Nell’ articolo “fidarsi bene, non fidarsi è meglio” abbiamo affrontato il tema del Social Engineering (ingegneria sociale) elencando quali sono i principi che rendono tutte le persone vulnerabili ai trucchi degli ingegneri sociali; abbiamo anche affrontato alcune forme informatiche dell’ingegneria sociale come lo scam o il phishing; oggi ci concentreremo sugli attacchi “Human-Based” di ingegneria sociale, veri e propri tentativi di “hackerare” gli uomini e non i loro apparecchi.
Impersonificazione
Potrebbe sembrare banale, ma una diffusa tecnica è semplicemente fingere di essere una persona autorizzata o legittimata ad avere accesso a determinate informazioni.
L’ingegnere sociale si qualifica come un utente, un VIP o un membro del support tecnico per poi cominciare a chiedere informazioni sensibili o addirittura password e dati di accesso ad una rete o ad applicazione.
Vhishing
Orribile parola derivata dalla fusione di Voice e Phishing il Vishing non è altro che una tecnica di Impersonificazione condotta tramite telefono. L’hacker può presentarsi come un utente in cerca di aiuto e sfruttare la disponibilità di un servizio di Help-Desk, oppure può inviare un SMS ad una vittima spacciandosi per la sua banca con l’invito a farsi richiamare per risolvere un problema e quando la vittima richiama, sicura di star parlando con la propria banca, diventa una facile preda che fornisce senza pensarci preziose informazioni.
Eavesdropping
Altrimenti tradotto in origliare, l’eavesdropping è in tutta semplicità questo: origliare una conversazione. Le tecniche coinvolte vanno dal semplice trovarsi vicino alla vittima a più complesse tecniche di intercettazione telefonica, video o telematica.
Photo by Priscilla Du Preez on Unsplash
Shoulder surfing
Altra tecnica di ingegneria sociale ancora più banale dell’origliare: sbirciare.
Quante volte abbiamo visto post-it attaccati sui monitor, oppure documenti lasciati sulla scrivania, allo stesso tempo quante volte abbiamo digitato le nostre password senza renderci conto che magari qualcuno nelle vicinanze poteva osservare i nostri movimenti? Ovviamente il shoulder surfing può essere anche tecnologico come nel caso di un recente studio sui bancomat oppure può essere compiuto con telecamere nascoste, ma rimane sempre una tecnica, quasi banale.
Dumpster Diving
Rovistare nella spazzatura rimane uno dei metodi più semplici per scoprire informazioni. Tutti gettiamo documenti che non ci sembrano importanti nella spazzatura e nel momento in cui le buttiamo, quelle informazioni smettono di aver un valore per noi e non ci facciamo più caso; pensate ad una password annotata su un pezzo di carta che quando non serve, viene buttata via. Nemmeno ci pensiamo più, quell’appunto non ha più alcun valore per noi, ma nella realtà quell’informazione è recuperabile e può ancora essere sfruttata. Per questo motivo soprattutto i documenti andrebbero gettati con molta attenzione!
Tailgating
Per avere un’idea precisa di cosa sia il tailgating, letteralmente pedinare, basta pensare agli automobilisti che in Italia si accodano ad una macchina nelle corsie Tele-pass standole cosi vicino da riuscire a passare prima che le sbarre si chiudano. In una azienda succede la stessa cosa quando un hacker che indossa un falso badge riesce ad entrare attraverso un varco di sicurezza restando a vicinissima distanza dall’impiegato autorizzato che è entrato prima di lui.
Piggybacking
Il piggybacking si ha quando una persona autorizzata intenzionalmente o meno permette ad una persona non autorizzata di entrare in un edificio o in una zona riservata; immaginate che vi sia una porta secondaria che gli impiegati di una grande azienda usano per uscire a fumare una sigaretta, voi arrivate e c’è un ragazzo con le maniche tirate su che sta leggendo un documento con il logo dell’azienda fumandosi la sua sigaretta, poi fa per entrare e “ho dimenticato il badge, mi faresti entrare per cortesia?“
Sta leggendo un documento dell’azienda, è senza giacca, le maniche tirate su, magari ha citato anche il nome di un superiore, ha appena spento la sigaretta; è un collega! Perché non essere gentili?
Diversion Theft (furto con deviazione)
Questa tecnica prende di mira chi si occupa di recapitare della merce inducendola a consegnare i pacchi indirizzati ad una azienda in una sede diversa da quella riportata sui documenti di trasporto, benché non dovrebbe accadere, capita spesso che una azienda con più sedi possa erroneamente indicare una sede invece che un’altra per la consegna e quindi ad un autista la richiesta potrebbe non risultare per nulla strana.
Honey Trap
La trappola di miele è una tecnica vecchia come l’umanità stessa, far innamorare qualcuno, sedurlo per poi rubargli informazioni preziose o addirittura soldi. Se nella vita di tutti i giorni questa tecnica coinvolge persone in relazioni online che poi si rivelano truffe, nell’ambito di grandi aziende o enti nazionali questa tecnica viene portata avanti di persona. La vittima può rivelare informazioni di sua spontanea volontà credendo di parlare con una persona di fiducia, cosi come può essere vittima di un ricatto come nel caso di relazioni extra-matrimoniali.
Photo by Kaitlyn Pixley on Unsplash
Baiting
Il baiting è una tecnica che in linea di massima propone ad una vittima inconsapevole qualcosa di valore in cambio di informazioni, ma può essere anche il regalo di un gadget che contiene del malware, oppure una chiavetta USB abbandonata che la vittima inserisce senza pensarci nel proprio computer.
Elicitation (Elicitazione)
In psicologia l’elicitazione è una tecnica attraverso la quale si sfruttano domande o stimoli per ottenere determinati comportamenti e condotte dal soggetto in esame. In ingegneria sociale si sfrutta questo meccanismo per coinvolgere la vittima in una discussione all’apparenza innocente e del tutto normale, ma che attraverso domande ben poste portano la vittima a rivelare informazioni importanti.
Come diceva Kevin Mitnick:
“Il fattore umano è sul serio l’anello più debole della sicurezza!”
