Ingegneria Sociale• Studio del comportamento di una persona al fine di capirne informazioni

• (Da Wikipedia, l’Encicolpedia Libera)

Ingegneria Sociale (dall’inglese Social Enginneering) significa l’uso del proprio ascendente e delle capacità di persuasione per estrapolare delle informazioni ad una persona.

Solitamente l’ingegnerie sociale si finge un’altra persona per riuscire a reperire le informazioni.

In realtà questa definizione del tutto giusta, precisamente l’Ingegneria Sociale è:

1

Introduzione: Materiale

1. Un Fax, fondamentale per l’invio di documenti, che con molte probabilità sono realizzati sul momento per fingersi un’altra persona.

2. Un computer munito di stampante e un buon programma di fotomontaggio, utile per produrre carte intestate, loghi, firme e come cosa più importate i documenti falsi.

3. Un ambiente consono: il che significa che se telefonate al call center della società dei telefoni dicendo loro che siete un tecnico in strada non potete farlo chiamando dallo studio di casa in perfetto silenzio, né tanto meno dire che siete un tecnico di un call center ad una nostra vittima chiamando dalla cucina mentre vostra madre sta preparando la cena. Questo può sembrare scontato, ma i particolari sono fondamentali quando si millantano credenziali altrui.

2

Tecniche di attacco: Fase 1, Footprinting

• Footprinting: ovvero il reperimento e la raccolta delle informazioni necessarie per l’attacco vero e proprio.

Whois sul sito della vittima Trashing Intrusione

3

Footprinting: Tecnica 1, Whois• Se la vittima possiede un sito Web basterà semplicemente effettuare un Whois

sul sull’indirizzo Web, il quale riporterà in modo assolutamente legale: nome, cognome, via e città di residenza, numero di telefono, etc…

• Inoltre controllando attentamente le pagine del sito Web è possibile ricavare:•

* La lista dei partner della società• * Tutti gli indirizzi email inseriti

* Tutti i banner “Powered by”* Le note di copyright, così da capire se il sito è realizzato direttamente dalla società o da una ditta esterna

4

Footprinting: Tecnica 2, Intrusione

1. Intrusione nell’azienda, ovvero un periodo nel quale il cracker, se ci riferiamo all’informatica, si infiltra nell’azienda e impara i sistemi di comunicazione aziendali, come funziona la posta interna, giorni e orari di pulizia.

2. Frequenta gli uffici aziendali, magari consegna buste, caffè, acqua. Conosce e dialoga con gli addetti alla sicurezza, segretarie, webmaster, sistemisti.

5

Footprinting: Tecnica 3, Tashing

• Il trashing consiste nell’andare a “rovistare” nella spazzatura della vittima. Questo perchè è possibile, come la maggior parte delle volte accade, che la vittima abbia buttato via dei foglietti appuntate delle password, numeri di teleono, indirizzi, etc…

6

Footprinting: Come avanzare…• A questo punto è il momento di correlare un po’ di informazioni che abbiamo

già ottenuto. • È un ottima cosa utilizzare un motore di ricerca per darli in “pasto” i nomi e i

cognomi di tutte le persone che avete reputato interessanti, seguiti subito dopo dal loro indirizzo di e-mail.

• Molto probabilmente troverete una valanga di informazioni, tra cui:• News:• Controllate tutti i newsgroup nei quali queste persone scrivono. Potreste

trovare una marea di informazioni rimaste nella memoria storica di Internet. Tra questi dati controllate con una certa cura i newsgroup tecnici, nei quali potreste trovare marca/modello/versione del firewall aziendale, nonché stralci di configurazione.

• Siti web personali:• Bè che dire… se trovate il sito web personale di una vostra vittima avrete a

disposizione una marea di informazioni.Potreste persino mettervi in contatto con la vostra vittima grazie al suo sito, fingendo di essere interessati a della pubblicità sul suo sito o qualcosa di simile.

7

Rapporto di fiducia: Base comune

• Un buon ingegnerie sociale deve necessariamente avere una panoramica dettagliata dell’ambiente in cui lavora e si ritrova la sua vittima.

• Tutto questo è necessario per creare un rapporto di fiducia a far sì che si abbassino le difese personali inconsce. È infatti assolutamente scontato che, ad esempio, siamo molto più propensi a fornire informazioni, anche banali come può essere l’ora attuale, ad un nostro collega di lavoro appena assunto piuttosto che ad uno sconosciuto per strada.

• La differenza tra le due situazioni infatti è giustificabile da quella che si chiama “base comune”. Una “base comune” tra due individui è in grado di far sì che la diffidenza tra le due persone venga abbassata a livelli accettabili. La cosa interessante però è che la “base comune” non deve essere necessariamente qualcosa di concreto come un’amicizia o il rapporto di parentela, può essere qualcosa di assolutamente semplice, come una sensazione, un sorriso, una gentilezza.

• Se ci pensiamo bene siamo più propensi a parlare con una persona ben vestita ed educata piuttosto che con una persona sporca e maleducata.

8

Base comune: Come fondarla• Per fondare questa “base comune” è importante quindi conoscere la nostra vittima.• Poniamo quindi di voler estorcere delle informazioni dal Sig. Rossi che lavora in una filiale della

“Elettronica Italia” (società inesistente). Prima di contattare la persona in questione dobbiamo almeno conoscere:

Cosa fa e cosa produce la “Elettronica Italia”• Dove ha le principali filiali• Com’è organizzata• La relazione che questa azienda ha con le altre• Conoscere i principali fornitori della “Elettronica Italia”• La posizione nell’azienda del Sig.Rossi

A questo punto, a seconda delle informazioni in nostro possesso possiamo fingere di essere:

• Un neo assunto della stessa filiale• Un dipendente di un’altra filiale• Un fornitore in cerca di spiegazioni• Un cliente• Un rappresentate di un’azienda collaboratrice• Un dipendente di un’azienda collaboratrice

9

Chi attaccare: Le vittime migliori• La segretaria dell’amministrazione delegato.• Solitamente questa figura legge e gestisce la posta, i contatti,

etc…Il suo computer è un archivio enorme di informazioni importantissime per l’ingegnerie sociale.

• Inoltre il suo indirizzo e-mail è in grado di legittimare anche le comunicazioni più strane. Se riuscite a farvi mandare una mail avrete tra le mani un’ottima chiave di accesso per tutti i livelli dell’azienda. Perché? Perché è possibile camuffare la vostra e-mail con quella della segreteria…

• Le persone al centralino/portineria• Questa figura ha la visibilità completa di chi entra e di chi esce

dall’azienda, inoltre smistano tutto il giorno: visitatori, tecnici, trasportatori e inoltre sono degli esperti di dove si trovano: depositi, apparati, sale server, contatori e altro.

10

Il momento dell’ attacco: Eludere il antivirus/firewall

• Per fare un attacco del genere dobbiamo:• Scoprire che software antivirus utilizza l’azienda• Controllare che esista una segreteria nella quale si

trovino i dati che ci servano• A questo punto, facciamo finta di aver scoperto che il

software antivirus che viene utilizzato è Norton. • Realizziamo quindi una pagina web fasulla simile a

quella ufficiale del software Norton. • Inseriamo in questa pagina web un software

precedentemente realizzato che permette di entrare nel computer della nostra vittima dopo che viene lanciato.

11

Il momento dell’ attacco: Conversazione

• Dopo aver preparato tutto ciò telefoniamo al centralino e facciamoci passare la segreteria.

• Gli spieghiamo che eravamo un sistemista di un altro ufficio collegato e che da un paio di giorni avevamo ricevuto una serie di e-mail contenenti un nuovo worm e proveniente specialmente da quel computer. La segreteria a questo punto molto probabilmente andrà in crisi, soprattutto se alimentiamo questa crisi dicendo che tutto ciò è pericolosissimo poiché un utente con pochi scrupoli potrebbe avere accesso a tutti i documenti riservati che si trovano in quel computer. La rassicuriamo però e la facciamo dirigere sul sito web fasullo che avevamo precedentemente preparato e le facciamo fare il download del trojan. Dopo averli fatto lanciare il programma gli diciamo che il computer deve rimanere acceso tutta la notte così che il software potesse verificare che il worm non reinfettasse nuovamente la macchina.

12

Analisi dell’attacco: Il tono di voce

• Come prima cosa è importantissimo il tono della voce: una sonora “faccia di bronzo” è un requisito fondamentale, dato che ovviamente non si ci può mettere a ridere in faccia al nostro interlocutore. Inoltre è bene ricordarsi che il nostro tono di voce ed il nostro atteggiamento devono essere adeguati alla circostanza.

• Può sembrare scontato, ma ovviamente non useremo un tono arrogante se pretendiamo di essere un neo assunto che chiede al responsabile di un reparto la password per collegarsi, né tantomeno, faremo gli umili se chiamiamo un impiegato pretendendo di essere l’amministratore di sistema alla ricerca di informazioni su un account.

• Adeguiamoci al contento e cerchiamo di avere chiara la struttura aziendale e di conoscere la posizione del nostro interlocutore in relazione alla figura che stiamo interpretando.

13

Analisi dell’attacco: Il gergo• Il gergo è una delle armi migliori e nel contempo un grosso

problema per l’attaccante. Un gergo tecnico molto criptico, intercalato dalle spiegazioni semplici è un ottimo metodo per intimidire un comune utente. Al contrario è necessario prestare particolare attenzione quando si parla con un responsabile fingendo di essere un neo assunto o un comune utente. Anni di esperienza possono aver radicato così profondamente un gergo molto tecnico all’interno del nostro linguaggio che potrebbe essere difficile esprimersi con termini non propri. Per fare un semplice esempio vi dirò adesso un paio di parole confrontandole con il loro significato comune:

• NT-1 ------- Scatola grigia sul muro• Router ------- Scatola piena di luci per collegarsi alla rete• Collegamento HDSL ------ Connessione ad Internet

14

Attenzione: Errori nella conversazione

• Inoltre bisogna resistere alla tentazione di spiegare eventuali errori che vi siete inventati per improvvisare la comunicazione. La frase odiata da qualunque reparto di assistenza tecnica è: “si è piantato tutto” o “non funziona niente”.

• La naturalezza è alla base di tutto, controllate quelle che combinate quando siete costretti a parlare con un po’ di nervosismo addosso. Niente fiumi di parole, niente pause eterne, niente balbettii o altro.

• Ma state pure attenti ad una eccessiva scorrevolezza, che da più una sensazione di nervosismo che di una persona normale.

• E se commettete un errore?• E se non sapete cosa dire?• Non vi preoccupate, andate avanti come nulla fosse, altrimenti non

farete altro che rimarcare il problema, inoltre anche gli addetti della stessa azienda possono commettere errori, quindi non c’è di che preoccuparsi.

15

CONCLUSIONI:

• Sia dagli Hacker sia dagli esperti di sicurezza è una tecnica che troppo spesso viene sottovalutata o dimenticata.

• Soprattutto per coloro che devono occuparsi della sicurezza in un sistema informativo, è una mancanza particolarmente grave dato che tramite questa è possibile ottenere informazioni vitali e ridurre drasticamente i tempi di un attacco informativo, eludendo tutti i sistemi di sicurezza che sono montanti.

• Insomma… potete installare sui vostri server i migliori programmi al mondo, ma è importante anche educare il personale che ci lavora, altrimenti è come avere una cassaforte con la combinazione riportata sopra di essa.