Per combattere gli hacker, devi sapere come operano. Cosa fanno effettivamente?
La maggior parte degli hack segue la Lockheed Martin Cyber Kill Chain, un framework di intelligence sviluppato per identificare e prevenire gli attacchi informatici. Il processo inizia con l'ottenimento di informazioni su un potenziale obiettivo e termina con il furto di dati preziosi. Quindi quali sono le fasi che i criminali informatici attraversano quando hackerano un sistema?
La catena di cyber-kill di Lockheed Martin
Sebbene ci siano variazioni al processo, gli hacker in genere seguono il Lockheed Martin Cyber Kill Chain nella loro ricerca per trovare chi hackerare e per effettuare un attacco. La Kill Chain comprende sette passaggi.
1. Ricerca hacker e informazioni sulla raccolta
Il primo passo in un attacco informatico è la ricognizione o la ricerca del bersaglio. Ciò comporta in genere la raccolta di informazioni pubblicamente disponibili su un potenziale obiettivo, inclusi indirizzi e-mail, nomi utente dei social media e record pubblici.
Possono ottenere queste informazioni da fughe di dati o facendo il grugnito se sono interessati a una persona specifica. In quest'ultimo caso, possono ricorrere a metodi più sofisticati come a Attacco Bluetooth o intercettare la rete, detta anche a Attacco Man-in-the-Middle (MITM).. Mentre il primo richiede che l'hacker si trovi nelle immediate vicinanze del bersaglio, il secondo può essere eseguito da remoto utilizzando un software o in loco intercettando il Wi-Fi della vittima.
L'obiettivo finale è imparare il più possibile sugli obiettivi, sui dispositivi che utilizzano, sui sistemi operativi dei dispositivi e sui servizi che utilizzano, tra le altre cose. Le informazioni che ottengono qui possono aiutarli a trovare le vulnerabilità.
Questa fase è chiamata "armamento" nella Cyber Kill Chain. Armati di informazioni sui loro potenziali bersagli, gli hacker assemblano gli strumenti di cui avranno bisogno per l'attacco informatico. Ad esempio, possono creare e nascondere malware nei file che è probabile che il loro obiettivo scarichi.
Potresti pensare a questa fase come ad andare a pescare. L'attrezzatura che dovrai mettere in valigia per pescare in un lago d'acqua dolce sarebbe diversa da quella che ti servirà per pescare nell'oceano. Probabilmente andresti anche con una barca diversa.
3. Gli hacker lanciano la loro rete o esca
Questa fase è chiamata "consegna" nella Kill Chain. Questo passaggio implica indurre il bersaglio a scaricare il malware, invitando fondamentalmente i malintenzionati nella fortezza.
Un modo comune in cui gli hacker lo fanno è inviare e-mail contenenti file dannosi. Il metodo di consegna può anche essere costituito da immagini che ospitano il malware, come si è visto quando gli hacker hanno sfruttato il Immagini del telescopio James Webb per diffondere malware. L'iniezione SQL è un altro modo comune in cui gli hacker distribuiscono malware.
In ogni caso, l'obiettivo è far sì che l'obiettivo scarichi malware sul proprio dispositivo. Il malware prende il sopravvento da qui: si estrae automaticamente e lo inietta nel sistema.
4. Il malware sfrutta una vulnerabilità nel sistema
Il malware prende il sopravvento una volta che si trova sul computer di destinazione. Alcune azioni in background, come Riproduzione automatica USB o multimediale, può attivare il malware per estrarre ed eseguire automaticamente il dispositivo della vittima. Questa fase è chiamata "sfruttamento".
5. Il malware fa ciò per cui è programmato
Questa fase della Kill Chain è chiamata "installazione". Una volta che il malware entra nel sistema (o nella rete di computer), si installa silenziosamente in background, di solito all'insaputa della vittima. Poi, inizia a farlo ricerca delle vulnerabilità nel sistema che concederà all'hacker privilegi di amministratore più elevati.
Il malware stabilisce anche un sistema di comando e controllo con l'hacker. Questo sistema consente all'hacker di ricevere aggiornamenti di stato regolari su come sta procedendo l'hacking. Per metterlo in prospettiva, immagina il sistema di comando e controllo come un ufficiale militare di alto rango che in realtà è una spia. La posizione della spia li mette in condizione di accedere a segreti militari sensibili. Questo stato li rende anche pronti a raccogliere e inviare informazioni rubate senza sospetti.
6. Il sistema spia degli hacker prende il sopravvento e si espande
Il malware in questa fase fa diverse cose per stabilire il suo sistema di comando e controllo, omonimo anche della sesta fase della Kill Chain. In genere, continua a scansionare il sistema alla ricerca di vulnerabilità. Può anche creare gli hacker backdoor possono utilizzare per entrare nel sistema se la vittima scopre il punto di ingresso.
Inoltre, il sistema cerca anche altri dispositivi collegati ai dispositivi compromessi e infetta anche quelli. È come quando tutti in ufficio prendono il comune raffreddore. Se passa abbastanza tempo, nessuno ricorda chi l'ha iniziato esattamente.
7. Saccheggia, distruggi, esci
La fase finale dell'effettivo processo di hacking coinvolge i criminali informatici che utilizzano il loro elevato controllo del dispositivo della vittima per rubare dati sensibili come dettagli di accesso, informazioni sulla carta di credito o file contenenti attività segreti. Un hacker può anche distruggere i file nel sistema, il che è particolarmente pericoloso se la vittima non dispone di backup per i dati che sono stati rubati e distrutti.
Cosa succede di solito dopo un hack?
Nei casi in cui un hacker è stato furtivo riguardo all'attacco, la vittima potrebbe non rendersene conto, fornendo così all'hacker un feed costante di materiale. D'altra parte, se la vittima si rende conto di essere stata hackerata, può rimuovere il malware e chiudere le backdoor che riesce a trovare.
Alcune organizzazioni distruggono i dispositivi compromessi solo per sicurezza. Iniziano anche a neutralizzare l'effetto dell'hack. Ad esempio, se un hacker viola la rete di una banca e ruba i dati della carta di credito, la banca disattiverà immediatamente tutte le carte compromesse.
Nel frattempo, per gli hacker, l'hacking riuscito significa giorno di paga. Possono trattenere la vittima in riscatto, di solito pagato con metodi di pagamento non rintracciabili. Un'altra opzione è vendere i dati rubati ad altri criminali informatici che potrebbero trovarne un uso; dire, rubare l'identità di qualcuno, copiare il loro modello di business o piratare software proprietario.
Puoi prevenire tentativi di hacking
Gli hacker utilizzano diversi modi per trovare potenziali vittime. Alcuni di questi sono passivi e semplici, mentre altri sono attivi e sofisticati. Ma niente panico. Le pratiche online sicure e la limitazione delle informazioni che condividi online possono impedirti di essere un bersaglio. Inoltre, le migliori pratiche e strumenti di sicurezza informatica come VPN e anti-malware possono proteggerti dagli attacchi.
