Social Engineering
La cyber security non dipende solamente da hardware e software, infatti nell’ultimo periodo è
esploso il fenomeno del social engineering, ovvero l’arte del manipolare le persone per ottenere
informazioni sensibili. Diverse aziende sottovalutano questo aspetto, che è pericoloso quanto un
qualsiasi malware o trojan. Se una struttura di sicurezza è inattaccabile dal punto di vista
tecnico, sicuramente è possibile far leva sul fattore umano, cercando di estorcere direttamente o
indirettamente delle informazioni dallo staff, in maniera veloce ed efficace.
Le modalità in cui si
verifica il social engineering si dividono in 3 categorie:
Human based: tutto basato sul contatto diretto tra il malintenzionato e la vittima;
Computer based: sono necessarie vari strumenti e conoscenze tecniche e specifiche;
Mobile based: stesso discorso delle precedenti solo che riguarda il mondo degli smartphone e dei
dispositivi mobili.
Le tecniche human based sono quelle finalizzate all’ottenimento di dati sensibili attraverso
l’interazione fisica tra l’hacker e la vittima e ci sono varie modalità, come l’”Impersonation”:
il
malintenzionato simula di essere un soggetto con cui la vittima ha qualche tipo di relazione, come
può essere una simpatia o un ruolo istituzionale, in modo da sfruttare il contesto per ottenere le
info necessarie.
Un esempio pratico è quello in cui l’hacker contatta direttamente l’amministratore
di un sistema impersonificando un utente del dominio che inscena una perdita di credenziali di
autenticazione, oppure il malintenzionato, vestendo i panni di un tecnico, contatta un individuo per
conto dell’hosting provider e inscenando un qualsiasi malfunzionamento del server, chiedendo alla
vittima le credenziali di autenticazione o addirittura di inserirle in un sito fake creato
appositamente per l’occasione.
Quest’ultimo fenomeno si chiama Vishing (VoIP Phishing) e si basa
interamente sulla comunicazione telefonica, infatti questa metodologia va a favore dell’hacker che
da una parte può non mostrarsi, dall’altra ha un contatto più diretto che delle mail. Un altro
fenomeno di social engineering è “Eavesdropping”, che consiste nel recepire informazioni sensibili
intercettando una comunicazione o leggendo dei messaggi mail o SMS di nascosto.
Si va dal classico
“origliare” fino ai sistemi più sofisticati come gli attacchi MITM.
Per evitare qualsiasi disattenzione, si deve prestare attenzione anche al proprio cestino della
workstation, poiché è possibile risalire a qualsiasi dato che non è stato completamente smaltito. Si
parla di qualunque documento, da un certificato bancario ad un calcolo excel e così via, ed è in un
attimo che un estraneo riesca ad ottenere i dati di contatti di impiegati o dei calendari con tutti
gli appuntamenti della dirigenza controllando semplicemente il cestino. Una delle tecniche più
utilizzate è quelle del Reverse Social Engineering: il malintenzionato crea una problematica che
espone alla vittima ed in seguito si presenta come colui che può risolvere il problema. In questo
modo la vittima si rivolgerà direttamente all’hacker, rendendo più facile la collaborazione. Di
solito il RSE si divide in 3 fasi:
Sabotaggio: l’individuo crea un problema grazie anche a determinati tool, causando disfunzioni della
rete;
Marketing: la persona si “vende” come l’individuo che può risolvere la situazione;
Contatto:
nell’ultima parte la vittima ha una relazione diretta con l’hacker, creando anche un
rapporto di fiducia.
Per quanto riguarda il social engineering computer-based, si parla delle solite tecniche oramai
divenute famose come il phishing, dove grazie ad annunci truffa o cloni di siti vengono richiesti
determinati dati sensibili che non dovrebbero mai essere domandato in quella maniera. In seguito ci
sono i popup, che durante la navigazione sulla rete possono creare fastidio ma allo stesso tempo
attirare l’attenzione dell’utente; lo spam, che avviene in qualsiasi sito internet e in particolare
nelle caselle di posta elettronica, dove però i vari provider hanno ormai degli ottimi filtri
antispam.
Le tecniche mobile-based sfruttano delle app malevoli, in grado di entrare nello
smartphone e riuscire a rubare ogni minima informazione, senza parlare delle false applicazioni
spacciate per antivirus fino alla clonazione di altri software e l’SMS phishing. Per evitare tutti
questi spiacevoli fenomeni si deve prestare molta attenzione alle modalità in cui vengono richieste
le credenziali e notare se l’applicazione, la pagina web o l’email abbiano qualche imperfezione,
risultando dei fake.
Via del Fontanile Anagnino 173
00118, Roma (RM)
info@syrusindustry.com
www.syrusindustry.com
vai a contatti