Tra grandi piattaforme e social, ecco i punti di accesso per gli hacker

Nella settimana del secondo insediamento di Donald Trump alla Casa Bianca, alla presenza dei vertici delle principali tech company americane (da Tim Cook di Apple a Jeff Bezos di Amazon) non è certo fuori luogo parlare ancora una volta di privacy e di tutela e dei nostri dati personali. E lo è per un semplice motivo: l’utilizzo servizi delle cosiddette Faang (Facebook, Amazon, Apple, Netflix, Google) amplia continuamente la nostra impronta digitale e ci espone a maggiore rischi. Il tema è stato osservato da vicino dai ricercatori del CyberArk Labs e ne è uscito un rapporto che può considerarsi una sorta di “manuale d’uso” per gli utenti di queste piattaforme.

Dove sta il nocciolo della questione?

Sta nel servizio che permette di esportare (facilmente e in pochi secondi) i propri dati dalle applicazioni di Facebook & Co. su disco locale, ma che può diventare un’arma letale per i malintenzionati in cerca di informazioni sensibili (comprese le cosiddette i Pii, Personally Identifiable Information) a scopo fraudolento. Gli attori delle minacce, si legge nello studio, hanno a disposizione diversi punti di accesso per cercare di impadronirsi dei dati degli utenti e il furto di cookie e l’installazione di malware sul dispositivo sono solo alcuni esempi di come il “tesoro” raccolto dalle Faang possa diventare preda di attacchi, e di conseguenza minare (anche in modo permanente) la reputazione di una persona o di un marchio.

Il problema degli account aziendali

L’uso di account personali in ambienti aziendali, bene ricordarlo, è infatti molto più comune di quanto si possa pensare, riguarda spesso la condivisione di file e la scrittura di documenti e crea di fatto un bypass “creativo” dei sistemi di filtro delle e-mail e di quelli di data loss prevention se non addirittura dell’autenticazione multi-fattore. Quanto sia diffusa questa cattiva abitudine lo conferma del resto un’altra indagine di CyberArk, secondo cui circa il 63% dei circa 14mila addetti intervistati ha dichiarato di ricorrere per ragioni di lavoro ad applicazioni e piattaforme esterne (Google quella più impiegata) sui notebook forniti in dotazione dalla propria organizzazione, esponendo la stessa al rischio di tentativi di esfiltrazione dei dati e a problemi di sincronizzazione delle password.

Quali sono le conseguenze degli attacchi?

Cosa può succedere quando un account personale associato ai servizi di una Faang viene compromesso? La risposta è un lungo campionario di scenari di crisi che sarebbe meglio evitare. Si va dalla violazione che porta a identificare il nome dell’Internet Service Provider e dell’operatore di telefonia mobile, i cui sistemi di help desk contengono di norma le ultime quattro cifre della carta di credito dell’utente (e tramite malware di voice phishing i cybercriminali possono sfruttare a proprio vantaggio questa situazione) al rischio legato al download di un’applicazione di terze parti (di cui l’utente non può conoscere i flussi di protezione dei dati) scaricata sul proprio iPhone che può aprire il fianco alla violazione delle informazioni contenute nell’agenda del calendario, e quindi alla possibile identificazione degli impegni dell’utente e dei luoghi esatti in cui è previsto si trovi. Meta, a propria volta, potrebbe rivelare involontariamente la posizione fisica degli utenti e le loro preferenze sui post pubblicati, permettendo agli attaccanti di creare campagne di social engineering mirate. Non meno battuto dai cybercriminali, infine, è l’utilizzo malevolo delle ricerche effettuate negli anni nel motore di ricerca di Google, che prevede l’uso a scopo di ricatto di una serie di parole chiave personalizzate e ritenute sensibili per l’utente. Se gli avversari operano prendendo di mira l’anello più debole (hardware o software che sia), non mancano ovviamente le contromisure da adottare per migliorare quella che gli esperti chiamano “postura di sicurezza”, e cioè le modalità con le quali professionisti ed aziende devono costruire e mantenere le proprie difese per proteggere privacy e informazioni.

Un primo passo, assicurano da CyberArk, è quello di evitare la sincronizzazione delle password tra account personali e lavorativi e di monitorare il processo di esportazione, richiedendo la cancellazione degli account inattivi. Più in generale vale sempre una buona regola: trattare i dati personali alla stregua di beni critici.