Punto di vista dell'attaccante e OSINT
Guardare profili, documenti e tracce pubbliche con occhi diversi per capire come nasce una truffa credibile.
Obiettivi e quadro pratico
Al termine di questo modulo, il partecipante sarà in grado di:
- 01
capire perché molti attacchi iniziano dalla raccolta di informazioni pubbliche.
- 02
spiegare che cos’è l’OSINT con esempi semplici e non tecnici.
- 03
distinguere uso lecito e uso malevolo delle informazioni disponibili online.
- 04
riconoscere dettagli personali e aziendali che possono rendere credibile una truffa.
- 05
valutare social, siti, foto, documenti e vecchi account come fonti informative.
- 06
ridurre l’esposizione personale e aziendale con controlli pratici prima di pubblicare.
6.1 Introduzione: perché studiare il punto di vista dell’attaccante
Per difendersi meglio è utile capire come ragiona un attaccante. Molte persone immaginano l’attacco informatico come qualcosa di esclusivamente tecnico: qualcuno che supera firewall, entra in un server, installa malware o sfrutta vulnerabilità difficili da comprendere. Questi scenari esistono, ma non sono l’unico modo in cui un attacco può iniziare.
Molti attacchi partono da una fase più silenziosa: la raccolta di informazioni. Prima di inviare una falsa email, telefonare fingendosi un tecnico o costruire una richiesta fraudolenta, un attaccante può cercare dati su persone, aziende, ruoli, fornitori, strumenti usati, abitudini operative e documenti pubblici.
L’obiettivo è rendere il messaggio credibile. Una comunicazione generica può sembrare sospetta; una comunicazione che cita un fornitore reale, una persona reale, una scadenza plausibile e un’attività effettivamente svolta dall’azienda può invece apparire normale.
Studiare il punto di vista dell’attaccante non significa diventare sospettosi di tutto. Significa capire quali dettagli pubblici possono essere usati fuori contesto.
6.1.1 L’attaccante cerca spesso la strada più semplice
Un principio pratico della sicurezza è che l’attaccante cerca spesso la strada più semplice. Se è più facile convincere una persona a cliccare un link, comunicare una password o autorizzare un pagamento, può scegliere questa strada invece di tentare un attacco tecnico complesso.
Per ingannare meglio una persona, le informazioni sono fondamentali. Sapere chi lavora in amministrazione, quale fornitore collabora con l’azienda, quale email riceve richieste esterne o quale gestionale viene citato in un annuncio rende una truffa più credibile.
La raccolta di informazioni serve quindi a personalizzare l’attacco. Non sempre serve entrare in un sistema: a volte basta sembrare abbastanza credibili da far agire la vittima in fretta.
Falsa richiesta di cambio IBAN
Una falsa richiesta di cambio IBAN che cita un fornitore reale e arriva alla casella amministrativa corretta ha molte più possibilità di essere presa sul serio rispetto a un messaggio generico.
6.1.2 Esempio introduttivo: una falsa richiesta credibile
Immaginiamo un’azienda con un ufficio amministrativo. Sul sito sono pubblicati il nome dell’azienda, l’email amministrazione, alcuni nomi del team, casi studio con clienti, notizie su collaborazioni e foto di eventi aziendali. Nessuna di queste informazioni, da sola, sembra necessariamente pericolosa.
Un attaccante può però unirle e scrivere un messaggio credibile: “Buongiorno, come concordato con la direzione, vi chiediamo di aggiornare l’IBAN per i prossimi pagamenti. Vista la chiusura contabile del mese, vi chiediamo di procedere entro oggi”. Il tono è professionale, il destinatario è plausibile, il contesto sembra coerente e l’urgenza spinge ad agire.
La difesa non consiste nel capire “a occhio” se l’email è falsa. Una comunicazione costruita bene può sembrare reale. La difesa più efficace è una procedura: nessun cambio IBAN, pagamento o modifica di dati sensibili deve essere accettato solo sulla base di un’email.
Le informazioni pubbliche non sono il problema in sé. Il rischio nasce quando molti dettagli veri vengono combinati per costruire una richiesta falsa ma plausibile.
6.2 Che cos’è l’OSINT
OSINT significa Open Source Intelligence, ciòè raccolta e analisi di informazioni provenienti da fonti aperte. Per fonti aperte si intendono fonti accessibili pubblicamente o consultabili senza violare account, sistemi informatici o aree riservate.
Le fonti possono essere siti web, motori di ricerca, social network, profili professionali, registri pubblici, comunicati stampa, articoli, documenti PDF, brochure, curriculum, forum, recensioni, annunci di lavoro, foto, video, pagine aziendali e materiali promozionali.
L’OSINT non è automaticamente illegale o negativa. È una metodologia. Può essere usata da giornalisti, ricercatori, aziende, professionisti della sicurezza o cittadini che vogliono verificare informazioni. Può però essere usata anche da criminali per preparare phishing, truffe, impersonificazioni o furti d’identità.
Il punto non è eliminare ogni informazione pubblica. Il punto è sapere che ciò che pubblichi può essere letto anche da persone con intenzioni diverse dalle tue.
6.2.1 Uso lecito e uso malevolo dell’OSINT
L’OSINT ha molti usi legittimi. Un giornalista può raccogliere informazioni per un’inchiesta, un’azienda può analizzare il mercato, un candidato può studiare un’organizzazione prima di un colloquio, un cliente può verificare un fornitore e un professionista della sicurezza può valutare l’esposizione pubblica di un’azienda.
La stessa tecnica può però diventare dannosa quando serve a costruire email personalizzate, fingere di essere un collega o un fornitore, preparare truffe con falsi pagamenti, individuare persone che gestiscono bonifici, raccogliere dettagli per furto d’identità o creare profili falsi più credibili.
La differenza sta nello scopo, nel contesto e nel modo in cui le informazioni vengono usate. Un dato pubblicato per presentare un servizio può essere riutilizzato per imitare quel servizio; un nome pubblicato per trasparenza può essere usato per impersonare una persona.
“Se è pubblico, allora non è un problema.” Non sempre. Un’informazione pubblica può essere innocua nel contesto originale e rischiosa quando viene combinata con altre.
6.2.2 Quali informazioni può cercare un attaccante su una persona
Su una persona, un attaccante può cercare nome, cognome, email, telefono, città, luogo di lavoro, ruolo professionale, colleghi, familiari esposti pubblicamente, interessi, abitudini, luoghi frequentati, foto, viaggi, eventi, data di nascita, vecchi account, curriculum e commenti pubblici.
Molte informazioni sembrano normali. In alcuni contesti è naturale che siano pubbliche. Il rischio nasce quando vengono usate per rendere credibile un contatto, indovinare una risposta di sicurezza, costruire un messaggio personalizzato o capire quando una persona è assente.
Se una persona pubblica spesso il nome del proprio animale e poi usa quel nome in una password o in una domanda di sicurezza, l’informazione diventa utile a un attaccante. Se pubblica vacanze in tempo reale, può rivelare assenza da casa o indisponibilità a verificare richieste di lavoro.
Prima di pubblicare un dettaglio personale, chiediti se potrebbe aiutare qualcuno a fingersi un conoscente, indovinare qualcosa su di te o costruire una truffa più credibile.
6.2.3 Quali informazioni può cercare un attaccante su un’azienda
Su un’azienda, un attaccante può cercare dominio, indirizzi email, numeri di telefono, nomi e ruoli dei dipendenti, reparto amministrativo, commerciale o acquisti, organigramma, sedi, clienti, fornitori, partner, tecnologie usate, software citati in annunci, portali di accesso, documenti pubblicati, immagini degli uffici e procedure descritte indirettamente online.
Molte informazioni vengono pubblicate per motivi legittimi: marketing, recruiting, vendita, assistenza, trasparenza e comunicazione. Il problema nasce quando i dettagli diventano eccessivi o non necessari, come nomi di responsabili collegati a procedure critiche, strumenti interni troppo specifici o foto con dati sullo sfondo.
Un annuncio di lavoro che elenca tutti i software usati internamente può aiutare i candidati, ma anche chi vuole imitare un servizio. Una foto dell’ufficio può raccontare un evento, ma anche mostrare una lavagna con clienti e scadenze.
La comunicazione aziendale deve vendere e informare, ma non deve regalare procedure, strumenti e punti deboli a chi vuole simulare un contesto interno.
6.2.5 Siti web aziendali
Il sito web aziendale è una fonte naturale di informazioni. È normale che contenga descrizione dell’attività, servizi, contatti, sede, orari, form, casi studio, notizie e figure chiave quando serve. Un sito deve comunicare, vendere, informare e creare fiducia.
Proprio perché è pubblico, va controllato anche dal punto di vista dell’esposizione. Email personali pubblicate senza necessità, dettagli eccessivi sui ruoli, PDF con metadati, vecchie pagine, nomi di clienti non autorizzati, informazioni tecniche troppo specifiche e immagini con dettagli interni possono aumentare il rischio.
Il controllo del sito non deve essere solo grafico o commerciale. Deve includere ciò che il sito rivela: documenti scaricabili, contenuti vecchi, form, immagini, nomi, indirizzi, procedure indirette e informazioni tecniche.
Pianifica una revisione periodica del sito aziendale: ciò che era utile pubblicare due anni fa potrebbe non esserlo più oggi.
6.2.6 Documenti pubblicati online
I documenti pubblicati online possono contenere più informazioni del previsto. PDF, presentazioni, brochure, moduli, listini, regolamenti, manuali, curriculum, documenti amministrativi e file convertiti da Office possono portare con sé autore, data di creazione, software usato, commenti, revisioni, nomi di revisori, percorsi locali e vecchie versioni.
Il contenuto visibile può essere corretto, ma i metadati o le revisioni possono rivelare dettagli non destinati al pubblico. Anche il nome del file può comunicare troppo, soprattutto se contiene nomi interni, versioni provvisorie o riferimenti a clienti.
Prima di pubblicare un documento bisogna chiedersi se contiene dati personali non necessari, metadati, commenti, revisioni, allegati non pertinenti, informazioni interne o una durata di pubblicazione non definita.
PDF pubblico con metadati interni
Un PDF informativo pubblicato sul sito conserva nei metadati il nome dell’autore e il percorso interno della cartella. Il documento sembra neutro, ma rivela informazioni sull’organizzazione.
6.2.7 Foto, video e dettagli visivi
Foto e video possono rivelare informazioni senza che ce ne accorgiamo. Badge, documenti sulla scrivania, schermi visibili, lavagne, targhe, etichette su pacchi, QR code, post-it, layout dell’ufficio, dispositivi usati, nomi di clienti, indirizzi, minori e luoghi privati possono entrare nell’immagine anche se non sono il soggetto principale.
In azienda, una foto pubblicata per raccontare un evento può esporre dati riservati. Nella vita personale, una foto può mostrare casa, scuola dei figli, routine, oggetti di valore o luoghi frequentati abitualmente.
La soluzione non è evitare ogni immagine, ma controllare ciò che si vede. Prima di pubblicare, bisogna guardare sfondo, schermi, lavagne, riflessi, badge, documenti e persone presenti. Se serve, si taglia, si oscura o si rinuncia alla pubblicazione.
6.2.8 Email esposte e caselle generiche
Molte aziende usano indirizzi email prevedibili, come nome.cognome, iniziale e cognome, oppure caselle generiche come info, amministrazione, contabilità, acquisti e supporto. È normale e spesso necessario, ma rende più semplice costruire elenchi di destinatari plausibili.
Le caselle generiche sono bersagli naturali perché ricevono comunicazioni dall’esterno, allegati, richieste operative, ordini, fatture e messaggi da clienti o fornitori. Possono essere gestite da più persone e quindi avere processi meno chiari.
Queste caselle vanno protette con MFA, procedure per allegati e link, formazione specifica e regole chiare per richieste di pagamento, cambio IBAN, documenti riservati o comunicazioni urgenti.
Una casella generica non deve essere considerata meno importante solo perché non appartiene a una persona. Spesso è proprio il punto più esposto dell’organizzazione.
6.2.9 Dati trapelati e vecchi account
Non tutte le informazioni usate dagli attaccanti provengono da ciò che pubblichiamo oggi. Possono arrivare da vecchi account, servizi violati, database finiti online, forum dimenticati, vecchi profili social, documenti caricati anni prima, backup non controllati o email pubblicate in passato.
Un vecchio account può contenere password riutilizzate, email di recupero ancora valide, messaggi privati, dati aziendali inseriti per errore o collegamenti ad altri servizi. Anche se non viene più usato, può restare utile per chi cerca informazioni.
Ridurre il rischio significa chiudere account non più usati quando possibile, cambiare password riutilizzate, controllare vecchi servizi importanti, rimuovere documenti non necessari, aggiornare email e numeri di recupero e non riutilizzare vecchie password.
“È un account vecchio, quindi non importa.” Un account vecchio può essere ancora collegato a recuperi, dati personali o password usate altrove.
6.3 Come le informazioni raccolte diventano un attacco
Le informazioni raccolte tramite OSINT diventano pericolose quando vengono trasformate in una storia credibile. L’attaccante trova su LinkedIn chi lavora in amministrazione, sul sito aziendale la casella dell’ufficio, sui social una collaborazione con un fornitore e in un documento pubblico il formato usato per le comunicazioni.
A quel punto può inviare una falsa email fingendosi il fornitore, chiedere un pagamento urgente o proporre un cambio IBAN. Il messaggio contiene elementi reali, quindi supera il primo filtro mentale: sembra coerente con il lavoro quotidiano.
Questo tipo di attacco non richiede necessariamente grandi competenze tecniche. Richiede pazienza, raccolta di informazioni e capacità di manipolare fiducia, urgenza e abitudine.
Truffa costruita con informazioni vere
Una richiesta fraudolenta diventa più credibile quando non inventa tutto: usa nomi veri, ruoli veri, eventi veri e un tono simile a quello delle comunicazioni reali.
6.3.1 Ridurre l’esposizione personale
Ridurre l’esposizione personale non significa sparire da Internet. Significa scegliere meglio che cosa rendere pubblico, con chi condividerlo e per quanto tempo lasciarlo visibile.
È utile controllare impostazioni privacy dei social, limitare la visibilità dei post personali, evitare documenti, biglietti, badge o codici, non pubblicare dettagli eccessivi su figli, scuola, casa e routine, evitare pubblicazioni in tempo reale su spostamenti delicati e controllare vecchi profili o vecchi post.
Bisogna anche evitare di usare informazioni pubbliche in password o risposte di sicurezza. Se un dettaglio è visibile online, non dovrebbe proteggere un account.
Esposizione pubblica personale
Cerca il tuo nome online e osserva i primi risultati. Chiediti quali informazioni sono utili, quali sono superflue e quali potrebbero aiutare qualcuno a scrivere un messaggio più credibile.
6.3.2 Ridurre l’esposizione aziendale
Anche un’azienda può ridurre l’esposizione senza smettere di comunicare. L’obiettivo non è nascondere l’organizzazione, ma pubblicare in modo consapevole e controllare periodicamente ciò che resta online.
Serve controllare sito web, social, documenti scaricabili, foto, video, annunci di lavoro, email pubbliche, vecchie pagine, metadati e contenuti non più aggiornati. Vanno protette caselle generiche e account esposti, formate le persone che ricevono comunicazioni esterne e definite procedure per pagamenti, cambio IBAN e richieste insolite.
Gli annunci di lavoro meritano attenzione: devono essere utili ai candidati, ma non rivelare dettagli tecnici o procedure interne non necessarie. Lo stesso vale per casi studio, foto di eventi e materiali commerciali.
Definisci chi può approvare contenuti pubblici aziendali e quali controlli deve fare prima della pubblicazione.
6.4 Procedura pratica: controllo dell’esposizione personale
Una procedura semplice aiuta a trasformare il controllo dell’esposizione personale in un’abitudine. Non serve fare analisi complicate: basta guardare ciò che è visibile dall’esterno con occhi più critici.
Questo controllo non va fatto una volta sola. Informazioni, profili e impostazioni cambiano nel tempo.
6.4.1 Procedura pratica: controllo dell’esposizione aziendale
Anche l’azienda può fare un controllo base della propria esposizione. È utile cercare il nome dell’organizzazione online, controllare sito, social, vecchie pagine, PDF scaricabili, email pubbliche, documenti, foto, video e annunci di lavoro.
Bisogna verificare se i documenti contengono metadati o informazioni non necessarie, se le foto mostrano uffici, badge, lavagne o schermi, se gli annunci rivelano dettagli tecnici e se esiste una procedura per approvare contenuti pubblici.
Il controllo dovrebbe includere anche le procedure: cosa succede se arriva una richiesta di cambio IBAN? Chi verifica un pagamento urgente? Chi approva la pubblicazione di un documento? Chi rimuove contenuti vecchi?
6.4.2 Checklist: prima di pubblicare un contenuto personale
Prima di pubblicare un contenuto personale, è utile fermarsi pochi secondi. Non tutto ciò che si può pubblicare deve essere pubblico, immediato e visibile a chiunque.
Revisione dei vecchi post
Scegli tre vecchi post e valuta se oggi li pubblicheresti ancora nello stesso modo, con la stessa visibilità e nello stesso momento.
6.4.3 Checklist: prima di pubblicare un contenuto aziendale
Prima di pubblicare un contenuto aziendale, il controllo deve essere ancora più ordinato. Un singolo contenuto può coinvolgere clienti, fornitori, colleghi, procedure, documenti, strumenti e reputazione.
Un dettaglio isolato sembra innocuo. Molti dettagli insieme diventano un profilo: nome, ruolo, email, fornitore, foto dell’ufficio, software usato, scadenze e abitudini possono costruire un messaggio molto credibile.
“È online, quindi ormai non importa.” Il fatto che un’informazione sia già online non significa che debba restarci. Rimuovere o limitare vecchi contenuti riduce comunque il rischio.
Etichetta della pressione
Definisci una procedura in cinque passaggi per verificare una richiesta urgente di cambio IBAN ricevuta via email. Deve includere controllo del mittente, verifica su canale diverso, uso di contatti già noti, coinvolgimento di un responsabile e segnalazione della richiesta sospetta.
Molti attacchi non iniziano con una violazione tecnica, ma con informazioni pubbliche raccolte e combinate. L’OSINT può essere lecita e utile, ma può anche rendere più credibili phishing, truffe e impersonificazioni. La regola da portare con sé è semplice: pubblica solo ciò che serve davvero e considera che ogni informazione pubblica può essere usata anche fuori dal contesto previsto.