Negli ultimi anni si è registrato un aumento significativo degli attacchi informatici ai danni delle infrastrutture digitali, in particolare a quelle aziendali. Le cause sono principalmente da ricercarsi negli accessi non autorizzati, ottenuti attraverso tecniche sempre più sofisticate impiegate dai cybercriminali per individuare e sfruttare punti deboli nei sistemi. Sebbene molte di queste si siano sviluppate solo in tempi recenti, esistono tecniche nate negli anni addietro che, nonostante il tempo trascorso, continuano a rivelarsi sorprendentemente efficaci.
Una di queste è il wardialing, una tecnica di attacco risalente addirittura ai primi anni Ottanta. Il wardialing consiste nel comporre automaticamente una lunga serie di numeri telefonici allo scopo di individuare quelli collegati a dispositivi di rete, come modem, fax o sistemi BBS (Bulletin Board System). L’obiettivo finale è individuare potenziali punti di accesso nei dispositivi vulnerabili per penetrare all’interno delle infrastrutture informatiche.
In questo articolo, gli esperti di Cyberment analizzano cos’è il wardialing, come funziona e come si è evoluto nel tempo. Verranno inoltre approfonditi i principali rischi associati a questa minaccia e illustrate le più efficaci strategie di prevenzione e difesa per proteggere le infrastrutture digitali da questo tipo di attacco.
Origini del wardialing
«Il termine wardialing trae origine dal film del 1983 Wargames, in cui il protagonista utilizza il proprio computer per chiamare, uno dopo l’altro, tutti i numeri telefonici della città di Sunnyvale, in California. Questo per localizzare i sistemi informatici della Protovision, un’azienda fittizia di videogiochi, e accedere ai suoi server. Il film contribuì a rendere popolare questa tecnica, ispirando numerosi hacker anche nella vita reale.
In quegli anni, inoltre, diverse aziende inizarono a commercializzare software noti come War Games Autodialer per i computer dell’epoca, che automatizzavano la composizione seriale dei numeri. In breve, le aziende dotate di molte linee telefoniche numerate in sequenza, in particolare quelle che adottavano sistemi Centrex, divennero tra le più esposte, poiché ricevevano un flusso continuo di chiamate automatiche generate da questi strumenti.
Come funziona il wardialing
I cybercriminali utilizzano diversi programmi per comporre automaticamente un’ampia gamma di numeri telefonici. Il software di wardialing compone uno per volta i numeri sconosciuti e rimane in attesa di una risposta. Se questa è ricevuta e proviene da un utente umano, allora la ignora, chiude immediatamente la chiamata e compone il numero successivo. Se invece ottiene un segnale tipico di un modem, o di un fax, riconoscibile tramite suoni specifici, il numero viene segnalato come potenziale entry point.
A questo punto, gli attaccanti cercano di identificare il tipo di dispositivo connesso alla rete, come: access server, unix server, RAS, o altro. Quindi tentano di accedervi sfruttando attacchi di tipo password guessing, password predefinite o vulnerabilità di configurazione.
Nel wardialing l’automazione è l’elemento cardine, poiché permette agli attaccanti di comporre migliaia di numeri all’interno di una specifica area con metodo e precisione. La capacità di identificare dispositivi senza alcun intervento umano, rende la tecnica non solo molto pericolosa, ma anche terribilmente efficace, specialmente se rivolto a infrastrutture non adeguatamente protette.
Il wardialing oggi
Gli ultimi anni hanno permesso al wardialing di estendersi anche ai moderni sistemi di comunicazione. In particolare, è risultato molto efficace nell’individuazione di:
- Numeri VoIP o schede SIM vulnerabili da sfruttare per intercettare conversazioni o eseguire frodi telefoniche;
- Sistemi PBX (Private Branch Exchange) malconfigurati o sprovvisti di autenticazione sicura.
Di conseguenza, i software di wardialing si sono evoluti per adattarsi a queste tecnologie, aumentando la velocità e l’efficienza nella composizione e nell’analisi dei numeri. Tra quelli maggiormente diffusi troviamo WarVOX, una piattaforma open source capace di rilevare sistemi che rispondono alle chiamate, per poi avviare operazioni di analisi o tentativi di exploit.
Altri strumenti di utilizzo comune includono THC-Scan, WarDialer e ToneLoc, specializzati principalmente nell’identificazione di modem dial-in e dispositivi analoghi. Molti attaccanti utilizzano il wardialing in tandem con il caller ID spoofing, mascherando l’origine delle chiamate con numeri apparentemente legittimi, in modo da aumentare le probabilità di successo.
Tuttavia, il wardialing può essere anche uno strumento di difesa, in particolare nelle operazioni di blue team. I team di sicurezza possono eseguire una scansione della propria rete telefonica interna per individuare dispositivi non autorizzati o mal configurati, migliorando così la robustezza della propria infrastruttura.
Principali rischi del wardialing
Come abbiamo potuto vedere, il wardialing è una minaccia non indifferente per le aziende, proprio perché permette ai cybercriminali di individuare i dispositivi vulnerabili esposti in rete. Una volta che questo è sfruttato, l’attaccante accede senza autorizzazione alle infrastrutture digitali, potendo così muoversi lateralmente nella rete interna e violare i sistemi più importanti.
L’intrusione comporta l’esfiltrazione di dati sensibili e informazioni riservate, generando data breach di vasta portata. In parallelo, l’elevato volume di chiamate automatiche tipico del wardialing sovraccarica le linee telefoniche, ostacolando il regolare svolgimento delle attività aziendali e provocando disservizi interni. Il problema è principalmente riscontrato nei reparti che fanno uso intensivo delle comunicazioni telefoniche.
Al danno operativo si sommano inevitabilmente le conseguenze finanziarie e reputazionali. Infatti, le aziende vittime di un attacco sono soggette non solo ai costi di mitigazione, ma anche a sanzioni per violazione delle normative sulla protezione dei dati. La fiducia viene poi compromessa, in quanto un’azienda che subisce un attacco, si dimostra incapace di proteggere i dati di clienti, partner e investitori.
Prevenzione e difesa
Per difendersi dal wardialing è necessario applicare alcune linee guida di prevenzione per proteggere le proprie linee telefoniche e la propria infrastruttura di rete. In particolare, si raccomanda di:
- Monitorare costantemente i propri sistemi.
Scansionare e monitorare le proprie linee telefoniche, anche mediante operazioni di penetration test e vulnerability assessment, aiutano ad identificare potenziali vulnerabilità prima che possano essere sfruttate da attori malevoli
- Disattivare tutti modem non utilizzati.
In questo modo si impedisce agli attaccanti di individuare all’interno di questi dispositivi entry point utilizzabili per penetrare all’interno delle infrastrutture digitali.
- Implementare forti misure di autenticazione.
L’autenticazione multifattore (MFA) e protocolli di navigazione sicura, aiutano a proteggere le proprie reti e i propri sistemi da potenziali accessi non autorizzati.
- Formare i propri dipendenti.
Educare i propri impiegati sui quali sono i rischi del wardialing e sull’importanza di proteggere le linee telefoniche e gli access point di rete aiuta gli impiegati stessi a rilevare e prevenire questo tipo di minaccia.»
https://cyberment.it/cyber-attacchi/wardialing-attacco-telefonico-cybersecurity/
