I dispositivi di memorizzazione USB ci consentono da più di vent'anni di salvare i nostri dati in maniera agevole, veloce ed economica, ma molto spesso vengono anche sfruttate dai cybercriminali come veicolo di virus e malware per rubare dati all'interno di reti protette. Per quanto possa sembrare assurdo, non è poi così insolito che un utente medio decida di collegare una chiavetta USB trovata in giro, soltanto per la curiosità di vedere cosa contiene. Nonostante gli avvertimenti che sempre più spesso arrivano dagli esperti di cybersecurity e dai media, l'utente finale continua ad essere vulnerabile agli attacchi di social engineering tramite dispositivi USB, per via della innata curiosità insita in ognuno di noi.
Le chiavette USB sono solo uno dei tanti dispositivi USB utilizzati per compromettere computer e sistemi, ma anche tastiere wireless, webcam esterne o aggeggi tecnologici di ogni tipo, purché dotati di collegamento USB, possono essere sfruttati dai cybercriminali per i propri scopi malevoli. Pensiamo ai dispositivi IoT ad esempio, molto spesso dotati di interfaccia USB. Addirittura un banale cavo USB o un caricatore per il telefono — che all'apparenza può sembrare nulla di più che un innocuo cavo elettrico — possono essere sfruttati come un'arma dai cybercriminali. A dimostrazione di ciò, i ricercatori della Ben-Gurion University in Israele hanno identificato recentemente 29 modi attraverso cui un hacker può sfruttare i dispositivi USB per compromettere un computer.
Sì, GLI ATTACCHI USB FUNZIONANO
Indipendentemente dal tipo di dispositivo utilizzato, un attacco di tipo USB necessita dell'intervento di un ignaro utente che connetta il dispositivo ad un computer. Nei cosiddetti attacchi USB drop, i cybercriminali lasciano chiavette USB infettate con malware, nei pressi dei loro obiettivi - come ad esempio parcheggi o aree pubbliche - e aspettano che qualche curioso raccolga la chiavetta apparentemente smarrita e la colleghi ad un computer per vedere cosa contiene. Anche se può sembrare una strategia un po' ottimistica, la combinazione di social engineering e tecnologia si rivela in molti casi efficace.
Lo è così tanto che uno studio del 2016 sugli attacchi USB drop ha evidenziato un tasso di successo del 45-98%. In un esperimento controllato, i ricercatori hanno lasciato circa 300 chiavette USB nei pressi del campus dell'Università dell'Illinois a Urbana-Champaign. All'interno delle chiavette erano stati caricati file .html in grado di generare una notifica una volta aperti.
Il risultato è stato allarmante: le persone hanno raccolto il 98% delle chiavette e hanno aperto uno o più file nel 45% dei dispositivi. In altre parole, circa la metà degli attacchi predisposti nella simulazione sono andati a segno. Senza contare poi che alcune persone coinvolte nell'esperimento potrebbero aver collegato le chiavette ai propri computer per vedere il contenuto, senza poi aver aperto i file e ciò rappresenta comunque una seria minaccia.
Perciò provate a domandarvi se un cybercriminale lasciasse 10 dispositivi USB in giro per la vostra azienda, quanti dei vostri dipendenti le collegherebbero ai vostri computer? Aprirebbero i file contenuti in quattro o cinque delle chiavette, come suggerito dallo studio?
ALTRUISMO E CURIOSITÀ, LE LEVE SFRUTTATE
Viene spontaneo pensare che gli studenti e il personale scolastico che hanno collegato le chiavette USB ai propri computer nell'esperimento, fossero totalmente ignoranti in termini di sicurezza usb informatica, ma non è affatto così. Molti utenti sono consapevoli dei rischi che corrono nell’utilizzare le pennette usb, come è stato dimostrato dalle risposte al questionario SeBIS (Security Behavior Intentions Scale), utilizzato per valutare la consapevolezza sulla sicurezza informatica degli utenti, non hanno evidenziato differenze significative tra coloro che hanno collegato le chiavette ai computer e la popolazione generale. Di conseguenza, i ricercatori hanno concluso che un attacco USB "sarebbe efficace contro la maggior parte degli utenti e che l'utente medio non è consapevole del pericolo che corre connettendo un dispositivo USB sconosciuto al proprio computer.” Come ci si rende vulnerabili a un virus su penna usb? File nascosti e curiosità, è questo il movente dei partecipanti allo studio. Ma non è il solo.
Secondo lo studio, le persone sono state anche spinte a collegare le chiavette USB da intenzioni altruistiche: speravano di riuscire a identificare il possessore per restituire il dispositivo. Ma una volta collegate al proprio computer, quasi la metà delle persone ha ammesso "di essersi lasciati vincere dalla curiosità, aprendo files invitanti - tipo foto delle vacanze - prima di provare a identificare il possessore della chiavetta."
I cybercriminali spesso utilizzano proprio nomi di file in grado di suscitare interesse e curiosità, quando creano le loro chiavette infette - una potente tecnica di social engineering.
"I risultati dello studio ricordano a chi opera nel campo della sicurezza informatica, che anche attacchi per nulla sofisticati come quelli analizzati, continuano ad essere una minaccia reale e tutti noi abbiamo il dovere di imparare a difenderci efficacemente contro di essi", hanno concluso i ricercatori. "Dobbiamo conoscere più a fondo le dinamiche dietro gli attacchi di ingegneria sociale, mettere in atto le opportune contromisure tecnologiche ed informare gli utenti finali di tutti i rischi che corrono."
UN APPROCCIO PROATTIVO CONTRO GLI ATTACCHI USB
Che cosa potete fare per ridurre il rischio di attacchi di tipo USB drop all'interno delle vostre aziende? Raccomandiamo a tutti un approccio proattivo: valutare la vulnerabilità degli utenti a questi attacchi, rendendoli consapevoli di come un dispositivo USB compromesso può infettare i computer mettendo a rischio i dati aziendali, e insegnando loro ad evitare questo genere di minacce o di dover ricorrere a uno strumento - come un usb protection antivirus – per eliminare i virus da una chiavetta usb. Il nostro strumento ThreatSim, è un programma autorun per la simulazione di attacchi USB, vi consente di identificare gli utenti che collegano ai vostri computer aziendali, dispositivi USB sconosciuti, dandovi un quadro preciso sulla vulnerabilità della vostra azienda ad attacchi di questo tipo. Dopo aver lasciato chiavette USB sparse qua e là per gli uffici della vostra azienda, sarete in grado di monitorare quali vengono aperte, attraverso la nostra Piattaforma Educativa sulla Sicurezza.
Le simulazioni di attacchi USB drop, sono un ottimo modo per innalzare il livello di consapevolezza su questo tipo di attacchi e per rendere il personale aziendale più pronto e ricettivo ad un'approfondita formazione sugli attacchi di social engineering e sulla protezione dei dati. Abbiamo creato un modulo formativo specifico, "La sicurezza dei dispositivi USB", per educare al meglio gli utenti che cadono vittime della simulazione di attacco.
Abbiamo migliorato ancor di più, proprio recentemente, il nostro prodotto per la simulazione di attacchi, offrendo maggiori possibilità di auto gestione e maggiore flessibilità. Sarete in grado di caricare i vostri dispositivi USB ed utilizzarli per lanciare campagne in qualsiasi momento e di qualsiasi volume. Niente limiti di utilizzo, niente restrizioni sul numero di dispositivi USB che potrete distribuire né sul numero di campagne che potete lanciare.
Data la popolarità dei dispositivi USB, che non sembra destinata a calare - e all'espansione dei dispositivi IoT - è importante per ogni azienda ridurre il rischio di subire attacchi di tipo USB. Provate il Proofpoint Security Awareness Training e valutate in prima persona i benefici per la vostra azienda, così come hanno già avuto modo di verificare migliaia di nostri clienti in tutto il mondo.