Il Data exfiltration è un fenomeno sempre più diffuso nella società digitale moderna.
Si riferisce al processo in cui i dati sensibili o riservati vengono rubati dai sistemi interni di un’organizzazione e trasferiti ad un destinatario esterno, in genere un’entità malintenzionata.
In questo articolo ne approfondiremo tecniche e modalità d’esecuzione.
- Cos’è il data exfiltration
- Come funziona il data exfiltration
- Le fasi dell’esfiltrazione dati
- Tipi di data exfiltration
- Come prevenirlo
- Conclusioni
Cos’è il data exfiltration
Il Data exfiltration può essere tradotto in italiano come il furto di dati sensibili.
Quello dell’esfiltrazione dati rappresenta una minaccia crescente per le organizzazioni, poiché il volume e la qualità di dati e informazioni che gli hacker possono acquisire e diffondere in rete è in costante aumento.
Ci sono molte cause che possono portare alla Data exfiltration, principalmente legate ad errori umani o vulnerabilità dei sistemi informatici.
Ad esempio:
- un dipendente potrebbe involontariamente inviare un file riservato al destinatario sbagliato
- oppure un hacker potrebbe utilizzare un Trojan o uno spyware per acquisire illecitamente l’accesso alle informazioni di un’organizzazione
Dal momento che la Data exfiltration avviene senza il consenso dell’organizzazione, essa potrebbe avere conseguenze gravi. I dati potrebbero essere utilizzati per scopi illeciti, compresi i tentativi di appropriarsi di segreti commerciali o di informazioni confidenziali dei clienti.
Come funziona il data exfiltration
Questo tipo di attacco può essere fatto attraverso una varietà di metodi, tra cui:
- Trasferimento attraverso reti non autorizzate: gli attaccanti possono sfruttare reti non sicure o non monitorate per trasferire i dati rubati. Ad esempio, possono utilizzare reti Wi-Fi pubbliche o compromettere reti aziendali non protette
- Tunneling: questa tecnica coinvolge l’utilizzo di tunnel criptati per inviare dati da un sistema compromesso a un server remoto controllato dall’attaccante. I protocolli comuni utilizzati per il tunneling includono SSH (Secure Shell), VPN (Virtual Private Network) o protocolli personalizzati
- Uso di protocolli di comunicazione alternativi: gli attaccanti possono sfruttare protocolli di comunicazione diversi da quelli utilizzati normalmente all’interno dell’organizzazione per trasferire i dati rubati. Ad esempio, possono utilizzare il protocollo DNS (Domain Name System) o il protocollo HTTP (Hypertext Transfer Protocol) per mascherare il traffico dei dati esfiltrati
- Utilizzo di servizi di file hosting o condivisione cloud: che consiste nel caricare i dati su servizi di file hosting o condivisione cloud popolari come Dropbox, Google Drive o servizi simili. Questo rende più difficile rilevare l’esfiltrazione dei dati poiché l’attività sembra legittima
- Inserimento di dati in immagini o file audio: in questa tecnica, i dati sensibili vengono nascosti all’interno di immagini o file audio. Gli attaccanti possono utilizzare tecniche di steganografia per incorporare i dati nel contenuto di file multimediali, rendendoli difficili da individuare senza l’uso di strumenti appropriati
- Utilizzo di dispositivi di storage esterni: gli attaccanti possono estrarre i dati tramite dispositivi di storage esterni come chiavette USB, hard disk esterni o schede di memoria. Questi dispositivi possono essere collegati fisicamente al sistema compromesso o rubati e successivamente analizzati per ottenere i dati
- Utilizzo di canali di comunicazione nascosti o non documentati all’interno di un sistema o di una rete consente di trasferire i dati senza il rischio di essere rilevati. Questi canali possono essere creati utilizzando tecniche di programmazione avanzate o sfruttando vulnerabilità specifiche del software
Uno dei nuovi metodi sviluppati dai criminali informatici è quello dell’hacking dei dispositivi connessi all’Internet delle Cose (IoT), come ad esempio i frigoriferi o le smart TV. Questi dispositivi sono diventati sempre più diffusi nelle case e nelle aziende, ma spesso non sono sufficientemente protetti, poiché dotati di password deboli o software obsoleti. In questo modo, i cybercriminali possono facilmente accedere a questi dispositivi e rubare informazioni preziose.
Le fasi dell’esfiltrazione dati
In generale, un attacco di Data Exfiltration inizia con la fase di preparazione, durante la quale l’attaccante identifica l’obiettivo, che può essere un’azienda, un’istituzione governativa o un singolo individuo. In questa fase, l’attaccante cerca di comprendere la struttura e le vulnerabilità dell’obiettivo attraverso:
- il controllo di servizi accessibili da Internet
- l’analisi del traffico di rete
- la ricerca di bug
- testing di software
e altre tecniche per identificare le falle e i punti deboli.
Una volta che l’attaccante ha raccolto informazioni sufficienti, passa alla fase di esecuzione dell’attacco. In questo passaggio, l’attaccante cerca di entrare nella rete dell’obiettivo, sfruttando:
Una volta identificati gli obiettivi, l’intruso cerca di recuperare i dati attraverso
- il download
- la copia dei file
- l’acquisizione di screenshot
e altri metodi di accesso remoto.
A questo punto, l’obiettivo potrebbe non essere a conoscenza che i suoi dati sono stati compromessi. Per nascondere l’attacco, l’hacker aggira il sistema di sicurezza, rimuovendo i log e altre tracce del furto di dati.
Infine, nel tentativo di monetizzare l’informazione ottenuta, l’attaccante può:
- pubblicare i dati rubati sul dark-web
- ricattare l’organizzazione
- danneggiare la reputazione della vittima
- rubare l’identità degli intestatari dei dati esfiltrati
- sottrarre ingenti somme di denaro da conti correnti e carte di credito
Questo tipo di attacco può essere estremamente dannoso per l’obiettivo, che potrebbe affrontare gravi conseguenze legali, finanziarie e reputazionali.
Tipi di data exfiltration
Esistono diversi tipi di data exfiltration, ognuno dei quali utilizza tecniche e metodi finalizzati ad ottenere il controllo dei dati e trasferirli ad una locazione esterna. In questo paragrafo analizzeremo i principali tipi di data exfiltration che si possono incontrare.
- Email-based exfiltration: questo tipo di esfiltrazione riguarda l’utilizzo di e-mail per trasferire i dati. Qui i dati vengono divisi in piccole parti e inviati via email, ai vari destinatari.
- Data exfiltration attraverso Bluetooth: questo è un metodo piuttosto comune per exfiltrare i dati da dispositivi mobili. In questo caso, i dati vengono trasferiti via Bluetooth, a dispositivi appositamente predisposti per la ricezione, o a un dispositivo nelle vicinanze
- Exfiltration attraverso l’utilizzo del Cloud: questo tipo di esfiltrazione dei dati consiste nel caricare i dati su un sistema di storage on-line appositamente predisposto, come una piattaforma di Cloud computing, cui malintenzionato può accedere e scaricare i dati
- Utilizzo di malware: l’utilizzo di software malevolo è un’attività molto comune per le violazioni dei dati. In pratica questo tipo di esfiltrazione prevede l’utilizzo di un software che entra nel sistema e “rubando” i dati
- Esfiltrazione dei dati attraverso la rete interna: questo tipo di esfiltrazione è molto difficile da individuare. In questo caso, infatti, l’attaccante è interno all’organizzazione, il che gli consente di installare un software per esfiltrare i dati attraverso la rete locale, o semplicemente di effettuare operazioni di spionaggio e compromissione dei sistemi dall’interno
Come prevenirlo
Ci sono diverse misure che possono essere prese per prevenire l’esfiltrazione di dati sensibili, tra cui:
- Protezione dei dati: assicurarsi che i dati sensibili siano adeguatamente protetti attraverso l’uso di cifratura e backup regolari
- Controllo degli accessi: limitare l’accesso ai dati solo al personale autorizzato. implementando, ove possibile procedure di autenticazione multi-fattore
- Monitoraggio dell’attività degli utenti: sorvegliare gli accessi ai dati sensibili, log ed eventi, analisi comportamentale e rilevamento delle anomalie
- Politiche di sicurezza: avere una chiara politica di sicurezza per i dati sensibili, con training e formazione del personale sulla sicurezza informatica e procedura di gestione sicura delle password
- Sicurezza del sistema: assicurare che le misure di sicurezza fisiche e tecniche siano in atto per proteggere il sistema, antivirus e firewall aggiornati regolarmente.
- Monitoraggio del traffico di rete: controllare il traffico di rete per rilevare segnali di data exfiltration, impiegando gli IDS
- Piani di incident response: avere pronti piani di risposta agli attacchi informatici che permettano di attuare azioni di mitigazione mirate, qualora i dati venissero violati
- Regole di separazione dei ruoli: limitare il potere di accesso ai dati a personale autorizzato in base a ruoli e responsabilità
Conclusioni
In conclusione, la Data exfiltration rappresenta una grave minaccia per le organizzazioni, e la sua prevenzione è fondamentale per preservare la sicurezza delle informazioni e la competitività dell’azienda.
Con una corretta formazione dei dipendenti, una politica di sicurezza delle informazioni solida e l’utilizzo di strumenti di sicurezza avanzati, le organizzazioni possono proteggere efficacemente i propri dati dalle intromissioni esterne e interne.
- Autore articolo
- Gli ultimi articoli
Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.