Phishing – cosa fare dopo un attacco

Share with your network!

Una volta, mi è capitato di leggere un post che diceva: "Vuoi avere una rete sicura oppure no?". Questa semplice frase mi è rimasta in testa per anni perché, ne nasconde una molto più seria. E cioè: "Hai predisposto le giuste tecnologie, processi, procedure, formazione, supporto esecutivo, personale, politiche aziendali, controlli, registri dei log, etc. che ti permettano di proteggere la tua azienda, senza farti cogliere impreparato?"

Ci sono molte cose che possiamo fare per ridurre l'impatto di un attacco phishing attuato tramite l’invio di email false e, purtroppo, andato a buon fine. Ma come tutto ciò che ha a che fare con la sicurezza informatica, non è mai possibile eliminare completamente il rischio, perciò è fondamentale preparare in anticipo una strategia di reazione in caso di phishing.

E voi che cosa fareste se scopriste di essere rimasti vittima di un attacco phishing, o peggio ancora di spear phishing, andato a segno o anche solo tentato contro la vostra azienda?

Ecco una lista delle 14 cose da fare nel caso vi doveste trovare in questa spiacevole situazione:

Come Reagire Dopo Aver Subito un Attacco Phishing: 14 Cose da Fare

Impiegato disperato per attacco phishing e conseguenze

1. ATTIVATE LE PROCEDURE DI INCIDENT RESPONSE (IR)

Avete predisposto un piano di reazione ad un attacco di phishing, vero? Avete già fatto una simulazione di come riuscirete rapidamente e senza intoppi a reagire ad un incidente di questo tipo, giusto? Dopo aver avuto la conferma di essere stati effettivamente vittima di un attacco phishing, chiudetevi in ufficio, abbassate le tapparelle, afferrate il vostro manuale con tutte le mosse da seguire in caso di incidenti e ordinatevi una pizza. Dovrete cercare di scoprire il chi, il cosa, il quando e il dove dell'incidente — e farvi un'idea dell'orario in cui rientrerete a casa dopo tutta questa trafila, così potrete avvisare i vostri familiari che farete tardi. Molto tardi.

2. OTTENETE UNA COPIA DELL'EMAIL INCRIMINATA COMPLETA DI INTESTAZIONE ED EVENTUALI ALLEGATI

“Ho cliccato su un link phishing”, oppure “ho risposto ad una email di phishing”. Se doveste trovarvi in una delle due situazioni citate il primo passo della vostra strategia di risposta in caso di phishing sarà di assicurarvi di avere sotto mano l'email incriminata completa di header ( “intestazione”) con le informazioni sul percorso fatto dall'email per arrivare alla vostra casella di posta. Prendete nota dell'indirizzo IP da cui proviene il messaggio. Nella maggior parte dei casi proverrà da qualche dispositivo compromesso – tipo un server vulnerabile o il computer di casa di qualche ignaro utente che non sapendo nemmeno di essersi infettato, fa da bot, insieme a migliaia di altri sistemi compromessi, in mano ai cybercriminali, che se ne servono per sferrare attacchi e proteggersi dal tracciamento. In ogni caso sarà comunque importante avere a disposizione queste informazioni.

3. SERVITEVI DEL WEB PER INVESTIGARE SULLA MINACCIA

Esistono molti siti per la ricerca di informazioni su attacchi e minacce. Caricate qualsiasi link o allegato sospetto su www.virustotal.com o siti di phishing equivalenti (personalmente mi piace utilizzare www.hybrid-analysis.com). Inserite domini, indirizzi IP, etc. su siti come IPVoid.com e cercate anche su Google gli hostname, gli URL, gli IP, eventuali nomi di file etc. e vedete che cosa esce fuori.

MA FATE MOLTA ATTENZIONE A NON VISITARE SITI MALEVOLI. Se incollate un indirizzo IP sulla barra del browser, premendo invio non si avvierà la ricerca su Google, ma vi collegherà direttamente a quell'indirizzo IP. Il che, oltre ad essere insensato è anche potenzialmente pericoloso. Scrivete l'indirizzo IP tra virgolette per assicurarvi che il vostro browser faccia una ricerca anziché collegarvi a quell’indirizzo.

4. PARLATE CON CHI HA MATERIALMENTE APERTO E CLICCATO SULL'EMAIL

È un passo semplice, ma spesso trascurato. Non evitate di confrontarvi con chi ha, suo malgrado, aperto l'email ed eventuali allegati. Parlate con loro e chiedete invece di spiegarvi esattamente che cosa è successo, che cosa si sono trovati di fronte e se hanno notato qualcosa di strano o fuori posto prima o dopo aver interagito con l'email.

5. AGGIUSTATE I FILTRI PERIMETRALI PER IL CONTROLLO DELLE EMAIL PER BLOCCARE ALTRI MESSAGGI SIMILI

Per prevenire che altri utenti restino vittime dello stesso attacco, cercate attributi nell'email che vi consentano di filtrare i messaggi, bloccando quelli considerati a rischio. In alcuni casi, i cybercriminali utilizzano la stessa email fasulla, ma modificano i campi "Da:", "Oggetto:" e altri. Dovete riuscire invece a identificare elementi che rimangono statici nelle varie email malevole. Il black listing basato su espressioni regolari (regex) non può essere una soluzione a lungo termine, ma nel breve termine può aiutare a bloccare ulteriori messaggi malevoli, evitando che raggiungano ancora le vostre caselle di posta elettronica.

6. COMINCIATE AD ANALIZZARE I SISTEMI INTERNI

Analizzate i log dei vostri firewall, a caccia di indirizzi IP, URL o allegati sospetti trovati sull'email per verificare l'esistenza di traffico in uscita dalla vostra rete verso quegli indirizzi IP. Tenete presente che i server C&C (Command and Control) utilizzati dai cybercriminali per sferrare i loro attacchi, cambiano i propri indirizzi IP ogni pochi minuti. Pertanto dovrete analizzare i vostri log DNS (avete attivato i log di tutte le richieste DNS, vero?) e verificare se da qualche host della vostra rete è partita una DNS lookup sugli indirizzi IP incriminati.

Con buona probabilità dovrete controllare anche i logs DHCP per capire quale macchina aveva quel determinato indirizzo IP quando è partita la DNS lookup. Non avete ancora attivato i log DHCP vero? Utilizzate Splunk o Elasticsearch/Logstash/Kibana (ELK).  

7. ESAMINATE I LOG DEI PROXY O DEL TRAFFICO WEB IN USCITA

Se utilizzate un proxy come BlueCoat, WebSense o simili, può essere utile analizzare i logs per verificare se altri utenti, nella vostra rete, hanno visitato il sito malevolo o altri indirizzi sospetti. Oppure, se avete attivato i logs per tutte le richieste in uscita dal firewall, cercate l'indirizzo IP del server su cui è ospitato il sito.

 

Volete saperne di più riguardo agli attacchi phishing? Scaricate il nostro report State of the Phish.

 

 

8. CONTROLLATE I LOGS DEI SERVER DI POSTA ELETTRONICA

Cercate quale utente ha ricevuto il messaggio, analizzando i log dei server di posta. Se possibile, fate varie ricerche a partire dal campo "ID messaggio", l'IP di provenienza, il campo "Da:" e l'oggetto del messaggio, eventuali nomi di allegati, etc.

9. CONTROLLATE I LOG DNS

Tenere traccia del traffico DNS non è più così complicato come lo era in passato. Attivare i log DNS grazie a software open source come BIND (Berkeley Internet Name Domain) risulta ora abbastanza semplice. Una volta abilitati i log, potete importarli su software come Splunk per l'analisi dei dati e lanciare delle query di ricerca per scoprire quale dei vostri host ha effettuato una DNS lookup sui domini malevoli che avete identificato.

10. ASSICURATEVI CHE I LOGS VENGANO CONSERVATI

Nulla è in grado di troncare le gambe a un'investigazione, come la totale assenza di log importanti su cui indagare. Assicuratevi che i log relativi a firewall, proxy, DNS, DHCP e qualsiasi altro tipo di log, non vengano cancellati dalle rotazioni dei log. In base all'impatto dell'attacco e ai danni che esso sarà in grado di provocare, potreste avere bisogno di salvare questi log per estrapolarne le prove dell'attacco da fornire ad un eventuale processo civile e penale. Questo punto dovrebbe essere affrontato nel vostro piano di incident response.

11. PRENDETE L'INCIDENTE COME UNA LEZIONE PER IMPARARE

"Non lasciare mai che una crisi diventi un’opportunità sprecata". Il capo di gabinetto dell'allora Presidente degli Stati Uniti Barack Obama, Rahm Emanuel, pronunciò questa frase nel 2008 a ridosso della crisi finanziaria che sconvolse il mondo. Quello che intendeva dire è che, in fondo, una crisi è anche un'opportunità di fare cose che prima non avremmo mai pensato di poter fare. Tenete a mente queste parole la prossima volta che vi capiterà di subire un attacco phishing, ed utilizzate quell’evento come un'opportunità per innalzare il livello di consapevolezza sul tema della sicurezza tra tutti i dipendenti della vostra azienda, ma anche tra clienti, fornitori e partner.

C'è una ragione, dopo tutto, se spesso di fronte alle scuole in alcuni paesi come gli Stati Uniti ad esempio, viene esposto quel che resta di auto incidentate, per responsabilizzare i ragazzi nel periodo di fine anno scolastico. Ed è un metodo piuttosto efficace perché costringe i ragazzi a pensare alla possibilità che quell'incidente sarebbe potuto capitare a loro. Ridimensionando un po' le cose comunque, quello che vorrete evitare in futuro, è il fatto che magari i vostri dipendenti non segnalino tempestivamente di aver aperto qualche email sospetta e cliccato su qualche link o allegato, per la paura di subire ripercussioni a livello lavorativo.

12. FATE PULIZIA

Come regola generale dovrete aggiornare tutte le password compromesse dall'attacco — anche se siete certi che non è accaduto nulla di serio. Negli attacchi di tipo phishing, non esiste la certezza assoluta che le vittime siano state completamente compromesse o meno.

Se le credenziali di un utente (soprattutto quelle utilizzate per l'accesso remoto) sono compromesse, un cybercriminale può tornare sulla rete usando metodi di accesso legittimi come l'interfaccia OWA (Outlook Web Access) o la VPN. Dopo che le password sono state aggiornate, andate ad analizzare l'attività di tutti gli account interessati dall'attacco in un certo lasso di tempo, pre e post incidente.

13. CONTROLLATE SE ESISTONO SESSIONI ATTIVE RELATIVE AGLI UTENTI VITTIME DELL'ATTACCO

Una tecnica di attacco molto diffusa tra i cybercriminali, consiste nello sfruttare metodi di accesso perfettamente legittimi come le VPN e Citrix per mantenere una presenza all'interno della rete e sottrarre dati. A seguito di un attacco, stilate una lista degli utenti interessati dall'attacco e verificate che non esistano connessioni attive, laddove non dovrebbero essercene.

Avete preparato una lista di tutti i metodi di accesso remoto alla vostra rete aziendale, vero?

14. ADDESTRATE IL VOSTRO PERSONALE A TENERE UN ATTEGGIAMENTO SCETTICO INTELLIGENTE

Siate proattivi! Avete mai ricevuto un'email e pensato "Qui c'è qualcosa che non mi convince..."? Noi che lavoriamo nel campo della sicurezza amiamo dire che abbiamo il sesto senso per la sicurezza informatica. Ma non lo abbiamo sviluppato da un giorno all'altro; è piuttosto un'abilità acquisita nel corso del tempo attraverso l'esperienza. Non sarebbe fantastico che anziché seguire una sorta di riflesso incondizionato, che spinge ad aprire qualsiasi cosa arrivi nelle loro caselle email, i vostri dipendenti si fermassero anche solo per mezzo secondo a pensare "Aspetta un attimo... Sarà mica un tentativo di PHISHING? Effettuate dei phishing test e addestrate il vostro personale con una buona formazione sulle varie minacce informatiche. Ne trarrete enorme vantaggio.

Possiamo aiutarvi ad affrontare al meglio la minaccia legata al phishing! Cos’è lo sapete già, ma ora dovete pensare a come farvi trovare preparati, se e quando, la minaccia dovesse colpire la vostra azienda. Affidatevi a noi, siamo professionisti in questo campo.

 

Nota: questo articolo proviene dal blog ThreatSim®. ThreatSim è stato acquisito da Wombat Security nell'Ottobre 2015.