Le tecniche descritte in questo articolo sono dei REATI. Lo scopo di quello che segue non è l’istigazione a compiere degli illeciti, ma serve ad aumentare la consapevolezza di come sia facile cadere vittima di questi tipi di attacco.
È innegabile che l’anello debole della catena della sicurezza informatica sia l’utente, nella più ampia accezione del termine (utilizzatore, manutentore, pianificatore, decisore…).
Come Kevin Mitnick ha dimostrato in The Art of Intrusion, l’utilizzo di tecniche di social engineering può consentire di commettere crimini molto efferati oltre che scherzi ben riusciti.
Uno degli esempi più comuni dell’utilizzo criminale del social engineering è questo. Pensate ad un’organizzazione che conoscete bene (potrebbe essere anche la vostra) che abbia più di una sede o che abbia tanti collaboratori che lavorano spesso in remoto o con un turnover molto fitto. Immaginate cosa potrebbe succedere se uno chiamasse al telefono una delle sedi e dicesse qualcosa tipo: «Salve sono Xxxxx Xxxxxx. Senti, sono un nuovo collega e mi hanno messo subito a lavorare sul cliente Yyyyyyy, ma non mi hanno ancora dato una mail. Siccome Zzzzzz vuole una risposta in tempi brevi, non è che potresti inviarmi in allegato i file su cui state lavorando sul mio account di Gmail?». Naturalmente non si può telefonare a caso alla prima organizzazione e fare una domanda del genere, chi attacca deve sapere che Yyyyyyy è effettivamente un cliente e Zzzzzz un responsabile che lavora su quel cliente. Queste notizie si ottengono di solito chiacchierando con chi lavora in quell’organizzazione e/o facendo telefonate civetta per sondare l’organizzazione e/o visitando il sito dell’organizzazione e/o con metodi di trashing o similari. Loose lips sink ships.
Sul lato più strettamente informatico, il social engineering è utilizzatissimo, dalle chiavette USB infette disperse ad arte vicino ad un’azienda da attaccare alle finte finestre di avviso che il vostro PC è infetto.
A tutto quanto si unisce SET, un kit di programmi con un’interfaccia di gestione che permette di avere a disposizione un vero arsenale per portare attacchi di social engineering.
Tutto quanto non significa che da oggi ciascuno deve sparare a vista, negare ogni tipo di aiuto ai colleghi o chiamare il supporto IT ad ogni finestra che compare a video. L’importante è essere consapevoli che certi attacchi possono esistere.
Lascia un commento