Gen 16, 2015
515 Views
0 0

Spear phishing, così il Cyber Califfato non ha mai hackerato il CENTCOM!

Written by

CyberCaliphate“Let’s go Phishing with ISIS!”

By Federico Bianchini

Lunedì 12 gennaio 2015 un gruppo di hackers affiliato all’ISIS, chiamato il Cyber Califfato (Cyber Caliphate), si è introdotto negli account twitter e youtube del CENTCOM.

Inutile a dirsi che, a grandi titoli, ogni testata del mondo, se non quelle più informate, si è sperticata in titoli come: “L’ISIS hackera l’esercito americano” o “CENTCOM violato”.

Mi dispiace per chi abbia voluto attirare l’attenzione con notizie inquietanti, ma i signori allo United States Central Command stanno benissimo. Al massimo un poco indispettiti. Non dai terroristi, ma dalla stampa.

CENTCOMPerchè? Perchè il loro sito è sempre stato online, intonso.

http://www.centcom.mil/

Se l’ISIS avesse toccato questa pagina allora si potrebbe parlare di hacking (più precisamente, defacing, o system cracking, cioè accedere ad un server ospitante un sito web e modificarlo o sostituirlo tramite una SLQ injection per ottenere un accesso come amministratore – operazione relativamente semplice, le cui istruzioni sono disponibili online), ma l’ISIS non ha fatto niente di tutto questo.

Il Cyber Caliphate ha modificato gli account twitter e youtube del CENTCOM. Ciò significa: minaccia qualificabile come nulla e abilità per perpetrare la stessa quasi nulla.

Lasciatemi spiegare.

Sebbene il risultato possa essere in un qualche modo impressionante, vedere il simbolo jihadista sulla pagina twitter del Comando Centrale Statunitense, questo è nulla più che cyber-vandalismo. La versione moderna delle uova marce e dei graffiti sui muri di una istituzione: mentre è ovvio il messaggio di dissenso verso l’istituzione, i muri della stessa una volta puliti saranno come prima e dentro l’edificio non si sente neanche la puzza.

Al CENTCOM non si preoccupano, e nemmeno dovremmo noi, perchè il Cyber Califfato non ha mostrato doti da hacker. Non ha mostrato neanche di avere finanziamenti. Per “hackerare” twitter e facebook, con ogni probabilità, hanno usato qualche vecchio trucco di ingegneria sociale. Il phishing. Più precisamente, lo spear phishing. Una truffa.
Non ci sono comunicazioni ufficiali in proposito, ma, personalmente, ritengo sia l’eventualità più probabile, dato che l’ISIS ha già fatto largo impiego del phishing. Con risvolti molto più inquietanti.

Lo spear phishing è una tecnica con cui si offre un’“esca” al possessore delle credenziali per accedere ad un particolare sito o account (ad esempio una mail di notifica molto simile ad una originale inviata da un indirizzo molto simile a quello originale) per indurre il suddetto possessore a dare di propria volontà le credenziali. Una volta che il “pesce” ha abboccato, si tira la lenza -si cambiano le password- e il gioco è fatto, il controllo dell’account cambia di mano.

Phishing, come avrete notato, deriva infatti dalla parola “pescare” in inglese, fishing.

Può sembrare che questo tipo di truffa sia difficile da organizzare, ma con Google a disposizione, si possono trovare vari template e guide su come portarne a termine uno. Tutto quello che bisogna fare è registrare un dominio, impostare un sito-truffa che registra per voi le password inserite con uno dei template sopracitati, inviare qualche mail con un testo ingannevole incorporando il link del sito-truffa e incrociare le dita.

Una volta arrivate a destinazione una vittima inconsapevole segue il link della mail, inserisce le credenziali nel sito truffa, schiaccia invio e invia il tutto al truffatore.

Se il possessore delle credenziali non casca nell’inganno, la truffa è fallita.

Non serve un firewall, un antivirus o linee di codice in generale per evitare questo “attacco”. Serve un poco di furbizia. Cyber-igiene.

Il CENTCOM quindi, non ha subito nessuna breccia. Gli incaricati dei loro social media probabilmente si stanno subendo una bella lavata di capo, truffe del genere sono errori da principianti, ma, di per sè, hanno solo permesso un atto di vandalismo, nulla più.

E i file pubblicati? Niente di classificato. Tutti disponibili sui vari siti dell’esercito o da parte di agenzia di sicurezza private.

Un’operazione di facciata, più mirata all’opinione pubblica che alle infrastrutture americane. Lo scopo era scioccare e ingigantire agli occhi dell’opinione pubblica le capacità informatiche del gruppo, e dobbiamo purtroppo ammettere che ci siamo cascati. L’ignoranza diffusa sul mondo informatico e la paranoia si fanno sentire ancora una volta.

Questo neonato Cyber Califfato non sembra all’altezza delle passate imprese online dell’ISIS. Come ho accennato prima, la stessa tecnica phishing è stata usata con molta più abilità dall’ISIS in passato. Nel dicembre 2014 un gruppo Citizen Media Group (compagnia digitale dedicata al giornalismo da parte dei cittadini) siriano, il “Raqqah is being Slaughtered Silently” (RSS) -letteralmente, Raqqah sta venendo Massacrata Silenziosamente-, fu bersaglio di un ingegnoso attacco phishing. Lo scopo non era avere il controllo del sito. Lo scopo era, tramite un link contenuto nella mail, fare scaricare agli ignari cittadini anonimi che scrivevano sul sito un piccolo malware modificato, uno spyware. Questo programma inviava ad un indirizzo email l’IP e le specifiche tecniche del computer che aveva infettato ad ogni restart dello stesso.

Per inciso, un malware semplice, un poco rozzo, senza grosse capacità evasive o di anti-identificazione, ma che comunque permetteva all’ISIS di avere una posizione approssimativa dei cittadini-giornalisti che scrivevano sul sito denunciando le atrocità commesse contro la città di Raqqah e, potenzialmente, di trovarli.

Sebbene questa volta si sia trattato di vandalismo e terrorismo psicologico non ci si può permettere di abbassare la guardia. L’ISIS sembrerebbe avere a propria disposizione almeno un individuo con qualche esperienza in ingegneria sociale e hacking: Junaid Hussain, noto anche come “TriCk” online. Le sue capacità si sono dimostrate limitate in fatto di codice, ma le abilità di ingegneria sociale, nel mondo informatico, possono essere altrettanto efficienti (come ho descritto nell’articolo “Intercapedini d’Aria”, link in calce).

L’igiene informatico e un minimo di attenzione possono, però, letteralmente castrare ogni tentativo di questi ingegneri sociali.

Volete fare la vostra parte nella lotta al terrorismo? Non aprite link strani!

Federico Bianchini

Articoli correlati:

Cyber Security: intercapedini d’aria (Air Gapping) – di Federico Bianchini (30 dicembre 2014)

Foto fornita dall’autore + Tampa Bay Times

Article Categories:
Federico Bianchini