dati, l’altro denaro e questi attacchi sono stati portati a termine con successo sfruttando un elemento fortemente umano: la fiducia. 

Combattere il cybercrime con un modello Zero Trust

Zero Trust è un framework di sicurezza che non si basa sulla sicurezza perimetrale, un modello vecchio e onnipresente che presuppone che tutti e tutto all’interno dell’edificio aziendale e del firewall siano utenti affidabili. La vera sicurezza si ottiene invece impedendo alle persone al di fuori del perimetro di entrare.

Uno studente del Regno Unito presso l’Università di Stirling di nome Stephen Paul Marsh ha coniato l’espressione Zero Trust per la prima volta nel 1994 e, da allora a oggi, questo termine, che in italiano equivale a una sorta di “non fidarsi di niente e nessuno”, è diventato un imperativo quando si parla di cybersecurity.

La sicurezza perimetrale è obsoleta per una serie di motivi, ma principalmente a causa della prevalenza odierna del lavoro a distanza. Altri motivi includono il mobile computing, il cloud computing e la crescente sofisticatezza degli attacchi informatici in generale. E, naturalmente, le minacce possono provenire anche dall’interno del perimetro aziendale.

Il modello Zero Trust mira a risolvere tutto ciò richiedendo a ciascun utente, dispositivo e applicazione di superare individualmente un test di autenticazione o autorizzazione ogni volta che accede a qualsiasi componente della rete o a qualsiasi risorsa aziendale. Zero Trust non è una tecnologia, ma è un framework e, in una certa misura, una mentalità. Tendiamo a considerarlo come un modello che interessa solo ad architetti di rete e a specialisti della sicurezza, ma questo è un errore; deve essere infatti una mentalità che coinvolge tutti i dipendenti di un’azienda.

zero trust

Solo Zero Trust può sconfiggere l’ingegneria sociale

Un approccio di base per applicare il modello Zero Trust alla sfida degli attacchi di ingegneria sociale è risaputo. Supponiamo che riceviate un’e-mail proveniente dalla vostra banca (o almeno così sembra) che vi avverte di un problema con il vostro account di home banking e vi invita a inserire nome utente e password per risolvere il tutto. Il modo giusto per gestire questa situazione è chiamare la vostra banca e verificare.

In qualsiasi tipo di attacco di ingegneria sociale, la cosa migliore è non utilizzare mai il metodo di accesso fornito, ma ottenerne uno vostro. Non utilizzate mai la persona che vi contatta come fonte di informazioni su chi vi sta contattando. Verificate sempre in autonomia. Non è affatto difficile falsificare un’e-mail e ci aspetta un futuro (più vicino di quanto crediamo) in cui sarà altrettanto facile falsificare voce e video dal vivo.

Oltre allo spoofing e-mail, le organizzazioni possono essere attaccate anche da phishing, vishing, smishing, spear phishing, snowshoeing, hailstorming, clone phishing, whaling, tabnabbing, reverse tabnabbing, in-session phishing, website forgery, link manipulation, link hiding, typosquatting, homograph attacks, scareware, tailgating, baiting, DNS spoofing e altri generi di attacchi. Una formazione orientata al modello Zero Trust dovrebbe rendere i dipendenti intimamente familiari con tutti questi tipi di attacchi, facendo capire loro che solo questo approccio alla sicurezza è in grado di debellare simili attacchi di ingegneria sociale.

Quando Apple e Meta sono stati contattate da falsi agenti delle forze dell’ordine, avrebbero dovuto farsi dare ulteriori dettagli, riattaccare e chiamare l’agenzia per verificare l’identità di quegli agenti, cosa che nessuna delle due aziende ha fatto. Quando l’amministratore delegato del Regno Unito è stato contattato da qualcuno che affermava di essere il CEO della società madre, avrebbe dovuto richiamare il collega tedesco e non effettuare subito un trasferimento di fondi basandosi su quella prima chiamata.

Come sfruttare Zero Trust contro l’ingegneria sociale

La buona notizia è che mentre molte aziende non hanno implementato il modello Zero Trust, abbracciarne l’uso contro l’ingegneria sociale è una pratica che può essere implementata immediatamente.

Attraverso un cambiamento nella formazione, nelle policy e nella pratica, qualsiasi comunicazione in arrivo che richieda qualcosa (trasferire fondi, fornire una password, modificare una password, fare clic su un allegato, fare clic su un collegamento, far entrare qualcuno nell’edificio) deve essere verificata e autenticata. Quasi tutti gli attacchi di ingegneria sociale coinvolgono un attaccante malintenzionato che ottiene la fiducia di una persona con un certo tipo di accesso alle risorse di un’azienda e che abusa di tale accesso in svariati modi, ad esempio sottraendo denaro o rubando dati o informazioni.

La sfida nell’utilizzare la cultura della formazione e della sicurezza per ispirare una mentalità zero-trust in tutti i dipendenti è che le persone stesse amano essere affidabili e si offendono se chiedete loro di verificarne l’identità. Questa dovrebbe essere la parte più importante della formazione: convincere dipendenti e leader aziendali a insistere per non essere fidati. Non potete semplicemente fare affidamento sul fatto che le persone non si fidino: dovete convincere le persone a insistere a non fidarsi di loro stesse.

Se un leader senior invia un allegato a un dipendente e questi lo scarica e lo apre senza un ulteriore passaggio di verifica (ad esempio, chiamando e chiedendo), ciò dovrebbe essere visto dal leader come una grave violazione delle pratiche di sicurezza. 

Culturalmente, la maggior parte delle aziende è ancora lontanissima dal mettere in pratica sempre e comunque questo modello di verifica, ma con così tanti lavoratori sparsi oggi tra uffici, case e persino altre nazioni, è arrivato il tempo di un reset radicale o, se preferite, di una rivoluzione nel modo in cui interagiamo nella comunicazione aziendale quotidiana. E questa rivoluzione non si può fare se non adottando una cultura, un modello e una pratica Zero Trust.