Una tecnica fra le più devastanti, da cui è difficile proteggersi in un attacco hacker, è quello della ingegneria sociale. Non occorrono bug software da sfruttare, virus o altro del genere, una metodica di attacco semplice e molto efficace. Creata e condotta bene è molto difficile da contrastare!
Non sempre hacker e cracker riescono a scovare dei bug nei software, anche nel campo della sicurezza i software sono sempre più perfezionati e spesso sono proprio ex-hacker a dirigere e controllare sistemi informatici complessi di grande compagnie. Senza un bug, uno spazio per cui infilarsi, per un cracker è praticamente impossibile attaccare un sistema informatico.
Quando un sistema appare inattaccabile o particolarmente complesso nella parte software, esiste un’altra strada per il cracker, un percorso che spesso funziona molto bene perché coinvolge l’elemento umano: l’ingegneria sociale.
Cosa è l’ingegneria sociale
Un ingegnere sociale (social engineer) è uno specialista della menzogna, riesce ad ingannare le persone, spesso a fingere chi non è realmente. Molti di voi non ci crederanno, ma attacchi del genere sono particolarmente temuti dalle grande compagnie che gestiscono sistemi informatici, perché coinvolgono direttamente i dipendenti delle società da colpire che, quasi sempre, non si rendono conto d’essere oggetti di un attacco informatico.
Prima fase
Nascondendo la propria identità reale, il cracker riesce a carpire informazioni, dettagli, che non otterrebbe mai con la sua reale identità. Le fasi dell’attacco si compongono innanzitutto con una raccolta di informazioni sulla vittima da colpire, di solito è un dipendente dell’azienda o un fornitore.
Vengono raccolti dati sulle sue abitudini lavorative, recapiti e-mail, numeri di telefono, ecc. Viene studiata con estrema attenzione lo stile vocale della persona sotto attacco, cercando di assimilare le sue inflessioni dialettali, i modi di comportamento al telefono, le sue cerchie di amici e parenti.
Un vero e proprio dossier, sempre pronto nel caso venissero poste delle domande personali che coinvolgerebbero una identificazione della persona stessa.
Seconda fase
Tutti i dati raccolti possono servire ad effettuare telefonate, invio fax ed e-mail, per ricavare informazioni presso l’ente d’attaccare. Ci si può spacciare, ad esempio, per un manutentore del sistema informatico, o magari dall’addetto delle pulizie che ha dimenticato “per errore” la password per accedere ad un ufficio, le possibilità sono tante.
Il rischio dell’attaccante è nullo perché praticamente irrintracciabile con la sua falsa identità e spesso, l’interpellato, non comprendendo d’avere a che fare con un impostore può dare informazioni per un primo accesso al sistema.
Anche se si tratta di un accesso limitato, consente comunque di ottenere altre false credenziali per passare al livello successivo, magari interpellando un altro dipendente, che può fornire informazioni ancor più importanti.
Uno degli hacker più famosi è stato Kevin Mitnick, capostipite dell’ingegneria sociale. Famose per le sue scorribande in numerosi sistemi informatici di tutto il mondo, fu catturato solo dopo anni. Molto noto anche il suo libro, scritto anni dopo la sua cattura: L’arte dell’inganno.
Mitnick ha raccontato che era molto importante fare ricerche nella spazzatura per cercare di carpire informazioni, password appuntate su foglietti, recapiti telefonici, e-mail, stampa di documenti e fax.
Altra tecnica subdola era quella di stimolare l’orgoglio della vittima facendosi passare per un incompetente in campo informatico che chiedeva consigli “all’esperto” di turno.
Altro metodo di successo di Mitnick era quello di assumere l’identità di un tecnico della compagnia che forniva i software ala società, spesso si presentava e dichiarava che era necessario installare una patch di sistema, in realtà una backdoor.
Molto interessante, per approfondimenti, è un articolo pubblicato tempo fa: intervista ad un Hacker. Potreste trovare degli spunti interessanti sulla sicurezza informatica.
Per chi volesse approfondire questa tematica, che qui è stata riassunta, può visionare una interessante tesi universitaria, in formato Pdf, redatta da Andrea Melis. Il Pdf è reperibile qui: ingegneria sociale metodi di attacco e difesa.
Nel caso siate dei responsabili del reparto informatico di piccole o grosse aziende, ma anche di utenze private, fare attenzione all’attacco del social engineer istruendo i propri dipendenti o famigliari, vi assicuriamo che è di primaria importanza.
Ecco un altro articolo sviluppato tempo fa: i pericoli della privacy. La tecnica di raccolta informazioni sull’obbiettivo da colpire è molto usata anche nei comuni furti in abitazioni, ad esempio con questa metodologia: come un criminale sfrutta Google Maps.