Cosa sono gli attacchi di Mousejacking e come difendersi

Come funziona il Mousejacking

Brian ha eseguito un pentest per dimostrare che questo semplice attacco può avere conseguenze devastanti. Tutto ciò che è servito per entrare nella rete è stato un dispositivo economico e un payload facilmente realizzabile.

Quando digiti sulla tua tastiera wireless o muovi il tuo mouse senza fili, le informazioni che descrivono le azioni vengono inviate senza fili al dongle USB collegato al tuo computer. In un attacco di mousejacking, il dispositivo dell'attaccante scandisce i pacchetti wireless che vengono inviati; quando ne trova uno, può impersonare il mouse o la tastiera e inviare i propri segnali al dongle. Potresti notare che qualcosa di strano sta accadendo, come se ci fossero battiture aggiuntive o il tuo mouse si muovesse in modo inaspettato, ma potrebbe essere già troppo tardi; anche solo alcuni tasti premuti o clic del mouse potrebbero essere sufficienti per eseguire un attacco, come installare malware o copiare file dal tuo computer.

L'attaccante non ha nemmeno bisogno di essere fisicamente vicino per prendere il controllo di un computer: l'attacco può essere eseguito fino a 100 metri di distanza. Tuttavia, solo le workstation in funzione possono essere compromesse.

Active Directory a rischio

Quindi, quali danni potrebbe causare un attacco di mousejacking? Da un lato, l'attaccante può intercettare i tasti digitati mentre vengono trasmessi a un dongle USB, molto simile a un programma keylogger. Di conseguenza, l'attaccante potrebbe essere in grado di carpire dati sensibili come i tuoi nomi utente, password e le risposte alle domande di sicurezza, così come informazioni personali quali i numeri delle tue carte di credito. Dall'altro lato, l'attaccante può inviare tasti al tuo computer come se li avessi digitati tu. Utilizzando l'iniezione di tasti, gli aggressori possono installare rootkit o installare malware che consente loro di ottenere un punto d'appoggio nella tua rete.

Contenuti correlati selezionati:

• [Guida Gratuita] Best Practices per la sicurezza di Active Directory

Lo scenario peggiore è un attacco di mousejacking su un account amministrativo — potrebbe compromettere la tua rete tramite Active Directory. Se sei connesso con un account Domain Admin, ad esempio, un mousejacker potrebbe utilizzare l'iniezione di tasti per creare nuovi utenti e aggiungerli al gruppo Domain Admins nella Active Directory della tua azienda, ottenendo così un controllo e accesso praticamente illimitati alla tua rete.

Infatti, i rischi sono così elevati che quando Brian ha mostrato ai suoi clienti i risultati dei test di penetrazione, hanno deciso di cambiare la loro politica riguardo l'uso dei dispositivi wireless.

Metodi di difesa

Molte tastiere e mouse popolari sono a rischio, quindi la prima cosa che devi fare è controllare se hai dispositivi vulnerabili.Qui puoi verificare l'elenco dei dispositivi noti per essere suscettibili agli attacchi di mousejacking. Questa vulnerabilità può essere risolta solo dal lato del produttore, quindi tutto ciò che puoi fare è sostituire ogni dispositivo vulnerabile con uno sicuro.

Nel frattempo, assicurati di seguire la migliore pratica di bloccare il computer quando ti allontani, anche solo per un paio di minuti. Ricordi quanto velocemente può essere eseguito un attacco di mousejacking? Se lasci il computer sbloccato mentre ti allontani per prendere un caffè, un hacker ha diversi minuti per sfruttare la vulnerabilità e compromettere la tua rete senza essere notato.

La prossima cosa che dovresti fare è chiederti se sapresti persino di essere stato attaccato. Quanto tempo ci vorrebbe per notare l'attacco? Potresti rispondere abbastanza velocemente da minimizzare i danni?

Contenuto correlato selezionato:

• [Guida Gratuita] Migliori pratiche per le politiche di audit

Una strategia essenziale per difendersi dal mousejacking — e anche da altri attacchi — è monitorare le modifiche al proprio Active Directory, in particolare l'aggiunta di membri a gruppi altamente privilegiati come i Domain Admins. Ricevere avvisi su modifiche critiche ti permette di annullare rapidamente le modifiche inappropriate, bloccando così gli attacchi nelle loro fasi iniziali e limitandone l'impatto.