Social Engineering

Pubblicato da Mattia Felici il

Reading Time: 7 minutes

Capire gli attacchi basati sull’ingegneria sociale

Il termine Ingegneria Sociale (Social Engineering) deriva dall’unione di due parole: ingegneria e sociale.

Più precisamente con il termine sociale intendiamo la nostra vita di tutti i giorni (sia personale che professionale), mentre con ingegneria intendiamo una precisa metodologia di sviluppo e risoluzione di problemi che prevede alcuni passi precisi per raggiungere un obiettivo.

L’ingegneria sociale è un’espressione che, nell’ambito della sicurezza informatica, descrive un’intrusione non-tecnica in un sistema.

Nel caso specifico dell’ingegneria sociale infatti, le tecniche di attacco hanno più a che fare con l’interazione diretta tra persone e la psicologia, piuttosto che con strumenti o tools software tipici dei “normali” attacchi hacker.

Ad esempio un attaccante potrebbe riuscire ad ottenere delle informazioni sensibili attraverso una semplice telefonata verso il suo obiettivo, che potrebbe essere una persona o se pensiamo più in grande un’azienda; in tal caso potrebbe fingere di essere un’altra persona o un dipendente della stessa azienda e, riuscendo a convincere il suo interlocutore della sua falsa identità, potrebbe essere in grado entrare in possesso di file privati o, nel caso dell’azienda, di scalare rapidamente la scala dei privilegi.Social Engineering

Fasi di un attacco a Ingegneria Sociale

Un attacco basato su ingegneria sociale è un processo continuo che inizia con una prima fase di ricerca, che si ripete finche “l’ingegnere sociale” non avrà acquisito informazioni sufficienti per andare avanti con le altre fasi di attacco.

Vediamo più in dettaglio le diverse fasi:

Ricerca

Nella fase di ricerca, l’attaccante cerca di trovare ed entrare in possesso di informazioni riguardo ad un obiettivo/target (persona o azienda). In questa fase, le informazioni riguardo il possibile target possono essere ricercate in svariati modi che comprendono:

  • ricerca su internet

  • ricerca su siti web personali o aziendali

  • documenti pubblici

  • interazione fisica

  • ricerca nella spazzatura

Potrebbe sembrare poco igienico e magari inutile andare a ricercare informazioni nella spazzatura, ma a volte non ci rendiamo conto di cosa andiamo a buttare tra le cartacce.

Non dimentichiamo il famoso detto “ciò che per un uomo è spazzatura per un altro potrebbe essere un tesoro”.

Aggancio

In questa fase l’attaccante comincia a muovere i primi passi e prova ad instaurare un rapporto o una conversazione con il target selezionato, ovviamente dopo aver completato con successo la prima fase di ricerca ed essere venuto a conoscenza di più informazioni possibili riguardo l’obiettivo.

Azione

Il principale obiettivo di questo passo è quello di rendere il rapporto, instaurato al passo precedente, più forte e continuare il dialogo già iniziato.

Questo serve per rafforzare la relazione instaurata e per infondere fiducia nei confronti della vittima che, non appena abbasserà la guardia, sarà pronta a fornire (anche inconsapevolmente) le informazioni che l’attaccante cerca.

Uscita

Questa è l’ultima fase di un attacco a Ingegneria Sociale. Qui “l’ingegnere sociale” esce dalla scena dell’attacco o interrompe la comunicazione con l’utente obiettivo.

Questa fase va sviluppata con estrema cura da parte dell’attaccante che dovrà rendere la sua uscita di scena più naturale possibile senza insospettire o far capire le sue vere intenzioni all’obiettivo.

In alcuni casi quindi la fase di uscita potrebbe essere molto lunga. Pensiamo per esempio ai casi di spionaggio che possono richiedere anche diverse settimane per la fase di uscita perché la vittima non dubiti dell’identità dell’attaccante.

Tipi di ingegneria sociale

Abbiamo visto nei precedenti punti quale sia il processo secondo cui si sviluppa un attacco di ingegneria sociale.

Vediamo ora i modi in cui possiamo eseguire un attacco di questo tipo. Comunemente l’ingegneria sociale è divisa in due categorie:

  • Human-based Social Engineering

  • Computer-based Social Engineering

Human-based Social Engineering

In questa categoria di attacchi, l’attaccante interagisce direttamente con la vittima per rubare le informazioni.

Un esempio di questo tipo di attacco potrebbe essere il caso in cui l’attaccante contatta l’amministratore di un database chiedendo di reimpostare la password di un account obiettivo.

L’attaccante ha raccolto le informazioni di un utente da un qualsiasi profilo di social network, e avendo queste informazioni procede col fingersi l’utente prescelto e chiede un reset della password, dal momento che lui lavora da una postazione remota e non ha accesso diretto al sistema aziendale.

L’amministratore del database si fida del suo “collega” e una volta convinto della buona fede della richiesta, procede con il reset della password. A questo punto per l’attaccante il gioco è fatto e una volta reimpostata la password per l’accesso remoto può entrare nel database e rubare o compromettere file e dati privati o sensibili.

Gli attacchi Human-based possono essere suddivisi in:

  • Piggybacking: In questo tipo di attacco, l’attaccante ottiene vantaggi ingannando il personale autorizzato di un sistema, per accedere in un’area protetta dell’azienda obiettivo, per esempio una server room.
    Per esempio, un attaccante X entra in un’azienda ABC presentandosi come un candidato per un colloquio, ma successivamente riesce ad entrare in un’area riservata ingannando un dipendente, facendogli credere di essere un nuovo impiegato. Essendo un nuovo impiegato non avrà un badge di riconoscimento, per cui si farà prestare un badge valido per evitare i limiti imposti dalle politiche di accesso.

  • Impersonating: in questo attacco, un ingegnere sociale finge di essere un impiegato di un’organizzazione per guadagnare accesso fisico ad una risorsa.
    Questo può avvenire, indossando un abito da lavoro o usando un ID duplicato per entrare nell’azienda. Una volta all’interno, l’ingegnere sociale può acquisire preziose informazioni da un computer desktop.

  • Intercettazione: in questo caso l’attacco consiste nell’ascolto non autorizzato di una comunicazione tra due persone o la lettura di messaggi privati. Può essere eseguito utilizzando falle di sicurezza nei canali di comunicazione come le linee telefoniche o le e-mail.
    Utilizzando opportuni accorgimenti come la crittografia o la scelta di un canale sicuro è possibile rendere più difficile l’attacco.

  • Reverse social engineering: questo attacco avviene quando l’attaccante finge di essere un personaggio con una posizione autoritaria. In una tale situazione sarà l’obiettivo scelto che, intimidito dalla (falsa) autorità dell’attaccante, fornirà tutte le informazioni che l’ingegnere sociale chiede.
    Attacchi di reverse engineering di solito si verificano nelle aree di marketing e di supporto tecnico all’interno delle aziende.

  • Immersioni nella spazzatura: questo particolare metodo di ricerca di informazioni consiste nel cercare nella spazzatura, informazioni scritte su pezzi di carta o stampe cartacee di dati informatici.
    Erroneamente si pensa che nella spazzatura non ci siano informazioni così importanti, ma un hacker, cercando tra i rifiuti, può trovare spesso password, nomi di file o altri dati che lo aiutano ad invalidare la riservatezza aziendale.

  • Atteggiarsi ad utente legittimo: In questo tipo di attacco, l’ingegnere sociale assume l’identità di un utente legittimo e cerca di ottenere le informazioni, per esempio, chiama il servizio assistenza dicendo: “Ciao, sono Mario dal X dipartimento. Non ricordo la mia password di account; mi puoi aiutare?”
    Se la vittima decide di aiutare, l’attacco prosegue…

Computer-based Social Engineering

L’ingegneria sociale computer-based si riferisce agli attacchi effettuati con l’aiuto di software per computer per ottenere le informazioni desiderate.

Alcuni di questi tipi di attacco sono:

  • Finestre pop-up: I pop-up inducono gli utenti a fare clic su un collegamento ipertestuale che li reindirizza a visitare la pagina web di un attaccante, chiedendo loro di fornire le proprie informazioni personali o chiedendo loro di scaricare un software che potrebbe contenere un virus.
  • Attacco Insider: questo tipo di attacco viene portato avanti dall’interno dell’azienda. La maggior parte degli attacchi interni sono orchestrati da dipendenti scontenti che non sono soddisfatti della loro posizione nell’organizzazione o che hanno rancori personali contro un altro dipendente o la gestione generale.
  • Phishing: gli spammer inviano spesso le e-mail di massa ad account di posta elettronica. Nelle mail solitamente si informa la vittima di aver vinto, per esempio, alla lotteria. Successivamente si chiede di cliccare su un link, al fine di proseguire al ritiro della somma, in cui si devono fornire dati della carta, nome indirizzo età e città di residenza.
    Usando questo metodo l’ingegnere sociale è in grado di raccogliere numeri di previdenza sociale oltre ad altre informazioni utili per continuare la truffa.

  • La truffa “Nigeriana 419”: nella truffa nigeriana, l’attaccante chiede al bersaglio di effettuare pagamenti anticipati o effettuare trasferimenti di denaro. Si chiama 419 perché “4-1-9” è una sezione del codice penale nigeriano che vieta questa pratica. L’attaccante o i truffatori di solito inviano le e-mail con una certa offerta affermando che il loro denaro è stato intrappolato in qualche paese che è attualmente in guerra, per cui hanno bisogno di aiuto nel prendere il denaro. Questi truffatori vi chiederanno di dare loro i dettagli di un vostro conto per aiutarli a trasferire la somma, promettendovi di donarvi una parte del totale ad operazione avvenuta.
    Viene quindi chiesto di pagare anticipatamente una somma (tassa) che serve a trasferire il denaro fuori dal paese di origine. Se la tassa viene pagata, il truffatore invierà altre richieste in cui chiederà il pagamento di altre tasse, finché non avrà ottenuto tutto il denaro che gli serve.
    Ovviamente non riceveremo mai il denaro che ci è stato promesso inizialmente.

  • Attacchi di Ingegneria Sociale tramite SMS falsi: In questo tipo di attacco, l’ingegnere sociale invierà un SMS al bersaglio che sembra provenire dal dipartimento di sicurezza della propria banca o sostenendo che è urgente che la vittima chiami il numero specificato. Se il bersaglio non è tecnicamente pronto a difendersi, chiamerà il numero specificato e l’attaccante può ottenere le informazioni desiderate.

Cerchiamo di ricordarci di tutto questo la prossima volta che qualcuno ci chiede dei dati per telefono o ci arrivano delle mail sospette che è meglio non aprire!

Keep safe!

Categorie: Sicurezza Generale
Tags:

Articoli correlati

Sicurezza Generale

Smart Cards

Smart Cards Le Smart Card sono anch’esse dispositivi simili a carte di credito che spesso assomigliano alle carte con banda magnetica. Tuttavia, esse offrono una sicurezza dei dati migliorata grazie alla presenza di circuiti intelligenti Leggi tutto…

Sicurezza Generale

Messa in Sicurezza dei Punti di Accesso del Perimetro Esterno

Sicurezza del Perimetro Fisico del Dispositivo Dopo aver adottato misure per proteggere fisicamente il dispositivo da accessi non autorizzati e/o dal furto, il passo successivo nella protezione consiste nel considerare il case fisico del computer Leggi tutto…

Sicurezza Generale

Switchers

Switchers, nei sistemi di videosorveglianza I commutatori (o switchers) sono dispositivi utilizzati nei sistemi di sorveglianza con più telecamere. Consentono l’uso di diverse telecamere con un unico monitor. Un commutatore può essere programmato per passare Leggi tutto…

error: Content is protected !!

La maggior parte dei contenuti del blog ComputerSec vengono pubblicati a beneficio di tutti e in modo completamente gratuito.
Tuttavia per supportare il blog, e per avere ulteriori vantaggi, puoi decidere di abbonarti e sfruttare al 100% tutti i contenuti!
Abbonati Ora!

Complimenti! Ti sei iscritto alla nostra Newsletter

C'è stato un errore durante l'invio della richiesta. Per favore riprova.

Computer Security will use the information you provide on this form to be in touch with you and to provide updates and marketing.