Attacco USB Drop

Cos’è Attacco USB Drop?

Un attacco USB drop e una tecnica di ingegneria sociale in cui gli attaccanti lasciano chiavette USB infette in luoghi dove i dipendenti bersaglio le troveranno e le collegheranno probabilmente, come parcheggi, hall, sale pausa e sale conferenze. Uno studio del 2016 condotto da ricercatori dell'Universita dell'Illinois ha rilevato che il 48% delle chiavette USB lasciate e stato collegato a computer, con la prima chiavetta connessa entro sei minuti dal posizionamento. Nonostante anni di campagne di consapevolezza sulla sicurezza, la curiosita e il desiderio di essere d'aiuto continuano a prevalere sulla cautela. In questa simulazione, trovi una chiavetta USB con un'etichetta allettante: 'Dati Stipendi Q4', 'Riservato' o il nome di un dirigente aziendale. L'esercizio ti permette di sperimentare cosa succede quando quella chiavetta viene collegata. Alcuni attacchi USB utilizzano script autorun che eseguono malware nel momento in cui la chiavetta viene connessa. Altri si basano sull'utente che apre un file che sembra un documento ma in realta installa un trojan ad accesso remoto. Attacchi piu avanzati utilizzano dispositivi USB Rubber Ducky che emulano una tastiera e digitano comandi alla velocita della macchina, compromettendo il sistema in meno di 10 secondi senza alcuna interazione dell'utente oltre al collegamento. Imparerai la risposta corretta quando trovi un dispositivo USB non identificato: non collegarlo, non tentare di identificare il proprietario visualizzandone il contenuto, e segnalarlo al tuo team di sicurezza IT immediatamente. L'esercizio copre anche le policy organizzative per i supporti rimovibili, inclusa la disabilitazione delle porte USB sulle postazioni di lavoro dove non sono necessarie, l'implementazione del rilevamento degli endpoint che segnala nuove connessioni USB e il mantenimento di un elenco di dispositivi approvati per i dipendenti che necessitano di archiviazione rimovibile per scopi lavorativi legittimi.

Cosa imparerai in Attacco USB Drop

• Riconoscere gli attacchi USB drop come una tecnica deliberata di ingegneria sociale che sfrutta la curiosita umana e il desiderio di essere d'aiuto
• Seguire il protocollo di risposta corretto per i dispositivi USB trovati: non collegare, non ispezionare il contenuto, segnalare immediatamente alla sicurezza IT
• Spiegare come funzionano i diversi vettori di attacco USB, dal malware autorun e i documenti trojanizzati all'iniezione di tasti del USB Rubber Ducky
• Identificare le posizioni ad alto rischio dove gli attacchi USB drop vengono comunemente organizzati, inclusi parcheggi, hall, sale conferenze e spazi condivisi
• Supportare le policy organizzative sui supporti rimovibili incluse le restrizioni delle porte USB, gli avvisi di rilevamento degli endpoint e i registri dei dispositivi approvati

Attacco USB Drop — Fasi della formazione

1. Una scoperta mattutina

   È martedì mattina. Alice prende il caffè e si dirige nel suo ufficio a casa per iniziare la giornata lavorativa. Mentre attraversa l'atrio del condominio, qualcosa attira la sua attenzione sul pavimento vicino alle cassette della posta. Un'elegante unità USB nera con un'etichetta dall'aspetto ufficiale: 'CONFIDENTIAL - Q4 Salary Review - HR Only'

2. La tentazione

   Alice riprende il viaggio, stuzzicata la curiosità. Qualcuno del suo edificio deve lavorare nella sua azienda o forse un concorrente? Sa che dovrebbe consegnarlo all'IT, ma... 'Prima controllerò cosa c'è sopra', pensa. 'Se si tratta davvero di dati relativi alle risorse umane, dovrei verificare che siano nostri prima di consegnarli.'

3. Avviso antivirus

   Windows riconosce l'unità USB. Si apre Esplora file che mostra diversi file: Q4_Salary_Review_2024.xlsx Employee_Performance_Rankings.pdf Compensation_Adjustments.docx All'improvviso viene visualizzato un avviso antivirus: il sistema ha rilevato contenuti sospetti sull'unità.

4. Apertura del file

   Alice respinge l'avvertimento, convinta che sia un falso positivo. Il foglio di calcolo dello stipendio è proprio lì, promettendo risposte alle domande di cui tutti sussurrano. Fa doppio clic sul file Excel. Si apre con un avviso di sicurezza: 'Le macro sono state disabilitate.' Il contenuto è nascosto dietro un messaggio che chiede di abilitare le macro.

5. La crittografia

   Nel momento in cui Alice fa clic su 'Abilita contenuto', la macro dannosa viene eseguita. Una finestra del prompt dei comandi lampeggia brevemente sullo schermo. Il disco rigido inizia a girare. In pochi secondi, il ransomware crittografa silenziosamente ogni file sul suo computer: documenti, foto, progetti, tutto.

6. Controllo dei suoi file

   Qualcosa sembra sbagliato. Il computer di Alice sembra lento e il disco rigido è ancora in funzione. Le si forma un nodo freddo allo stomaco. Si precipita a controllare i suoi importanti documenti di lavoro: il rapporto trimestrale su cui lavora da settimane.

7. La richiesta di riscatto

   Invece del suo rapporto trimestrale, appare una terrificante schermata di riscatto. Un'icona di blocco rossa luminosa. Un timer per il conto alla rovescia. Una richiesta per 0,5 Bitcoin. Ogni singolo file sul suo computer - documenti, foto, progetti - è stato crittografato dal ransomware. Gli aggressori chiedono un pagamento per sbloccare i suoi dati.

8. Risposta immediata

   Il cuore di Alice sprofonda quando si rende conto della gravità della situazione. Tutti i suoi file - progetti di lavoro, documenti personali, tutto - sono ora crittografati e tenuti in ostaggio. Ricorda dalla formazione sulla sicurezza: la prima priorità è impedire che il malware si diffonda su altri dispositivi nella rete.

9. Controllo dei danni

   Alice spegne immediatamente il suo PC per evitare che il ransomware si diffonda ulteriormente. Si ricorda del corso sulla sicurezza: prima disconnettiti, poi fai domande. Si sposta sul suo portatile di riserva per segnalare l'incidente. Il team di sicurezza deve saperlo immediatamente.

10. Presentazione della relazione

    Alice apre il modulo di segnalazione degli incidenti di sicurezza. La totale onestà è fondamentale: anche se ha commesso un errore, denunciarlo rapidamente può limitare il danno. Documenta tutto: dove ha trovato la chiavetta USB, cosa ne ha fatto e l'infezione da ransomware.