L’identità è il bersaglio preferito dai cybercriminali, ce ne ha parlato Proofpoint

Negli ultimi anni, l’identità è diventata un bersaglio sempre più ambito per i cybercriminali, i quali concentrano i loro sforzi nello sfruttare le vulnerabilità degli individui per scopi nefasti. Emiliano Massa, Area Vice President Sales SEUR di Proofpoint, ci ha esposto le minacce e gli attacchi più diffusi ai quali è opportuno prestare attenzione, offrendo al contempo suggerimenti sulle tecniche di prevenzione.

L’identità, negli ultimi anni è il bersaglio principale dei cybercriminali

È innegabile che i criminali informatici abbiano trovato nell’identità un punto di accesso privilegiato per le loro azioni malevole. Una volta ottenute le credenziali di un utente, l’accesso a sistemi e dati sensibili diventa un gioco da ragazzi. Questo elimina la necessità di elaborare strategie complesse per penetrare nelle difese informatiche. Si spiega, quindi, l’aumento dell’interesse dei cybercriminali nei confronti delle identità. Infatti, secondo il “2023 Trends in Securing Digital Identities” l’84% delle aziende intervistate ha subito violazioni della sicurezza legate all’identità nell’ultimo anno.

Per proteggersi da questi attacchi, è essenziale comprendere le modalità con cui i malintenzionati agiscono. Focalizzandosi su come prendono di mira i meccanismi di autenticazione e autorizzazione utilizzati dalle aziende per gestire l’accesso alle proprie risorse.

Un’analisi delle tipologie di attacco rivela una serie di metodi sofisticati e sempre più diffusi.

Stuffing delle credenziali

Il credential stuffing, ad esempio, è una tecnica che sfrutta coppie di nome utente e password compromesse per tentare l’accesso su numerosi siti web contemporaneamente. Questo tipologia di attacco sfrutta principalmente l’abitudine degli utenti di riutilizzare le stesse credenziali su più piattaforme. Viene definito, inoltre, come un attacco di tipo brute-force. Come si evince dal nome i criminali informatici usano la forza bruta per cercare di entrare, quindi non utilizzano metodi strategici o intellettuali. Nel brute-force, i criminali sfruttano programmi applicativi per decodificare password e chiavi di crittografia nel tentativo di ottenere l’accesso non autorizzato a reti e sistemi. Il termine stesso denota un’ampia varietà di metodi di cracking delle password abbastanza semplici che si basano tutti su tentativi ed errori.

Password spraying

Il password spraying è un metodo sofisticato di attacco all’identità. A differenza dei tradizionali attacchi brute-force, evita il blocco dell’account. L’attaccante raccoglie username da varie fonti, seleziona password comuni e le prova su molti account. Questo tipo di attacco passa spesso inosservato dai sistemi di sicurezza tradizionali, poiché implica un basso numero di tentativi falliti. I servizi con politiche di blocco deboli o password vulnerabili sono a rischio. È cruciale adottare misure preventive efficaci per proteggersi dalle intrusioni.

Phishing e Social engineering

Il phishing è una strategia consolidata nel panorama degli attacchi informatici, esistente fin dalla metà degli anni Novanta. Questa tattica sfrutta l’ingegneria sociale per trarre in inganno gli utenti e indurli ad compiere azioni indesiderate. Solitamente questo avviene attraverso varie forme di comunicazione, come email, messaggi di testo e telefonate.

L’obiettivo principale di un attacco di phishing è ottenere informazioni sensibili. Credenziali di accesso, dati finanziari o altre informazioni personali, al fine di perpetrare ulteriori attività dannose. Spesso tramite l’installazione di malware o il furto di identità, bersaglio preferito dei cybercriminali.

Negli anni, i metodi di attacco phishing hanno subito un’evoluzione, diventando sempre più sofisticati per eludere le difese degli utenti e delle aziende. Tuttavia, la base di questi attacchi rimane l’ingegneria sociale, poiché è la capacità di manipolare le vittime che rende il phishing un’arma efficace.

L’ingegneria sociale gioca un ruolo fondamentale nel convincere gli utenti a compiere azioni rischiose, sfruttando emozioni come la paura, l’urgenza o la curiosità. Gli attaccanti utilizzano tecniche di persuasione per creare messaggi credibili e convincenti, al fine di indurre le vittime a fornire informazioni sensibili o ad eseguire azioni dannose senza rendersi conto delle conseguenze.

Anche se le difese informatiche sono migliorate nel rilevare e contrastare gli attacchi phishing, è importante che gli utenti rimangano vigili e consapevoli dei rischi. La formazione sulla sicurezza informatica può aiutare le persone a riconoscere e evitare i tentativi di phishing, riducendo così l’efficacia di questa minaccia persistente.

Adversary-in-the-middle (AiTM)

L’AiTM, precedentemente conosciuto come man-in-the-middle, è un tipo sofisticato di intercettazione digitale. Qui, un aggressore si insinua tra mittente e destinatario, intercettando e manipolando i dati senza che le parti lo sappiano. Questo permette agli aggressori di rubare informazioni sensibili come password e installare malware sui dispositivi delle vittime. È essenziale adottare precauzioni come l’uso di connessioni sicure e la sensibilizzazione degli utenti per mitigare questa minaccia.

Kerberoasting

Il Kerberoasting, sebbene il nome evochi atmosfere rilassanti, è tutto tranne che piacevole per le vittime. Questa tecnica sfrutta l’autenticazione Kerberos di Microsoft, un processo di autenticazione per utenti e servizi nella rete. Gli aggressori cercano di craccare (o “kerberoastare“) le password degli account di servizio all’interno degli ambienti Microsoft Active Directory (AD).

Quando un utente richiede l’accesso a un servizio, come un’applicazione Web, viene generato un ticket di servizio crittografato utilizzando una chiave derivata dalla password dell’account di servizio. Nel Kerberoasting, gli aggressori mirano a questi ticket e cercano di decifrare la password sottostante usando diverse tecniche. Se riescono nell’intento, possono sfruttare l’accesso ottenuto all’account di servizio per commettere illeciti. Questi spaziano dal rubare dati sensibili, manipolare servizi o muoversi lateralmente all’interno della rete, a seconda dei privilegi dell’account.

Silver e Golden tickets

Il Silver Ticket e il Golden Ticket sono entrambi attacchi sofisticati che sfruttano debolezze nel protocollo Kerberos per ottenere accesso non autorizzato a sistemi informatici.

Il Silver Ticket coinvolge l’utilizzo di credenziali rubate per creare un ticket di autenticazione contraffatto, noto come Ticket Granting Service (TGS), che appare legittimo a un determinato servizio. Gli aggressori possono utilizzare questo ticket per impersonare un altro utente, accedere alle risorse e potenzialmente aumentare i privilegi. A differenza di altri attacchi Kerberos, il Silver Ticket non richiede l’interazione con il servizio di autenticazione centrale o con il Key Distribution Center (KDC), rendendo più difficile la rilevazione delle attività sospette.

Il Golden Ticket, d’altra parte, implica la falsificazione dei ticket Kerberos noti come Ticket Granting Tickets (TGT). Gli aggressori ottengono accesso all’hash NTLM dell’account krbtgt, utilizzato per crittografare i TGT, e utilizzano questa informazione per creare ticket Kerberos validi. Un Golden Ticket contiene informazioni sull’identità di un utente fittizio con privilegi arbitrari e fornisce accesso a lungo termine. Una volta in possesso di un Golden Ticket, gli aggressori possono presentarlo al Key Distribution Center per l’autenticazione senza dover compromettere le credenziali dell’utente reale. Questo tipo di attacco consente agli aggressori di mantenere l’accesso non autorizzato a una rete anche se le password degli utenti legittimi vengono modificate.

Come possiamo prevenire gli attacchi all’identità?

Per garantire una robusta difesa dagli attacchi all’identità, è cruciale adottare diverse strategie di sicurezza. L’implementazione dell’autenticazione multi-fattore (MFA) rappresenta un passo fondamentale, aggiungendo strati extra di protezione oltre alle tradizionali user e password. L’utilizzo di token monouso o biometria può ulteriormente aumentare la sicurezza, anche se va considerata l’eventualità degli attacchi MFA fatigue che possono bypassare questa protezione.

Il rafforzamento dei protocolli di autenticazione è altrettanto importante per prevenire attacchi come Kerberoasting, Silver e Golden Ticket. Questo implica la rotazione regolare delle chiavi di crittografia, l’applicazione di policy di password robuste, la riduzione della durata massima dei ticket e l’istituzione di policy di blocco degli account.

Mantenere aggiornati e patchati i sistemi è fondamentale per mitigare le vulnerabilità conosciute e proteggere l’ambiente IT da potenziali minacce.
Il principio del minimo privilegio (PoLP) aiuta a limitare i privilegi di accesso solo al necessario, riducendo così la superficie di attacco e mitigando l’impatto di eventuali violazioni della sicurezza.

Infine, fornire agli utenti una formazione mirata sulla cybersicurezza è essenziale, poiché l’elemento umano gioca un ruolo fondamentale nella prevenzione degli attacchi basati sull’identità. Una formazione adeguata può aiutare i dipendenti a riconoscere e resistere agli attacchi di phishing, comprendere le tattiche di social engineering e segnalare attività sospette, contribuendo così a proteggere l’organizzazione dalle minacce informatiche.

In conclusione, secondo Proofpoint, l’identità rimane un bersaglio privilegiato per i cybercriminali. Con la giusta combinazione di tecniche di prevenzione e consapevolezza degli utenti, è possibile ridurre significativamente il rischio di violazioni della sicurezza legate all’identità.

Offerta

Identità cibernetiche. Dissociazioni indotte, contesti obbliganti e comandi furtivi

• Curcio, Renato (Autore)

15,20 EUR

Acquista su Amazon