Attacco Watering Hole: tutto quello che devi sapere

Attacco Watering hole: tutto quello che devi sapere

Abbiamo sentito parlare milioni di volte della minaccia phishing, l’attacco attraverso il quale un hacker spedisce centinaia di messaggi e-mail ingannevoli che inducono la vittima a rivelare alcuni dati sensibili tra cui:

credenziali,
dati anagrafici,
dati di recapito,
credenziali per l’accesso bancario
codici di accesso a strumenti elettronici.

Molti sono diventati bravi a riconoscere una qualsiasi truffa e-mail quando se la trovano davanti ma che dire delle nuove minacce?! Considerato che la cultura e le tecnologie a disposizione dei criminali informatici non hanno limite, sappiamo con certezza che ci sarà sempre una branca di questi attacchi che andrà verso la nuova metodologia del water hole o watering hole.

I primi esempi di questi attacchi così sofisticati risalgono al 2008, ma si sono intensificati nell’ultimo periodo.

Abbiamo deciso, a tal proposito, di scrivere un articolo dedicato a questa particolare minaccia. A maggior ragione durante l’ultimo anno e mezzo di pandemia, molti siti web hanno subito gli effetti di questa tecnica letale.

Siete pronti?
Ecco il nostro articolo Attacco Watering hole: tutto quello che devi sapere.

Watering hole: Indice degli argomenti

Definizione
Che cos’è
Perché viene definito water hole
Come nasce e si sviluppa l’attacco
Quali virus si servono di questa tecnica
Qual è l’obiettivo dell’attacco
Come prevenire gli attacchi
Difendersi dal watering hole

Watering hole: definizione di una nuova categoria di attacchi informatici

Che cos’è un attacco “Watering hole”

Molti di voi non ne avranno mai sentito parlare: il watering hole è la nuova tendenza di attacchi informatici contro i siti web.

Il watering hole in informatica è una tecnica impiegata dal cyber crime per colpire un gruppo determinato di utenti finali infettando i siti web che questi visitano più di frequente. Nella fattispecie, il watering hole viene definito come l’evoluzione del phishing e del social engineering. Il pirata informatico studia attentamente i comportamenti degli utenti mentre navigano online (un gruppo definito) per poi attrarli con la loro stessa curiosità. In particolare, gli hacker verificano quali siti web normalmente vengono visitati dal gruppo di vittime: a quali risorse attingono e solo successivamente, colpire proprio quei siti anche se appartenenti ad aziende attendibili.

La particolarità degli attacchi watering hole consiste nel fare in modo che siano proprio le vittime a cercare l’agente malevolo presente sul sito web. Non è più l’hacker che ne sollecita la visita attraverso l’invio di e-mail, come accade nelle campagne di phishing.

Nel complesso, gli attacchi di watering hole risultano estremamente complessi da identificare perché richiedono l’analisi di un team di esperti in cyber security con esperienza decennale.

Perché viene definito watering hole attack o attacco al luogo di abbeveraggio

Letteralmente, il significato di watering hole è proprio pozza d’acqua.

Per capire la logica di questa affermazione pensate ai documentari che tanto amate guardare sugli animali della savana. Avete mai assistito alla scena che si svolge attorno alle pozze d’acqua nel bel mezzo della savana?!

Mentre molti mammiferi erbivori si avvicinano per abbeverarsi allo specchio d’acqua i predatori li attaccano.
Ebbene, il principio è il medesimo.

Non è più l’attaccate che tenta di attirare l’attenzione della vittima o addirittura inviandole un malware via e-mail, è la stessa vittima che si avvicina al luogo colpito dal criminale informatico (in questo caso al sito web infetto) rendendosi vulnerabile.

Watering hole: come si sviluppa l’attacco

Un watering hole attack parte sempre con lo studio di un gruppo di utenti e della loro attività online.
L’attacco può essere mirato ad esempio ad un gruppo di avvocati che visita il sito dell’ordine degli avvocati di una città, o addirittura, l’attaccante può colpire direttamente il nome di una nota azienda creando un clone del suo sito e attirando a sé gli utenti che normalmente vi transitano.

Ad ogni modo, i criminali normalmente iniziano a studiare e profilare ogni possibilità di guadagno in riferimento ad un gruppo di utenti: prendono di mira forum, chat pubbliche, siti web di professionisti, conferenze online di settore. Una volta stabilito che ne vale davvero la pena, l’aggressore sceglie il sito web che questi gruppi di utenti tendono a visitare più di frequente. Solo successivamente, l’attaccante o il gruppo di attaccanti cerca una vulnerabilità all’interno del sito, crea un exploit per comprometterlo e infine, lo infetta.

Il codice malevolo che viene introdotto solitamente è formato da stringhe di HTML o JavaScript.

Normalmente, soprattutto se il sito web colpito ha una certa rilevanza, l’hacker provvede a reindirizza le vittime su un secondo sito Web contraffatto che ospita un malware.

Esiste una variante del watering hole nel quale il criminale informatico consegna e installa malware senza che la vittima se ne accorga: noto come attacco drive-by. La buona riuscita di un attacco di watering hole dipende anche dal tipo di vulnerabilità sfruttata dall’attaccante: ebbene sì, se l’attaccante riesce a sfruttare la presenza di una vulnerabilità zero-day le probabilità che l’attacco riesca sono molto più elevate.

Quali virus informatici vengono inseriti tramite il watering hole

In genere, dopo che l’hacker è riuscito a penetrare all’interno del sito web vittima, riesce ad introdurre malware di tipo RAT (ovvero, trojan ad acceso remoto) che permettono all’attaccante di accedere da remoto al sito web colpito.

Qual è l’obiettivo dell’attacco watering hole?

Considerato che si tratta di un attacco informatico di recente scoperta resta ancora oggi complesso definire quale sia l’obiettivo dell’attaccante che sfrutta i watering hole.

Tuttavia, possiamo dire che gli obiettivo del watering hole sono generalmente industriali. se un determinato sito web viene visualizzato da molte persone di un’azienda quasi sicuramente sarà preso di mira dagli attaccanti.

Come prevenire gli attacchi

Oggi, per identificare e prevenire ogni genere di attacco watering hole, gli esperti consigliano sempre di implementare soluzioni sofisticate di monitoraggio delle vulnerabilità di siti web. In altre parole, richiedere un Vulnerability Assessment Web può rivelarsi utile per identificare tutti i punti deboli delle infrastrutture web di riferimento.
Tuttavia, esistono anche delle best practice da applicare al fine di evitare di cadere preda di attacchi di questa categoria.

Eccoli dunque:

Web Vulnerability Assessment regolari: consiglio principe poiché pensiamo che le organizzazioni debbano testare con regolarità le soluzioni di sicurezza implementate. Ciò garantisce che gli utenti navighino sempre sul web in modo sicuro.
Protezione avanzata dalle minacce: ogni organizzazione dovrebbe implementare soluzioni di sicurezza informatica capaci di proteggere le infrastrutture dai vettori degli attacchi.
Aggiornamenti di sistema e software continuativi: una best practice essenziale è aggiornare con regolarità i sistemi e il software. Questo permette di installare le patch del sistema operativo non appena vengono rese disponibili dalla casa madre.
Chiedi al tuo tecnico IT di trattate tutto il traffico come non attendibile: in altre parole, scansiona e monitora costantemente il traffico web. Dobbiamo entrare nell’ottica che le organizzazioni devono considerare tutto il traffico come non attendibile fino a prova contraria.
Insegnare agli utenti a riconoscere comportamenti strani ed evitare violazioni.

Difendersi da un attacco di watering hole

Identificare e reprimere la minaccia

Come abbiamo precedentemente affermato, riconoscere un attacco di water hole è estremamente complicato. Non esistono, al momento attuale, dei segnali inequivocabili che stabiliscono che siete stati attaccati. Certamente, possiamo suggerirvi che solo mantenendo sotto controllo la sicurezza del vostro sito web potrete difendervi dal watering hole.

Cyberment – azienda cybersecurity di Milano

Cyberment è un’azienda specializzata in consulenza di sicurezza informatica.

Il nostro team di specialisti cyber security vanta un’esperienza decennale nel settore e ci occupiamo di identificare le vulnerabilità informatiche nei sistemi informatici e nelle applicazioni web.

Cyberment ha 3 sedi dalle quali studia con costanza l’evoluzione delle minacce informatiche: Milano, Mantova e Londra. Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci e parlaci dei problemi della tua azienda.

Autore articolo
Gli ultimi articoli

Arianna Rigoni

Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.