C'è una nuova generazione di hacker che sta usando la più vecchia delle tecniche per violare account aziendali e personali e trarne un enorme vantaggio economico ai danni delle vittime.
E' quello che sembrerebbe emergere dalle indagini sulla recente massiccia violazione di account Twitter di personaggi famosi, tra i quali ci sono persino Barack Obama, Elon Musk, Kanye West, Bill Gates, Jeff Bezos e Joe Biden, tramite i quali hanno inviato a centinaia di milioni di follower ad abboccare ad una truffa che ha portato nelle tasche degli hacker circa 120 mila dollari in bitcoin.
Questi hacker sarebbero teenager, il metodo usato per violare gli account sarebbe la cara vecchia truffa telefonica. O, come si chiama adesso, la "Phone Spear Phishing".
Aziende sotto attacco: cosa è successo
Non appena si è capito cosa stava succedendo su Twitter, si sono mossi, oltre all'azienda, anche l'FBI e diverse società private di cybersecurity. È emerso un modus operandi talmente semplice che è quasi impossibile credere che gli hacker siano realmente riusciti a raggiungere il loro obiettivo.
Per farla semplice: decine di hacker, che dalla voce sembravano abbastanza giovani, hanno ottenuto i numeri di telefono interni di diversi membri dello staff di Twitter e, spacciandosi per membri del reparto IT dell'azienda, li hanno convinti a cedergli le credenziali d'accesso ad un tool interno a Twitter tramite il quale è possibile resettare le password e i secondi fattori d'autenticazione di tutti gli account. Una volta ottenuto l'accesso a questo tool gli hacker hanno avuto vita facile a violare gli account presi di mira e a lanciare la campagna truffaldina.
Dalle indagini è emerso, tra l'altro, che Twitter non è stata affatto l'unica grande azienda presa di mira da questo gruppo di hacker con questa tecnica: decine di grandi aziende hanno ricevuto centinaia di telefonate simili e, in alcuni casi, i loro dipendenti ci sono cascati nonostante la semplicità dei metodi adottati dagli hacker.
Si sarebbe trattato, sostanzialmente, di un gioco di numeri: centinaia di telefonate nel giro di 24 o 48 ore, in cerca di qualcuno che abboccava. E quel qualcuno, in certi casi, è stato trovato.
Chi sono gli hacker
Dalle indagini eseguite su questa campagna di phishing telefonico è emerso che è molto improbabile che dietro le telefonate ci sia un grosso gruppo ben organizzato di hacker esperti o, men che meno, delle aziende o dei Governi nazionali.
Al contrario, tutto porta a credere che si tratti di ragazzini che si scambiano informazioni e conoscenza (e si organizzano) tramite forum e siti come OGUsers.com, o chat come Discord. Niente Dark Web, nessuna tecnica da 007 informatico, nessuna utenza telefonica spiata tramite malware o intercettazioni, ma solo teenager che sanno usare Internet per raccogliere e dare informazioni in modo abbastanza anonimo da non avere conseguenze legali.
Ragazzini che hanno approfittato della pandemia da Covid-19 per attaccare i dipendenti delle aziende target mentre erano a casa, in smart working. Ingegneria sociale bella e buona, e neanche troppo sofisticata.
Le tecniche usate
In molti, in teoria, potrebbero ottenere gli stessi risultati di questo gruppo di giovanissimi hacker. Gli strumenti utilizzati, infatti, sono in gran parte a disposizione dell'utente comune di Internet. Per telefonare in anonimo, ad esempio, sono stati usati dei normali servizi VoIP che permettono di mascherare il numero del chiamante (e ce ne sono decine).
Le vittime sono state adescate in modo ancor più banale: per far creder loro che chi li chiamava lavorasse nella stessa azienda, infatti, gli hacker non hanno fatto altro che confermare a queste persone i dati che loro stessi avevano precedentemente pubblicato online, anche su social come Linkedin.
Se qualcuno ti chiama e sembra sapere già chi se, che ruolo hai, chi sono i tuoi colleghi, è più facile credergli. Dopo aver convinto le vittime a fidarsi, gli hacker di solito le invitavano a navigare su false pagine di login e ad inserire le loro credenziali. Nel giro di pochi minuti, quindi, i giovani hacker riuscivano ad ottenere l'accesso ai dati di login di uno o più dipendenti e, di conseguenza, a materiale interno all'azienda.
Un problema di cultura
La semplicità e l'efficacia di questi attacchi di Phone Spear Phishing dimostrano una cosa: la cultura della sicurezza informatica, ancora oggi, non è abbastanza diffusa in moltissime aziende.
Magari lo è agli alti livelli, magari i dipendenti vengono formati con corsi e seminari, magari sono anche inseriti in una mailing list tramite la quale l'azienda li tiene aggiornati sulle ultime minacce e su come difendersi.
Ma poi gli stessi dipendenti ricevono una telefonata da un ragazzino e gli aprono le porte dell'azienda. O, peggio ancora, gli consegnano l'account Twitter di Jeff Bezos.