Ecco un altro attacco hacker messo a segno con modalità “stealth”, ovvero senza che la vittima si rendesse minimamente conto dell’attacco fino a quando i dati esfiltrati sono comparsi in vendita su DarkWeb. Purtroppo questo è uno degli attacchi più importanti realizzati in Italia, sai per il numero di utenti di Vodafone/HoMobile, sia per i futuri rischi che tali utenti hanno di rimanere truffatti per l’utilizzo dei loro dati per phising, social engineering, SIM swapping.
Ancora una volta viene confermato che i comuni strumenti di difesa informatica sono facilmente aggirati dai malware evoluti che entrano nei sistemi senza “svegliare nessun cane da guardia”, che spesso rimangono silenti e nascosti per diversi mesi, che esfiltrano elevate quantità di dati senza che nessun allarme si attivi. Quindi questi sistemi di sicurezza, ormai obsoleti e privi di ogni utilità, vengono beffati ben 3 volte:
1. Quando non si accorgono che il malware entra nella infrastruttura informatica
2. Quando il malware rimane nascosto per mesi in un qualche end-point o server
3. Quando il malware si attiva e: a) scala i privilegi, b) esfiltra imponenti quantità di dati con
Oggi Vodafone/ho. Mobile è in grado di sapere con precisione quali clienti sono stati colpiti (2,5 milioni di utenti) e quali dati personale sono stati esfiltrati (nome, cognome, numero di telefono, codice fiscale, e-mail, data e luogo di nascita, nazionalità e indirizzo, oltre all’ICCID della SIM card). Questo grazie probabilmente ad una analisi forense post incident dei sistemi aziendali (file di log, tracce di accesso a file, database).
Oggi i clienti di ho. Mobile coinvolti nel furto di dati rimane ancora il rischio di rimanere vittima di un attacco di tipo SIM Swap che consente di clonare la SIM e accedere poi a servizi online.
Ancora una volta siamo costretti a sottolineare che i sistemi di sicurezza comuni ,ed ormai facilmente bypassati dai moderni attacchi cyber, non sono in grado di individuare le tecniche che sempre più spesso sono utilizzate:
Questo perchè tali sistemi sono di tipo “signature” e quindi non intercettano tutto ciò che è nuovo, evoluto, ignoto. Ma anche perché sono sistemi noti, di cui tutti nel settore sanno come tecnicamente si muovono e cosa osservano nell’infrastruttura informatica, quindi sono facilmente eludibili.
L’approccio ZERO TRUST, con i relativi strumenti innovativi sviluppati intorno ad esso, permetto proprio di intercettare sia attacchi noti che ignoti, anche quelli evoluti e mai individuati prima. Riteniamo quindi che un’azienda lungimirante debba valutare l’adozione di strumenti moderni di cybersecurity, quindi ZERO TRUST, soprattutto per la difesa dei propri end-point e la gestione dei privilegi agli utenti.