Cari lettori di Tecnogalaxy, oggi parleremo degli attacchi che stanno avvenendo in questi giorni contro uffici pubblici italiani, con la tecnica del Phishing.

Lunedì scorso la Polizia è stata sommersa da migliaia di mail frutto di una campagna appunto di phishing, come specificato in articoli precedenti, questa tecnica è molto pericolosa, infatti nell’era 2.0, quella di internet, le truffe avvengono online. Non solo navigando sui siti web, ma anche via posta elettronica.

Il funzionamento degli attacchi Phishing

Gli attacchi di phishing sono in forte aumento e sono andati oltre le solite false e-mail bancarie contenente link dannosi.

I malintenzionati di oggi prendono di mira gli utenti su più canali, usando messaggi di testo e SMS, social media e app mobile che consentono la condivisione di link.

Al giorno d’oggi la gran parte delle nostre informazioni personali se ci pensate sono online, i malintenzionati possono personalizzare i vari attacchi rendendoli più difficili da individuare con maggiori probabilità di successo.

La funzione dei Social Media è quella di connettere tra di loro le persone conosciute ma anche quelle sconosciute.

Capita tutti i giorni di inviare e ricevere inviti per entrare in contatto con persone anche sconosciute che condividono i nostri stessi interessi. Questo è il motivo per cui i malintenzionati creano spesso profili fake fingendosi amici, colleghi etc…ottenendo così i dati personali.

Per sembrare più reali i malintenzionati si uniscono a gruppi già esistenti presenti sui vari social pubblicando collegamenti dannosi a siti fake utilizzati per raccogliere informazioni personali come ad esempio le credenziali di accesso etc.

Le informazioni raccolte vengono poi utilizzati per attacchi di phishing rivolti ad un maggior numero di persone e organizzazioni.

Secondo una statistica, oggi il phishing è responsabile di quasi un quarto di tutte le violazioni dei dati.

Cosa sta accadendo agli uffici pubblici italiani

Ritorniamo agli attacchi che stanno avvenendo in questi giorni agli uffici pubblici del nostro paese, la Polizia lunedì è stata oggetto di un attacco da parte di un gruppo filorusso chiamato “Killnet” che ha rallentato il sito portandolo quasi alla saturazione.

Attualmente non sappiamo quale sia il movente di questo attacco come spiega la Polizia Postale, sappiamo che uno degli indirizzi di provenienza dell’attacco è “scuolasuperiorepolizia.ufficiostudi@poliziadistato.it” e tale messaggio contiene un file compresso e il destinatario viene invitato a scaricare e aprire il file…..(ovviamente l’indirizzo è un fake)

Come nella maggior parte degli attacchi di questo tipo, all’interno del file compresso è presente un file .xls che in realtà contiene un ramsomware che se eseguito è in grado di cifrare i dati del dispositivo colpito e di quelli connessi alla stessa rete che hanno un disco di rete installato.

Una guerra cybernetica di tutti i giorni

Visto la situazione bellica in cui ci troviamo in questo periodo, come possiamo immaginare sono aumentate le minacce hacker e le risposte degli uffici pubblici in campo di difesa sono molto più veloci e chiare nel trovare e eliminare le minacce.

La squadra in campo è composta dal ministero dell’Interno, il servizio di Polizia delle Telecomunicazioni e L’intelligence, il dipartimento di Ps.

Da poco è stata approvata la Strategia nazionale di cybersicurezza per gli anni (2022-2026), l’Agenzia per la cybersicurezza nazionale ha affermato tramite due documenti approvati che il Governo punta ad affrontare molte sfide rafforzando:

  • Rafforzamento della resilienza nella transizione digitale del sistema Paese
  • Conseguimento dell’autonomia strategica nella dimensione cibernetica
  • Anticipazione dell’evoluzione della minaccia cyber
  • Gestione di crisi cibernetiche
  • Contrasto della disinformazione online

Ritorniamo nel dettaglio dell’attacco, il cybergruppo di Killnet ha rivendicato l’attacco dichiarando guerra contro 10 paesi tra cui l’Italia, il sito della Polizia di Stato stato irraggiungibile a partire dalle 2:00 di notte circa fino a metà mattina del 16 maggio.

Tramite i log i tecnici hanno potuto vedere un aumento anomalo del traffico degli accessi al sito, portandolo alla saturazione, la tecnica utilizzata è chiamata “attacco DDoS” , acronimo per (Distributed Denial of Service).

Cos’è un attacco DDoS?

Denial of Service, nel campo della sicurezza informatica, indica un malfunzionamento dovuto ad un attacco informatico in cui si fanno esaurire deliberatamente le risorse di un sistema informatico.

Spiegato in parole povere, quando dal tuo computer o dal tuo device scrivi nell’url www.pippo.it, non fai altro che fare una richiesta al server che ospita il sito, una volta accetta la tua richiesta viene elabora e il server ti manda la risposta.

Immaginiamo tutte queste richieste fatte all’ennesima potenza da parte di migliaia e migliaia di computer sparsi per il mondo (ovviamente la maggior parte dei computer sono infetti)…lascio a voi le conclusioni.

Chi gestisce la difesa ha attivato subito tutti i sistemi che servono a mitigare gli accessi da parte degli ip intercettati sospetti.

Leggendo un bollettino del “Computer Security Incident Response Team (Csirt)” reperibile a questo link.

Che azioni dobbiamo intraprendere per difenderci?

Dotarsi di opportuni sistemi di protezione contro attacchi DDOS di tipo volumetrico, al fine di proteggere i propri sistemi da attacchi applicativi di tipo “Slow HTTP”, si consiglia di applicare le seguenti azioni di mitigazione:

  • rifiutare le connessioni con metodi HTTP non supportati dall’URL;
  • limitare l’intestazione e il corpo del messaggio a una lunghezza minima ragionevole. Per URL specifici, impostare limiti più severi e appropriati per ogni risorsa che accetta un body del messaggio;
  • impostare un timeout di connessione assoluto, ove possibile, utilizzando le statistiche di connessione (ad es. un timeout leggermente maggiore della durata media delle connessioni dovrebbe soddisfare la maggior parte dei client legittimi);
  • utilizzare un backlog di connessioni in sospeso. Esso consente al server di mantenere le connessioni che non è pronto ad accettare, bloccando di conseguenza un attacco Slow HTTP più ampio, oltre a dare agli utenti legittimi la possibilità di essere serviti sotto carico elevato. Se il server supporta un backlog, si consiglia di renderlo ragionevolmente grande in modo che il proprio server web possa gestire un attacco di lieve entità;
  • definire la velocità minima dei dati in entrata e bloccare le connessioni che sono più lente della velocità impostata. Si evidenzia di fare attenzione a non impostare il valore minimo troppo basso per non bloccare le connessioni legittime;
  • attivare gli strumenti di protezione da questa tipologia di attacco disponibili tramite dispositivi di sicurezza quali Web Application Firewall e Next Generation Firewall L7.

Ti aspetto sul mio canale Youtube dove potrai trovare diversa documentazione

https://www.youtube.com/channel/UCiaypVH2IpMKxhuU5VI4nlQ

hacking

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.