La ricognizione pre-attacco (o Recon, la prima delle 7 fasi dello schema Cyber Kill Chain) è l’insieme di attività che un cybercriminale compie per raccogliere informazioni sui potenziali obiettivi, prima dell’effettivo lancio dell’attacco.

In questa fase, un hacker può eseguire diverse azioni: analizza la superficie di attacco per identificare punti vulnerabili ed esamina tutte le parti accessibili di una rete per scoprire possibili punti di ingresso.

Verifica le configurazioni dei servizi esposti per trovare impostazioni errate sfruttabili, come un server mail che permetta l’invio di email da parte di utenti non autorizzati.

Cerca data leak e credenziali esfiltrate nel dark e nel deep web.

Individua, con l’aiuto di strumenti di scansione automatica, server o software di terze parti che presentano vulnerabilità note e non corrette.

Crea domini similari per condurre attacchi di phishing.

Una volta aggregate tutte queste informazioni, le testa per portare a compimento l’attacco.

Proteggersi in questa fase significa impedire ai potenziali aggressori di raccogliere informazioni sensibili sulle criticità dei sistemi e delle reti, riducendo così il rischio di subire attacchi informatici dannosi.

É importante condurre indagini ricorrenti che evidenzino le lacune di un’infrastruttura. Adottare sistemi come le piattaforme di External Attack Surface Management (EASM) che aggregano le informazioni e automatizzano il processo, permette di intervenire in maniera mirata sulle falle anche a chi non ha una specifica expertise in cybersecurity.

Con una buona approssimazione si può affermare che il 93% degli attacchi informatici avvenga non attraverso l’uso di tecniche sofisticate di attacco, ma perché gli attaccanti “trovano” semplicemente un modo per entrare. Avere consapevolezza delle tracce lasciate dietro di sé è cruciale per la sicurezza della nostra rete.