Per fortuna, non tutti i siti di e-commerce sono sprovveduti. Per non parlare di altre organizzazioni che pure devono garantire la sicurezza dei dati relativi alla carte di credito. Eppure, vedi Sony, ci sono casi di attacchi andati a buon fine (chiaramente dal punto di vista dell'attaccante).
Sono attacchi mirati che, secondo Stonesoft, sono stati possibili grazie alle cosiddette tecniche di "evasione". Ma questa è una fase successiva.
Come racconta Otto, ma al riguardo abbiamo anche già scritto (Le 5 fasi di un attacco APT), gli attacchi consistono in più fasi: selezionare il target, effettuare una ricognizione per trovare informazioni utili, realizzare un assessment dei sistemi, condurre l'exploit, sfruttare la vulnerabilità e praticare eventuali passaggi per raggiungere gli obiettivi, compiere ulteriori attacchi.
Il tipico primo passo è recuperare informazioni, accedendo al computer di qualche impiegato. Per questo si comincia a inviare di una mail. Nella demo preparata dagli esperti di Stonesoft, una mail mandata dal Ceo di un'azienda a tutti i dipendenti. Mascherare l'indirizzo reale è facile, così come è facile che venga aperto un messaggio del capo.
Se il messaggio contiene un file chiamato "premi sugli obiettivi", come quello pensato dai nostri esperti il click è altamente probabile.
Il pdf in allegato non si apre, magari dà un messaggio d'errore, comunque subito dopo arriva un secondo messaggio con delle scuse e un allegato che questa volta funziona.
Peccato che il primo file conteneva in realtà un comando con il quale l'hacker può ottenere quello che vuole: per esempio, spiare attraverso la webcam, come hanno fatto Otto e Olli, ma anche prendere il controllo del pc, recuperare credenziali di accesso e passare alla fase successiva.
I due esperti sottolineano che questa procedura può essere realizzata in maniera relativamente facile ed essere usata anche nel 'privato', per esempio da uno stalker.