Spie,infiltrati non sono altro che antenati dei Social Engineer.v Il Social Engineering è una tecnica molto utilizzata in questi anni,
a causa della sua estrema semplicità,il che non implica una debolezza...anzi!
Il Social Engineering è una tecnica utilizzata pee impadronirsi di
informazioni riservate quali
passwords,documenti,conti in banca,etc....
Il Social Engineering(chiamato anche ingegneria sociale) si può definire come
l'insieme di truffe
alle quali la maggor parte delle persone "cade".
La rete del Social Engineering è molto vasta,va dal phishing all'hacking,dal
cracking alla truffa...
Un ingeniere sociale non è altro che un'infiltrato che spesso si maschera e va
dal bersaglio oppure utlizza
il telefono o internet per fingersi un'altra persona.
Ci basti pensare a Kevin Mitnick,lui utilizzò il Social Engineering per
"potenziare" le sue tecniche di
hacking.
La principale fonte di "forza" di questa tecnica e' basata principalmente
nell'ignoranza:
circa il 70-80% delle persone ce ricevono una telefonata di un ingeniere
sociale NON SANNO che stanno parlando
con una persona che vuole i suoi dati personali,spesso i dati richiesti
dall''abile ingeniere sociale NON C'ENTRANO
NULLA con le nostre password,i nostri documenti!
La tecnica dell'ingegneria sociale può essere paragonata(in gran parte) allo
spionaggio industriale...
Un buon Social Engineer spesso dice di essere un tecnico,impiegato o
addirittura il proprietario di un'azienda INESISTENTE
per convincere il proprio "target" a dargli le informazioni richieste...
Nelle righe precedenti ho scritto che il Social Engineering è una tecnica
FACILE da attuare...
Si,certo è vero, è facile ma anche difficile:pensate a come vi muovete
normalmente,come parlate,come agitate le mani;
ora pensate a fare TUTTO il contrario di quello che fate normalmente!
La vera problematica è che è quasi impossible azzerare le possibilità di
cadere nella rete del social engineer.
Perchè?Semplice!
Il social engineer non ha delle caratteristiche particolari,non deve avere
delle competenze informatiche elevate(anzi
potrebbe benissimo non averne proprio)ha semplicemente un'arma:LE MASCHERE!
Un social engineer esperto non mostra mai il proprio volto,non parla mai come
parla di solito,insomma il social engineer
è un CAMALEONTE!
ORIGINI
Anche se può sembrare strano il social engineering non nasce nell'era dei
computer,ma bensì nell'antichità! Una società che sfrutta il social engineer è il KGB russo,attivo dal 13 marzo
1954 al 6 novembre 1991.
O altre organizzazioni come i servizi segreti...sfruttano tutti delle tecniche
di social engineering!
Per esempio prendiamo un'infiltrato che dice di chiamarsi Jhon Brown invece si
chiama Fred Phoenix
Fred Phoenix si finge un'altra persona(Jhon Brown,inventata o non) che agisce
in modo diverso dalla prima,
che parla in modo diverso dalla prima,che fa tutto cio che la prima non
avrebbe mai fatto!
Il social engineer fa la stessa cosa.
L'invenzione dei computer e,successivamente, di internet ha dato semplicemente
al Social Engineering una "sede fissa".
Una sede dove tutto è più facile,dove ad interfacciarsi con il bersaglio non
siamo sempre NOI direttamente ma un monitor
una sede dove tutto è possibile,una sede infinita...
INFORMAZIONI E METODI
Il social engineering inizia con la semplice ricerca di informazioni,pubbliche
o non,sul bersaglio,questa fase è chiamata "footprinting".
Prosegue con "il primo contatto",cioè la verifica delle informazioni
attendibili e non.
Dopo il "primo contatto"(stando attenti a come ci si è presentati,come si ha
parlato con quella persona) si prosegue con
"l'attacco" cioè la richiesta INDIRETTA delle informazioni desiderate(una
password,files,computers,etc.).
Ora elencherò alcune operazioni che il libro "L'arte dell'inganno" (scritto da
Kevin Mitnick) tratta:
- rovistare nella spazzatura in cerca di foglietti con appuntate delle
password, o comunque in cerca di recapiti telefonici indirizzi, ecc.
- fare conoscenza con la vittima, fingendo di essere un incompetente
informatico e chiedendo lumi all'esperto.
- spacciarsi per un addetto(o comunque un'altra persona) della compagnia(o un
conoscente) che vende i programmi utilizzati,
dicendo che è necessario installare una patch al sistema.
CHI E' UN INGEGNIERE SOCIALE?
Come già accennato in precedenza il social engineer "medio" non esiste perchè
un social engineer non è,appunto,
una persona ben squadrabile ma può essere un impiegato statale,un poliziotto,
un presidente(chi mi dice che OBAMA non è un
ingeniere sociale?),i nostri genitori/fratelli,il nostro miglior amico...NOI!
L'unica cosa che potrebbe distinguere un social engineer è la sua bravura:
Se una persona(un ingeniere sociale)ci chiama al telefono spacciandosi per un
tecnico o un'impiegato che ci chiede informazioni generiche
e,gradualmente(dopo aver guadagnato la nostra fiducia) ci chiede delle
informazioni un po più private noi gli daremo ciò che vuole senza
accorgercene!
Mentre,se ci chiama una persona(sempre un social engineer ma inesperto) e ci
chiede subto di dargli una password
o informazioni private dopo il <<"ciao,sono 'Pippo' da Verona...>>noi non gli
diamo NULLA!
DOVE BISOGNA STARE ATTENTI
Principalemente bisogna stare sempre attenti, ma reputo poco sicuri i social
networks come facebook
dove per raccogliere informazioni su qualcuno ci vuole poco:
basta leggere i commenti,vedere i suoi amici,le sue foto,i suoi interessi,
etc....
COME DIFENDERSI
Per difendersi dai Social Engineer basta prestare più attenzione alle persone
che non conosciamo(o conosciamo!!)
e stare attenti a redere pubblici i nostri dati privati,magari,mettendoli su
social networks o,semplicemente,
ONLINE.
Per il social engineering sono solo queste le precauzioni da prendere percè
non esiste un ANTIVIRUS
che ci protegga,perchè il social engineer si basa su una delle debolezze umane
più importanti:L'IGNORANZA!
L'ignoranza,già,ma nel senso di FIDARSI FACILMENTE(o fidarsi sulla parola) e
non di NON SAPERE/SAPER FARE.
^.Ecco le zone dove il social engineering andrà(probabilmente) a colpire
Nessun commento:
Posta un commento