A volte il rischio non è nell'ignoto, ma nel conosciuto. Visitate il blog tecnico che consultate sempre, accedete al portale della vostra associazione professionale o andate sul sito web di uno strumento che utilizzate ogni settimana. Tutto sembra affidabile... finché non scaricate inconsapevolmente un malware mirato al vostro profilo professionale.
Questo è il principio degli attacchi del tipo pozza d'acqua (watering hole). Una strategia che sfrutta la fiducia riposta in alcuni siti web per insinuarsi senza destare sospetti. L'obiettivo non è infettare il sito stesso, ma utilizzarlo come veicolo per compromettere i visitatori.
Come funziona un abbeveratoio
L'aggressore identifica i siti visitati di frequente dai membri di un gruppo specifico - ad esempio, professionisti del settore, dipendenti di un'azienda o membri di una corporazione - e li infetta con codice dannoso.
Quando l'obiettivo entra nel web come di consueto, il suo sistema può essere compromesso automaticamente attraverso le vulnerabilità del browser, i plug-in obsoleti o i download invisibili.
A differenza del phishing, che deve persuadere l'utente a cliccare su qualcosa di dubbio, in questo caso è necessario si va volentieri al sito fidato. Ed è proprio per questo che l'attacco è così efficace.
Casi noti che fanno scattare gli allarmi
Diversi gruppi di minacce avanzate (APT) hanno utilizzato con successo questa tattica. Un caso emblematico è stato l'attacco contro i membri della comunità di sicurezza nazionale degli Stati Uniti che hanno utilizzato siti di difesa specializzati.
Più di recente, sono state individuate campagne che hanno preso di mira i ricercatori di crittografia attraverso piattaforme accademiche e tecniche legittime, temporaneamente compromesse senza che i loro amministratori ne abbiano dato tempestivo avviso.
Come rilevare se un sito affidabile è stato compromesso
Non è sempre evidente, ma si può prestare attenzione ad alcuni segnali:
- Il sito si carica più lentamente del solito o presenta strani errori negli script.
- Il browser lancia avvisi di sicurezza inattesi.
- Il comportamento del dispositivo cambia dopo il login (ad esempio, processi insoliti, lentezza, consumo anomalo di memoria).
- Download automatico senza l'intervento dell'utente.
Naturalmente questi segnali non sono definitivi, ma se si hanno dei sospetti è meglio interrompere l'accesso e controllare.
Buone pratiche per ridurre il rischio senza limitare la vostra attività
Sappiamo che evitare tutti i siti esterni non è un'opzione realistica. Ecco quindi alcune misure che potete adottare per proteggervi senza compromettere la produttività:
1. Utilizzate browser aggiornati ed estensioni sicure.
Il vostro browser è la vostra prima linea di difesa. Tenetelo sempre aggiornato ed evitate le estensioni che non vi servono. Alcune campagne sfruttano i plugin vulnerabili per eseguire attacchi silenziosi.
2. Implementare il filtraggio della navigazione e l'analisi del traffico.
Le soluzioni di sicurezza perimetrale (come i firewall di nuova generazione o i sistemi di rilevamento DNS) possono aiutarvi a identificare i domini noti che sono collegati a campagne di infezione attive.
3. Isolare la navigazione dal rischio
Per alcuni profili all'interno del vostro team, come sviluppatori, personale IT o ricercatori, è possibile implementare navigazione contenuta attraverso ambienti virtuali, desktop remoti o browser sandbox. Questo limita l'entità del danno in caso di infezione.
4. Stabilire protocolli per il download
Qualsiasi file scaricato da siti esterni deve passare attraverso un antivirus aggiornato e, se possibile, un ulteriore sistema di ispezione prima di essere aperto sulle apparecchiature produttive.
5. Sensibilizzare senza seminare paranoia
Non si tratta di smettere di fare ricerca, di cercare soluzioni o di consultare forum. La chiave è educare a rilevare i rischisanno come agire in caso di dubbio e dispongono di processi per ridurre al minimo l'esposizione.
L'invisibile può anche essere diretto
Gli attacchi watering hole non sono casuali. Sono selettivi, intelligenti e spesso silenziosi. La loro efficacia sta nello sfruttare l'abitudine e la fiducia.
Il modo migliore per proteggersi è quindi stare all'erta senza rimanere immobili. La sicurezza efficace è quella che accompagna il vostro team nel suo lavoro. Senza attriti, ma con giudizio.
Noi di MasterBase® siamo preparati e abbiamo la piattaforma per aiutarvi, in modo semplice, efficace e a basso costo, ad automatizzare i vostri processi aziendali con la sicurezza fin dalla progettazione. Inoltre, potete richiedere l'aiuto di un consulente che vi accompagni nell'implementazione di processi automatizzati allineati ai vostri obiettivi e incentrati su una protezione completa.
