Intro
Possiamo definire il social engineering come un metodo di intrusione non tecnico.
Usando i rapporti interpersonali e con particolari accorgimenti si cerca di estorcere
quante più informazioni possibili alla persona identificata come "target" cercando così
di bypassare le procedure di sicurezza.
Obiettivo del social engineer
L'obiettivo è di ottenere informazioni (codici di accesso, password) che permettano di guadagnare l'accesso non autorizzato ad un sistema ed alle informazioni che vi risiedono.
Strategia del social engineer
Chi decide di usare il social engineering per introdursi in una rete, cercherà di ottenere la fiducia di qualcuno che è autorizzato ad accedere alla rete stessa ed a convincerlo a rivelare quante più informazioni utili a compromettere il sistema. Si punta spesso sulla "spontaneità" delle persone, magari facendo leva sulle loro debolezze o sulla loro vanità. Gli obiettivi presi in contropiede, svelano informazioni, che in altro contesto mai avrebbero rivelato.
Profilo del target
Generalmente il target è l'elemento più debole della catena di sicurezza.
Il social engineer, gioca spesso sul fatto, che non tutte le persone hanno una cultura basata sull'IT.
Quindi, non sono informate sul valore delle informazioni che possiedono e soprattutto non sono attente alla loro protezione.
Chi colpire e perché
Gli obiettivi tipici includono le aziende telefoniche, i call center, le società di rilievo nazionale o internazionale, le istituzioni politiche o finanziarie, le strutture militari e gli ospedali.
L'attacco è portato per guadagnare l'accesso non autorizzato ai sistemi o alle informazioni, per commettere frode, per spionaggio militare o industriale, per furto di identità o semplicemente per interrompere il sistema o la rete.
Tipi di attacco
Gli attacchi di social engineering sfruttano due approcci fondamentali: quello fisico e quello psicologico.
Esempio di approccio fisico è ad esempio è cercare di introdursi sul posto di lavoro, fingendo di essere un operaio o un consulente in materia di manutenzione che hanno accesso all' azienda.
Si attraversano gli uffici alla scoperta di quante più informazioni possibili.
Un approccio psicologico via telefono è senz'altro il metodo di spacciarsi per un'autorità conosciuta in azienda
come l'ad , il caposervizio IT, ecc.. e chiedendo con queste credenziali le info che servono.
I servizi d'assistenza sono particolarmente soggetti a questo tipo di attacco perchè vulnerabili, in quanto il compito
di aiutare i clienti è una caratteristica di questo lavoro, ed è sfruttata al meglio dai social engineers.
Infatti gli impiegati del servizio d'assistenza sono addestrati per essere amichevoli ed a fornire informazioni, caratteristiche
che calzano alla perfezione per un tentativo di attacco di social engineering.
La maggior parte dei impiegati del servizio d'assistenza non pensano alla sicurezza perché il loro compito è
rispondere alle domande del cliente.
Trashing
E' un metodo molto conosciuto di social engineering, che alterna un primo approccio fisico ad un secondo prettamente psicologico.
Infatti una quantità di informazioni enorme può essere raccolta tramite i rifiuti dell'azienda.
La fase per così dire "fisica" consiste nel frugare nei rifiuti e raccogliere quanto più materiale possibile: elenchi interni del telefono, tabelle organizzative, appunti, manuali di politica aziendale, calendari delle riunioni, eventi e vacanze, tabulati di dati o nomi, dischi e nastri.
Queste fonti possono fornire innumerevoli informazioni.
Ad esempio:
- gli elenchi del telefono possono rivelare i nomi ed i numeri di possibili target;
- gli organigrammi contengono le informazioni su chi occupa posizioni di autorità
- i manuali di politica aziendale possono mostrare quanto è realmente sicura l'azienda;
- i calendari possono dire quali impiegati sono in azienda e per quanto tempo;
- i supporti, come dischi e nastri, possono nascondere utili info tecniche.
In un secondo tempo, tutte queste informazioni saranno usate dal social engineer per la parte psicologica dell'attacco con le modalità viste in precedenza.
Reverse social engineering
E' un metodo più sofisticato del precedente.
In questo caso si cercherà di creare un personaggio con una posizione di autorità o che gode di piena fiducia nell'azienda, in modo che siano gli impiegati stessi a fornire informazioni, del tutto spontaneamente. (l'opposto di quello che abbiamo visto fino ad ora).
Se progettati ed eseguiti bene, gli attacchi di reverse social engineering possono offrire probabilità ancora maggiori nell'ottenere informazioni.
Ribadisco che questo metodo necessita di una accurata preparazione.
Un attacco di reverse social engineering si può teoricamente ripartire in tre parti.
1) creare il problema;
2) proporsi come risolutore del problema;
3) essere chiamati a risolvere il problema.
Ad esempio.
Sabotaggio di una rete.
Mediante pubblicità o direttamente ci si propone come il contatto giusto per risolvere il problema.
Quando si è chiamati per riparare il problema della rete, si chiederanno determinate informazioni agli impiegati.
Saranno proprio le stesse informazioni chieste per aiutarli, che verranno utilizzate in seguito dal social engineer per lo scopo che si è prefisso.
Condiderazioni
Si può affermare che più la nostra cultura diventa dipendente dalle informazioni, più il social engineering resta la minaccia più grande a tutto il sistema di sicurezza.
Per contrastare questo tipo di minaccia è di fondamentale importanza la prevenzione.
La prevenzione deve includere l'istruzione della persone circa il valore delle informazioni, l'addestramento per proteggerle e soprattutto informare le persone di come i social engineers agiscono.
| Per
informazioni contattare staff@cybercrimes.it
Il logo cybercrimes.it e le immagini relative sono di proprietà del sito. La documentazione presente nel sito è soggetta alla licenza Creative Commons ed è quindi liberamente riproducibile riportando il nome dell'autore originale. |
