Nonostante i continui allarmi diffusi dagli esperti di sicurezza e dai media, la curiosità umana rende l’utente vulnerabile a minacce basate su storage USB.
Qualsiasi sia la forma scelta, un attacco condotto via USB prevede che una persona inconsapevole connetta un oggetto compromesso a un computer. Nel caso delle cosiddette USB drop, i criminali distribuiscono fisicamente chiavette USB infette in zone prossime al loro obiettivo, e aspettano che una persona raccolga il supporto e lo colleghi. È una strategia che può sembrare attendista, ma la combinazione tra tecnologia e ingegneria sociale è particolarmente efficace.
Infatti, una ricerca condotta nel 2016 sulle USB drop ha rivelato un tasso di successo stimato variabile tra il 45% e il 98%. Nel corso di un esperimento controllato, i ricercatori hanno lasciato quasi 300 chiavette USB nei pressi del campus della University of Illinois, a Urbana-Champaign.
I risultati sono stati degni di nota: la gente ha raccolto il 98% delle chiavette e ha aperto uno o più file sul 45% di esse. Quindi, se un criminale lasciasse 10 chiavette USB vicino alla vostra sede, quante di queste potrebbero essere raccolte? E cosa succederebbe se in quattro o cinque casi i file contenuti venissero aperti, come la ricerca farebbe immaginare?
Sarebbe rassicurante poter affermare che gli studenti, o in generale lo staff che ha raccolto e collegato le chiavette, non fossero formati a sufficienza, ma non è questo il caso. Le loro risposte a un questionario sui comportamenti in tema di sicurezza non hanno messo in luce apprezzabili differenze tra chi ha collegato un flash drive e il resto del campione.
Secondo lo studio, la prima spinta a inserire la chiavetta USB nel computer sarebbe di tipo altruistico: gli utenti speravano di individuare il proprietario per potergli restituire il supporto. Ma, una volta collegata la chiavetta, quasi la metà delle persone si è fatta prendere dalla curiosità, andando ad aprire file potenzialmente interessanti – come le foto delle vacanze – prima di cercare il proprietario del drive. Gli hacker possono nominare i singoli file in modo da stimolare curiosità – si tratta di una potente tecnica di ingegneria sociale.
Quindi, cosa si può fare per ridurre il rischio di attacchi via USB rivolti alla propria azienda?Quello che raccomandiamo è un approccio preventivo: verificare la potenziale vulnerabilità degli utenti a questi attacchi, spiegando loro come dispositivi USB compromessi possano causare infezioni al sistema e perdite di dati, e insegnando come evitare tutto questo.
Ci sono soluzioni che consentono di identificare chi raccoglie e utilizza supporti USB non identificati, fornendo dati utili sulla vulnerabilità di un’organizzazione rispetto a un attacco di tipo USB drop. Dopo aver lasciato un certo numero di chiavette USB attorno alla sede, è possibile tenere traccia di quali drive vengono aperti tramite una piattaforma dedicata. Gli attacchi USB simulati sono un modo eccellente per elevare rapidamente il livello di consapevolezza alla minaccia e rendere gli utenti più ricettivi rispetto a una formazione specifica sull’ingegneria sociale e sulla protezione dei dati. Con l’incremento nella diffusione dei supporti USB – e la parallela crescita di dispositivi IoT e connessi – ridurre il rischio di questi attacchi è importante per elevare il livello di cybersecurity complessivo di un’azienda.
