SICUREZZA INFORMATICA

Baiting: cos’è e come funziona l’attacco sferrato usando una chiavetta USB contenente malware

Il baiting è una tecnica di social engineering che, sfruttando la curiosità delle persone, consente ai criminal hacker di sferrare un attacco verso un’azienda usando un dispositivo di memorizzazione infetto, come ad esempio una chiavetta USB “abbandonata” in posti strategici. Ecco i dettagli e come difendersi

Pubblicato il 10 Apr 2020

Luigi Gobbi

ICT Security Manager

baiting social engineering

Il baiting (letteralmente: adescamento) è una particolare tecnica di ingegneria sociale che prevede l’utilizzo di un dispositivo di memorizzazione infetto, come ad esempio una chiavetta USB contenente malware, per sferrare un attacco informatico nei confronti di un’azienda.

La tecnica è molto semplice. Il dispositivo infetto, opportunamente camuffato dal cyber criminale, viene lasciato incustodito in una posizione strategica nei pressi o all’interno dell’azienda target, dove è probabile che verrà notato da uno o più dipendenti, suscitando l’interesse di questi ultimi e inducendoli a esplorarne il contenuto sul proprio computer aziendale.

A questo punto il danno è fatto: non appena il dispositivo verrà collegato al computer, infatti, il programma malevolo si auto-eseguirà su quest’ultimo, infettandolo e consegnandolo direttamente nelle mani del cyber criminale, il quale sarà quindi libero di muoversi indisturbato all’interno della rete aziendale e di perseguire le proprie illecite finalità.

Ciò che rende il baiting una delle minacce informatiche più subdole e pericolose è proprio lo specifico aspetto psicologico su cui gli attaccanti provano a fare leva: la curiosità. Si tratta di un istinto innato e fortemente radicato nella natura umana, i cui impulsi possono risultare molto difficili da controllare per molti di noi.

Un esempio di attacco baiting

Proviamo ad immedesimarci nel più classico scenario di un attacco baiting.

Immaginiamo, ad esempio, che un cyber criminale abbia posizionato una chiavetta USB contenente malware nel parcheggio di un’azienda. Ipotizziamo inoltre che il malintenzionato abbia personalizzato la chiavetta collegandola ad un portachiavi con il logo dell’azienda stessa e apponendovi un’etichetta adesiva con la scritta “Buste paga dipendenti” o magari “Licenziamenti 2020”.

Come si comporterebbe, dunque, un ipotetico dipendente che transitando all’interno del parcheggio dovesse notare l’oggetto incustodito? In quanti rinuncerebbero alla possibilità di sbirciare tra gli stipendi dei propri colleghi o di scoprire se il proprio nome compare nel file dei futuri licenziamenti? E soprattutto, in quanti assocerebbero a quell’oggetto dall’aria tanto familiare una minaccia in grado di compromettere gravemente la sicurezza informatica della loro azienda?

In pochi, obiettivamente, anzi in pochissimi.

La triste realtà è che la stragrande maggioranza di individui, di fronte allo scenario appena descritto, farebbe la scelta sbagliata portando con sé la chiavetta, collegandola al proprio PC e aprendo così le porte dell’azienda ai cyber criminali, con tanto di inchino di benvenuto.

Da uno studio condotto sul tema dal Dipartimento della sicurezza interna degli Stati Uniti d’America è emerso addirittura che circa Il 90% delle persone collegherebbe un’unità USB sconosciuta al proprio computer semplicemente per il fatto che su questa appaia un logo dall’aspetto ufficiale.

Sono dati allarmanti, confermati pienamente dalla recente diffusione di tale minaccia.

Le variabili di un attacco baiting

Organizzare un attacco baiting, insomma, è relativamente semplice e le variabili che un attaccante deve tenere sotto controllo sono essenzialmente tre:

  1. legittimità: è fondamentale che l’esca non susciti nella vittima un senso di pericolo. Incollare sul device infetto un adesivo con il logo aziendale è un semplice, efficace ed utilizzatissimo escamotage per far sì che lo stesso risulti familiare agli occhi della vittima;
  2. curiosità: è ovviamente necessario che l’esca stimoli la curiosità della vittima. Il modo più semplice (e preferito dai cyber criminali) per farlo è di apporre sul dispositivo infetto un’etichetta con frasi o termini ad effetto, quali ad esempio “Riservato” oppure “Confidenziale”, tali da suscitare nella vittima un immediato interesse;
  3. posizionamento: la scelta su dove collocare l’esca è determinante. Un esempio di posizionamento strategico potrebbe essere il parcheggio dell’azienda, magari vicino alla macchina di un determinato dipendente così da aumentare la probabilità che venga notato proprio da quest’ultimo. Il parcheggio è inoltre un luogo in cui la vittima, essendo lontana da occhi indiscreti, potrebbe essere più propensa ad assecondare la propria curiosità a discapito del buonsenso. Per gli stessi motivi, altri luoghi strategici potrebbero essere i bagni o gli ascensori aziendali.

Quando la minaccia proviene dall’interno

Negli ultimi anni, data l’estrema facilità con cui è divenuto possibile realizzare o procurarsi un dispositivo di memorizzazione infetto, sono aumentati notevolmente i casi di baiting sferrati dall’interno delle aziende.

Si tratta di attacchi estremamente mirati, condotti da uno o più dipendenti per le più disparate finalità, quali ad esempio recare danno ad un collega con il quale si è in competizione, vendicarsi nei confronti di un superiore per un torto subito, raccogliere informazioni confidenziali sull’azienda per poi rivenderle alla concorrenza, danneggiare la reputazione del brand aziendale e così via.

Tali attacchi, se ci pensiamo, possono risultare perfino più accurati e letali di quelli sferrati da cyber criminali esterni. Chi sferra un attacco di baiting all’interno della propria azienda, infatti, avendo familiarità con il luogo di lavoro e conoscendo gli spostamenti routinari dei colleghi, sarà in grado di valutare la posizione perfetta dove collocare la propria “esca”, massimizzando la probabilità di attirare l’attenzione della vittima prescelta.

L’attaccante, inoltre, conoscendo il carattere e la sensibilità della vittima avrà modo di giocare con la psicologia e l’emotività di quest’ultima, e di riuscire con relativa facilità a stimolarne la curiosità. Un attacco baiting interno ben congegnato, insomma, avrà una probabilità di successo estremamente alta.

Come difendersi

Il baiting è una minaccia informatica particolarmente subdola, che non prevede il contatto diretto con la vittima e contro la quale le comuni misure di sicurezza quali firewall, strong authentication ma anche la grande maggioranza dei software antivirus risultano semplicemente inefficaci.

Come fare, dunque, per evitare di cadere vittime di tali attacchi?

Per quanto riguarda le misure di sicurezza tecniche alcuni (a dire il vero pochi) software antivirus consentono di monitorare le connessioni USB e quindi possono essere utili per evitare la diffusione di malware contenuti in dispositivi di questo tipo.

Tuttavia, nel caso del baiting le misure di sicurezza più efficaci sono quelle di tipo organizzativo quali formazione e sensibilizzazione, ancor meglio se supportate da una o più policy o procedure specifiche.

È innanzitutto fondamentale, infatti, che l’azienda renda consapevoli i dipendenti della minaccia baiting, e più in generale di tutte le minacce legate all’ingegneria sociale. Oltre alla diffusione di consapevolezza è importante che i dipendenti vengano responsabilizzati del fatto che le loro scelte e i loro comportamenti potrebbero compromettere gravemente la sicurezza aziendale. È importante quindi che ogni dipendente si senta parte attiva della difesa informatica della propria azienda.

Infine, regolamentare con una policy specifica l’utilizzo di supporti removibili in azienda, sia interni che esterni, e in particolare la procedura da seguire in caso di ritrovamento di un dispositivo sconosciuto può fare la differenza. La prassi, in questi casi, dovrebbe essere quella di non collegare il device, anche se apparentemente legittimo, alle reti aziendali ma di consegnarlo direttamente nelle mani dell’Ufficio Information Security, o di quello IT, così da consentire al personale qualificato di valutarne ed eventualmente confermarne l’attendibilità.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Who's Who

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Prossimo

Ymir, il ransomware fantasma che ruba dati e credenziali dei dipendenti: come mitigarlo