Social Engineering – L’anello debole della catena è l’Uomo

“the art of manipulating people into performing actions or divulging confidential information” (Wikipedia).
1215399_82562796Da Milano – La forza di una catena si misura dalla forza del suo anello più debole, quest’affermazione è il cardine di tutta la filosofia della sicurezza, informatica e classica.
Possiamo parlare di antivirus, firewall, dispositivi avveniristici, policies aziendali e tanto altro, ma se tutto è subordinato o controllato dall’essere umano, la breccia nei sistemi di sicurezza diventa realizzabile con pochi e poveri mezzi.
Il  Social Engineering  (Ingegneria Sociale) è l’arte di persuadere qualcuno a collaborare, a fornire informazioni riservate, questa pratica si realizza con una pianificazione ben precisa ed attacca l’interfaccia umana di un sistema informativo protetto.

Il Social Engineering funziona a causa della caratteristica umana di fidarsi delle altre persone, le quali hanno la tendenza a simpatizzare con qualcuno che sostiene di essere in difficoltà o a credere a chi millanta di essere una persona meritevole di fiducia (es. ricoprendo un ruolo specifico, una carica, un titolo, ecc.), senza prima controllare le credenziali. Un ingegnere sociale, lo sa e anticipa questo.

Studiare l’avversario
Un primo step per sferrare l’attacco “sociale” è reperire più informazioni possibili sull’obiettivo (footprinting) da colpire, gli indirizzi, i numeri di telefono/fax, le e-mail, account di messaggistica/Skype, di che cosa si occupa, le sedi distaccate, il sito web, i nominativi di chi ci lavora, ecc. ecc.
Raccolte tutte queste informazioni, si cerca di capire che cosa si vuol raggiungere e come farlo.
Lo studio approfondito del “bersaglio” serve anche a prepararsi le risposte ad eventuali domande di controllo da parte del personale preposto.

Gli approcci
Supponiamo di voler accedere ad un’area riservata condivisa su web di un’azienda, l’ingegnere sociale, potrebbe tentare, con appunti alla mano del precedente footprinting, un approccio telefonico, spacciandosi per un sistemista di una sede distaccata, lamentando l’impossibilità di accedere all’area riservata e chiedendo cortesemente la password o il numero di telefono di un responsabile. Nel fare tutto questo bisogna cercare di rimanere il più possibile “invisibili”, il che significa non lasciare tracce nella memoria dell’interlocutore, come ad esempio, accenti marcati, toni vocali particolari, insomma diventare “l’uomo qualunque”.
Con la stessa tecnica, ci si può spacciare per l’impiegato, utente, fornitore, cliente, imbranato e/o incompetente, come un tecnico dell’azienda che fornisce l’hosting, in questo caso si può “rimbambire” una persona NON tecnica dell’azienda, usando un frasario stregonesco-informatico, in modo da acquisire la sua fiducia e farsi rivelare ulteriori informazioni.

I sistemi più usati sono:

Il telefono – conversazioni telefoniche dalle quali trarre informazioni. Quante volte si forniscono dati a chissà chi pensando che sia un cliente o un fornitore? Un esempio può essere quello di dettare una password ad un fantomatico cliente che lamenta lo smarrimento della stessa.

Online – Il meccanismo è lo stesso di quello telefonico, solo che il mezzo cambia. Questo tipo di attacco può essere sferrato tramite e-mail, chat, VoiP, ecc. Un esempio può essere quello di “forgiare” una finta e-mail, che riporta un mittente fidato (come accade per il famigerato phishing), quindi l’operatore in tutta tranquillità risponde alla mail fornendo le informazioni richieste.

La spazzatura (Dumpster diving) – Uno dei sistemi più “classici”, cercare appunti, post-it e quant’altro sia utile a ricavare nomi, indirizzi, numeri, password, ecc. Nel cestino della spazzatura.

Shoulder surfing – Questa è una tecnica che può far sorridere, ma a volte funziona! Mettersi alle spalle di qualcuno e spiare ciò che scrive sul PC.

Reverse social Engineering – Questa è una tecnica raffinata, poiché grazie ad una relazione , precedentemente instaurata, l’attaccante riesce a farsi contattare dalla propria vittima, che è in completa balia del truffatore. Si possono fare vari esempi, come quello di spacciarsi per un servizio tecnico relativo alla connettività, di lasciare un recapito (e-mail, telefono, ecc.) per farsi contattare nel momento del bisogno. Poi effettuare un “sabotaggio” alla connettività della vittima, in modo tale da farsi chiamare, con la scusa dell’assistenza remota, ci si può far dare username, passwords, indirizzi IP, ecc. ecc.

La persuasione – Questo è un tipo d’attacco basato tutto sulla capacità recitativa dell’attaccante, lo vediamo spesso nella cronaca e nella vita. In parecchie città sono stati segnalati degli individui che riuscivano a spacciarsi per amici di un familiare della vittima e a farsi consegnare del denaro. Questi utilizzano tecniche di PNL (Programmazione Neuro Linguistica), sanno farsi dare delle informazioni facendo credere esattamente l’opposto, possiamo fare un esempio banale:

Attaccante: “Salve si ricorda di me?”
Vittima: “No …dove ci siamo conosciuti?”
Attaccante: “Sono un ex compagno di scuola di suo figlio…[pausa]”
Vittima: “Di chi di Mario o di Luigi?”
Attaccante: “di Mario, a proposito come sta?”
Vittima: “Bene sta studiando all’università, ci sta mettendo un po’, se la prende comoda lui!”
Attaccante: “Ahahahahah me lo ricordo è sempre stato uno scansafatiche…bene son contento, io ho dovuto lasciare invece…purtroppo”
Vittima: “ah! Come mai?”

E poi parte una storia strappalacrime, che persuade la vittima a lasciare dei soldi al poverino.
Ma chi era costui?

La stessa tecnica può essere adottata al telefono, spacciandosi con estrema sicurezza come qualcuno del comparto tecnico, che necessita di parlare col responsabile dell’area amministrativa e di lì convincerlo a cedergli le credenziali d’accesso al sistema informativo.
Un altro esempio:
Presentarsi presso un’azienda come candidato ad un colloquio di lavoro, chiedere dove sia la macchinetta del caffè e subito dopo tornare col curriculum cartaceo sporco della nera bevanda, a questo punto, chiedere gentilmente ad un operatore dell’azienda se può fargli stampare una copia del curriculum prendendola dal pendrive dell’attaccante.
Non tutti sanno che si può inserire un software autopartente nei pendrive USB, che preleva tanti dati (password delle email, password memorizzate nelle sessioni di navigazione, ecc.), senza che l’operatore se ne accorga, il gioco è fatto!

 
Le contromisure

La formazione e le procedure sono le contromisure più efficaci per combattere gli ingegneri sociali, le procedure possono essere la classificazione dei dati (con i vari livelli d’accesso) e la conservazione e lo smaltimento dei dati (smaltire in modo sicuro e conservare al sicuro).
La formazione al personale deve essere in grado di far lavorare tranquillamente il personale, ma renderlo abbastanza scaltro e scettico al fine di non incorrere nelle trappole del truffatore.
Chiaramente ogni reparto aziendale avrà una formazione ad hoc, profilata sul tipo di operatività in essere, ad esempio l’Help Desk non può essere brusco o freddo nei confronti dei chiamanti, deve riuscire a mantenere l’affabilità e la gentilezza corazzate da un sano scetticismo ed attenzione.

 

Insomma alcune regole di base sono:

1) Controllare sempre le credenziali di tutti.
2) Avere delle politiche aziendali di sicurezza (non inserire pendrive esterni, non lasciare dati in vista sia sui monitor sia su cartaceo, distruggere la spazzatura contenente dati, ecc.)
3) Evitare di fornire informazioni a chi le richiede via e-mail o telefono, nessun operatore serio chiederà mai password, numeri di carte di credito, ecc. via remota, questo genere d’informazioni vanno riferite di persona o con dei mezzi sicuri.
4) Effetture periodicamente dei test con delle simulazioni o dei giochi di ruolo.
5) Classificare le informazioni e cercare di capire a chi potrebbero interessare e come potrebbero essere usate.
Imparare a contrastare il Social Engineering non serve solo in ambito aziendale, ma anche nella vita quotidiana di ognuno di noi, alla fine le truffe son sempre esistite, sono solo cambiati i mezzi.

About the Author

Related Posts