Whaling, il malware che bussa al CEO

C’è un malware che passa per i social network, ed un malware che passa per la porta principale. C’è un attacco che arriva alla segretaria, ed un altro che arriva direttamente sulle scrivanie che contano. Il termine nuovo è quello del “Whaling” e Trend Micro ne ha descritto l’insorgere paragonandolo ad una sorta di ‘caccia alla balena’.

Inutile pescare tanti pesci piccoli, insomma, quando è possibile catturarne uno solo grosso. Invece di puntare al dipendente per poi accedere alla rete aziendale, insomma, è sufficiente un attacco mirato che punti al pc del CEO per poi passare tramite il computer più importante di tutta la rete: quello del “boss”. « Il fenomeno desta preoccupazione perché i criminali informatici riescono ad accedere più facilmente alle informazioni preziose per portare a termine le loro attività illecite. Ciò avviene grazie a tecniche sempre più raffinate per sottrarre database da siti aziendali compromessi, ma anche grazie alle informazioni rese pubbliche dai dipendenti stessi sui siti di Social Networking come LinkedIn e MySpace».

Tentare di colpire un target ben identificato permette di gestire al meglio il processo di attacco: mail ottimizzata allo scopo, indirizzi selezionati, minor traffico di invio, minori rischi al cospetto degli spam filter. Così facendo si riesce a raggiungere la casella di posta dell’amministratore delegato di turno, e spesso è questa la parte più complessa. Dopodiché si può agire sapendo di avere sottomano un utente magari non particolarmente ferrato sui problemi di sicurezza, presumibilmente occupato, sicuramente concentrato su questioni fondamentali per la salute dell’azienda. «Il fine principale è infettare i computer delle vittime con keylogger, programmi in grado di intercettare tutto ciò che un utente digita su una tastiera, quindi anche tutte le informazioni importanti come username e password interne, documenti riservati, e se l’utente utilizza il PC per operazioni di home banking, possono essere carpite tutte le credenziali per accedere al conto bancario e anche tutte le informazioni relative alle varie operazioni bancarie».

Secondo Trend Micro i primi attacchi di questo tipo risalgono al 2006, ma «uno dei casi più clamorosi è quello che, nell’aprile del 2008, ha coinvolto ben 20.000 CEO di aziende statunitensi che si sono visti recapitare un messaggio email contenente un falso ordine di comparizione in tribunale […] Coloro che cliccavano sul link per visualizzare maggiori dettagli sulla presunta causa legale erano rimandati a un sito fasullo della Corte americana dove venivano invitati a scaricare e installare un plug-in per browser necessario a visualizzare correttamente i documenti. Se si accettava l’invito, si scaricava in realtà un software di backdoor e keylogging che provvedeva a sottrarre le credenziali di log-in utilizzate sui siti Web delle banche». Un esempio similare partiva da un sito fasullo della Tax Court americana, notificando problemi nel pagamento delle tasse.

Il problema sembra coinvolgere ad oggi soprattutto la realtà USA (maggiormente esposta soprattutto a causa della maggiore apertura dei massimi dirigenti alle realtà dei social network), ma Trend Micro sottolinea come il Whaling abbia già trovato attaccati all’amo i primi “pesci grossi”: «senza scendere nel dettaglio, possiamo dire che episodi di whaling hanno coinvolto gli Executive delle aziende “Fortune 100” e i massimi dirigenti di banche europee».