La sicurezza informatica di un soggetto pubblico o privato è messa in pericolo da pendrive tanto innocue all’apparenza quanto distruttive. È infatti molto diffuso il fenomeno del baiting (o “adescamento”).

L’autore di questo attacco informatico lascia una pendrive o altro dispositivo USB contenenti malware in punti strategici, poniamo, di un’azienda. Un incauto dipendente prima o poi lo raccoglierà e lo collegherà a un dispositivo di lavoro, con i pericoli per la sicurezza che vedremo più avanti. Prima però cerchiamo di capire meglio come funziona il baiting.

Il baiting e i suoi aspetti psicologici

Come tipico del social engineering, o ingegneria sociale, anche con il baiting si viola la sicurezza di un sistema informatico facendo leva su emozioni e atteggiamenti propri dell’essere umano, che siano postivi o negativi.

Si pensi alle mail di phishing. Queste possono far leva tanto sulla paura dell’utente, inducendolo a cliccare su un link a rischio perché farlo è presentato come necessario per evitare una situazione spiacevole – ad esempio il blocco del proprio conto bancario – ma anche sul piacere che può provocare una lettera d’amore recapitata nella propria casella di posta. Il secondo esempio descrive il modo in cui si propagò nel 2000 il virus ILOVEYOU, tra i più distruttivi di sempre.

Nel caso specifico del baiting, gli attaccanti forzano l’accesso alla rete di un ente facendo leva sull’innato istinto di curiosità dell’uomo. A quest’ultimo si aggiunge a volte il sincero desiderio di ritrovare il legittimo proprietario della chiavetta dispersa.

È scientificamente provato: la gente inserisce nei propri pc pendrive trovate a terra!

In effetti, secondo uno studio del 2016, condotto congiuntamente da Google, Università del Michigan e Università dell’Illinois, su 297 pendrive abbandonate in un campus di quest’ultima, il 98% è stato ritrovato e il 45% collegato ad un dispositivo, con un tasso di successo del 50%.

Dallo stesso studio si ricava che il 68% di quanti raccolsero le pendrive lo fecero per il già richiamato desiderio di scoprirne il proprietario. Interessanti, e vagamente preoccupanti, anche i dati che lo studio propone riguardo alle precauzioni prese prima di inserire la chiavetta in un dispositivo: appena il 16% degli utenti effettuò una scansione antivirus della periferica, mentre quasi il 70% affermò di non aver preso alcun tipo di precauzione.

Anche le ricerche accademiche, dunque, dipingono un quadro in cui è molto probabile che il dipendente di un soggetto pubblico o privato ceda alla tentazione di raccogliere una chiavetta trovata per caso. E le possibilità che questo accada aumentano ulteriormente grazie alle accortezze che gli attaccanti mettono in pratica per rendere più attraente agli occhi della vittima la pendrive “smarrita”, come apporvi scritte – come “riservato” o “confidenziale” – tali da far credere che contenga informazioni appetibili. Decisiva anche la scelta del luogo del ritrovamento, di norma un punto – come un parcheggio – in cui la vittima si sentirà al riparo dagli sguardi altrui.

I rischi per la sicurezza

In seguito arriverà l’inserimento della pendrive in un dispositivo aziendale. Ed è qui che si annidano i maggiori pericoli per la sicurezza dell’azienda medesima. Infatti, una volta dentro, il malware contenuto nella chiavetta USB può produrre conseguenze più o meno gravi ma sempre significative. Vediamone alcune.

Innanzitutto, la periferica potrebbe contenere un ransomware. Si tratta di un programma malevolo in grado di cifrare i dati presenti nella rete in cui penetra. Le chiavi di decrittazione sono nella disponibilità degli attaccanti, disposti a consegnarle alle vittime solo dietro pagamento, normalmente in criptovaluta, di un riscatto (in inglese, appunto, ransom). Non pagare – che rimane comunque la scelta giusta da fare (qui il nostro articolo su come gestire questo tipo di violazioni) – equivale per la vittima a perdere i dati oggetto di cifratura.

Ancora, la chiavetta incautamente inserita potrebbe essere vettore di un keylogger, ovvero un sistema in grado di registrare ogni battitura dell’utente sulla tastiera. Quest’ultimo finirà così per esporre agli attaccanti, tra le altre cose, le credenziali d’accesso a vari suoi account. In qualche modo simile il caso in cui il malware contenuto nel dispositivo USB porti all’attivazione della videocamera del PC della vittima, come mostrato in questo video.

Un ulteriore possibilità è poi quella che la pendrive malevola sia una cosiddetta USB Killer. In tal caso, essa sarebbe in grado di rimandare indietro, potenziandolo di 40 volte, l’impulso di corrente che normalmente una pendrive riceve da un computer. Quest’ultimo si troverà così in sovraccarico di corrente e finirà per disattivarsi completamente.

Come si vede tratta in tutti i casi di minacce potenzialmente distruttive, che originano da una innocua pendrive.

Occorre a questo punto comprendere come difendersi.

Le misure di sicurezza contro le pendrive malevole

Per la prevenzione del baiting, sono centrali misure di sicurezza tecniche e organizzative, per riprendere l’espressione presente nel GDPR.

In ambito tecnologico, costituisce misura di “security by design” disattivare nei sistemi aziendali l’esecuzione automatica dei contenuti di un dispositivo USB. A questa si potrà affiancare un buon antivirus per eseguire la preventiva scansione del contenuto della pendrive dopo averla inserita. Inoltre, esistono software che, anche in presenza dell’esecuzione automatica, “sterilizzano” la chiavetta infetta.

Ma le misure di sicurezza tecnologica intervengono quando metà del “guaio” già si è consumato. Ciò che bisogna evitare è che la pendrive a rischio venga raccolta ed inserita in un dispositivo e comprometta la sicurezza dei sistemi aziendali. Pertanto diventa fondamentale per un buon titolare del trattamento investire in misure organizzative. Queste ultime, tutt’altro che parenti povere di quelle tecniche, sono la prima linea di difesa contro l’ingegneria sociale. Intervengono infatti sul fattore umano, vero anello debole della sicurezza informatica.

Nel caso specifico del baiting, sarà bene organizzare campagne di formazione e sensibilizzazione dei dipendenti sul tema. Sarà poi utile definire cosa fare nel caso di ritrovamento casuale di chiavette USB. Si potrà ad esempio richiedere ai dipendenti di consegnarle, dopo il ritrovamento, a personale qualificato che ne valuti l’affidabilità. Solo all’esito positivo di questa analisi di sicurezza, la pendrive potrà essere collegata alla rete aziendale.