Difesa Cos'è l'Ingegneria Sociale? E perché è l'anello più debole della sicurezza informatica?

haxo

Helper
8 Maggio 2020
387
30
260
260
Ultima modifica:
social_engineering.png


Ingegneria sociale significa l'uso del proprio ascendente e delle capacità di Persuasione per ingannare gli altri convincendoli dell'ingegnere sociale sia quello che non è oppure manovrandoli. di conseguenza l'ingegnere sociale usare la Ge parli informazioni con o senza l'ausilio di strumenti tecnologici.



In questa epoca attenta alla sicurezza, investiamo notevoli somme di denaro per proteggere i sistemi informatici e i nostri dati. Tuttavia, ti dimosterò quanto sia facile ingannare chi dispone dell'accesso alle informazioni e grazie a lui risolvere il problema sopra citato.
Ingegneria sociale, tutto qui.

Possiamo dedurre da questo che l'ingegneria sia l'anello più debole della sicurezza, non importa quante e quali tecnologie utilizziamo per difenderci.

Un vecchio detto cita: "il computer sicuro è quello spento".
In realtà falso in quanto un pretesto potrebbe farlo accendere.
L'ingegneria sociale si basa su pretesti, immaginiamo l'aggressore che afferma di lavorare per il supporto IT e richiede la password del bersaglio per scopi di manutenzione.

L'ingegneria solitamente si basa anche sull'abuso di fiducia, in quanto egli è solitamente educato, simpatico e capace di instaurare un buon rapporto di fiducia.


1    PRINCIPIO D'ESCA

Solitamente l'ingegnere sociale utilizza anche il principio che sfrutta un esca:

questo attacco prevede di scatenare un senso dei curiosità della vittima, viene abitualmente creato un supporto fisico (USB, dvd..) con presente all'interno un malware. Nel supporto ci potrebbero essere etichette indicando che si tratta dei numeri di tutti i dipendenti, oppure le foto intime di qualche povera persona.


2    PRINCIPIO TAILGATING

Quando parliamo di aziende di medio-grandi dimensione, è possibile utilizzare cosidetta tecnica del tailgating.
Questa tecnica prevede l'accesso fisico all'azienda convincendo un dipendente di aver dimenticato il pass (se necessario).

un esempio potrebbe essere quello delll'attaccante, vestito da dipendente, porta con sé una grossa scatola e convince la vittima, che è un dipendente autorizzato che entra nello stesso momento, ad aprire la porta del data-center utilizzando il pass RFID della vittima, sostenendo di aver dimenticato il pass in macchina.

Tutti i dipendenti che arrivano in ufficio senza il tesserino dovrebbero essere fermati al banco e portati nell'ufficio di sorveglianza per il rilascio di un pass temporaneo, cioè le guardie dovrebbero seguire delle procedure standard in caso il dipendente non abbia il tesserino.

3    PRINCIPIO DI INTIMIDAZIONE E AUTORITA'

Questi due principi sfruttano qualcosa di molto potente, l'ansia.

come dice il nome, il principio di autorità prevede che l'attaccante può atteggiarsi come un''autorità per aumentare la probabilità di adesione da parte della vittima, ad esempio fingendo di essere il manager aziendale o la polizia postale.

Il principio di autorità si lega bene con il principio di intimidazione, in quanto L'aggressore informa che ci saranno conseguenze negative se le azioni non vengono eseguite.

4    TRASHING

Se ti dicessi che potrei violare un'azienda semplicemente scavando nella spazzatura?
cito il buon kevin david mitnick (l'arte dell'inganno, pag 158)

Una volta, mentre cercavo con certi amici, trovammo dei fogli stracciati a mano. Qualcuno s'era preso la briga di ridurli in tanti pezzettini comodamente gettati in un sacchetto singolo. Portammo il sacco in un fast-food, rovesciammo i frammenti sul tavolo e iniziammo a metterli assieme. Eravamo tutti appassionati di puzzle, così quella fu l'occasione stimolante di risolvere um rompicapo maxi.. però il premio non fu una cosa da bambini. Alla fine avevamo ricostruito l'intero elenco username ep assword del cruciale sistema informatico dell'azienda.

E' quindi necessario prestare attenzione all'immondizia seguendo alcune regole:

  • Classificare le informazioni delicate in base a livelli di riservatezza.
  • Insistere affinchè fogli contenti informazioni delicate vengano tritate (non dei classici tritadocumenti, in quanto renderà solo il foglio in strisce lunghe, facili da leggere, bensì le cosidette "cross-shaders").
  • Prima di buttare supporti ci, verificarne il funzionamento: verificare che sia impossibile leggerne i dati (cioè rompete i supporti). Ricordate che la cancellazione di informazioni non assicura che i dati non possano essere recuperati.
  • Usare bidoni separati per diverso tipo di informazione (vedi punto 1)



5    COME PROTEGGERSI


Dal momento che i sistemi sono sempre più sicuri e difficili da "bucare" questi attacchi cercano di fare leva sui punti deboli delle persone che utilizzano tali sistemi e rimangono l'anello debole per ottenere password e accessi soprattutto se non formate adeguatamente.

Quindi per evitare attacchi di questo tipo la prima regola è di istruire gli utenti a riconoscere i vettori e come funzionano i tentativi di attacco.
Per una organizzazione ad esempio sarà utile insegnare ai dipendenti di non inserire supporti usb sconosciuti (che potrebbero contenere malware) sui propri pc di lavoro.

Nel caso di phishing via mail è importante verificare con attenzione oggetto, che quasi sempre tenta di mettere ansia e fretta al destinatario con termini come ATTENZIONE o URGENTE, in questo modo gli attaccanti cercano di mettere nel panico il destinatario sperando che non faccia attenzione al dominio falso nel quale l'attaccante tenta di raccogliere credenziali e dati personali.




La prima regola è la diffidenza, stare molto attenti se nel testo della mail si viene minacciati della disattivazione dell'account se non vengono forniti username, password, cellullare e altri dati...
Meglio ignorare una mail legittima piuttosto che cadere nel tranello di una fake mail, in caso di dubbi su informazioni importanti è una buona regola contattare telefonicamente il mittente legittimo per chiedere informazioni.

Verificare sempre i campi Da: e A: dell'email per assicurarsi che siano autentici e che non siano dei domini mail falsificati come ad esempio [email protected] (la polizia postale e le istituzioni non usano account gmail) oppure viene spoofato l'indirizzo mittente dietro al quale si cela un indirizzo falso.


In ogni caso non fornire mai dati personali via mail, nessun organizzazione chiederà agli utenti di inviare via mail password o dati personali o di inserire i dati personali per evitare il blocco di un utenza.


Untitled.jpeg
 
Davvero interessante, il problema di fondo è che ancora oggi nel 2023 nelle aziende grandi chi si occupa di sicurezza ha spesso e volentieri poca o niente preparazione tecnica , cercano spesso personale con percorso di studi inerente alla criminologia o psicologia addirittura più che informatica; e ai dipendenti somministra una preparazione più di rito che effettiva ; questo fa si che l'anello debole sia la persona ma per forza di cosa , nemmeno i 2 ultimi anni disastrosi in termini di sicurezza hanno cambiato la prassi , non ci resta che attendere la disgrazia finale 😳
 
  • Mi piace
Reazioni: Eoloprox
Davvero interessante, il problema di fondo è che ancora oggi nel 2023 nelle aziende grandi chi si occupa di sicurezza ha spesso e volentieri poca o niente preparazione tecnica , cercano spesso personale con percorso di studi inerente alla criminologia o psicologia addirittura più che informatica; e ai dipendenti somministra una preparazione più di rito che effettiva ; questo fa si che l'anello debole sia la persona ma per forza di cosa , nemmeno i 2 ultimi anni disastrosi in termini di sicurezza hanno cambiato la prassi , non ci resta che attendere la disgrazia finale 😳
Dovrebbero creare corsi specifici magari gratuitamente obbligatori. Ma siccome ci sono metodi che non vorrei menzionare, avendo tante idee, grazie anche all'intuito ci sarebbero tanti altri bypass per ricevere le info da parte della vittima. Penso che comunque si risolva sempre al 40%, perchè uscirebbero sicuramente cose nuove. Articolo interessante, grazie! ---> riferito ad haxo