Nel campo della sicurezza delle informazioni per ingegneria sociale (dall'inglese social engineering) si intende lo studio del comportamento individuale di una persona al fine di carpire informazioni. Con l'evoluzione del software, l'uomo ha migliorato i programmi a tal punto che essi presentano pochi bug (errori che i programmatori generalmente commettono quando creano un software). Per un Cracker sarebbe impossibile attaccare un sistema informatico in cui non riesce a trovare bug. Quando ciò accade l'unico modo che il cracker ha per procurarsi le informazioni di cui necessita è quello di attuare un attacco di ingegneria sociale.
Un ingegnere sociale (social engineer) per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire.
Un social engineer è molto bravo a nascondere la propria identità, fingendosi un'altra persona: in tal modo egli riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale. Nel caso sia un cracker, può ricavare informazioni attinenti ad un sistema informatico. Il social engineering è quindi una tecnica per ricavare informazioni molto usata dagli hacker esperti e dalle spie, e dato che comporta (nell'ultima fase dell'attacco) il rapporto più diretto con la vittima, questa tecnica è una delle più importanti per carpire informazioni. In molti casi il cosiddetto ingegnere potrà riuscire a ricavare tutto ciò che gli serve dalla vittima ignara.
Le fasi dell'attacco
Il social engineer comincia con il raccogliere informazioni sulla vittima per poi arrivare all'attacco vero e proprio. Durante la prima fase (che può richiedere anche alcune settimane di analisi), l'ingegnere cercherà di ricavare tutte le informazioni di cui necessita sul suo bersaglio: e-mail, recapiti telefonici, ecc. Superata questa fase, detta footprinting, l'ingegnere passerà alla fase successiva, cioè quella che gli permetterà di verificare se le informazioni che ha ricavato sono più o meno attendibili, anche telefonando all'azienda del bersaglio e chiedendo cortesemente di parlare con la vittima. La fase più importante, quella che determinerà il successo dell'attacco, è lo studio dello stile vocale della persona per la quale vuole spacciarsi (ad esempio cercando di evitare in tutti i modi l'utilizzo di espressioni dialettali e cercando di essere quanto più naturale possibile, sempre utilizzando un tono neutro e cortese). In questa fase l'attaccante avrà sempre vicino a sé i propri appunti con tutte le informazioni raccolte nella fase di footprinting, dimostrandosi pertanto sicuro nel caso gli venisse posta qualche domanda.
Molto spesso il social engineering viene utilizzato per ricavare informazioni su privati (phishing). Un esempio di azione di questo genere può essere una falsa e-mail, mandata da un aspirante ingegnere sociale fingendosi magari un amministratore di sistema, o un membro di qualche grosso ente. Vengono richiesti al malcapitato di turno nome utente e password di un suo account, ad esempio quello di posta elettronica, con la scusa di fare dei controlli sul database dell'azienda. Se la vittima cade nel tranello, il social engineer avrà ottenuto il suo obiettivo, ossia una breccia nel sistema della vittima, da cui potrà iniziare una fase di sperimentazione allo scopo di violare il sistema stesso.
Michele Balzano
giovedì 16 dicembre 2010
Iscriviti a:
Post (Atom)
Post più popolari
-
Si sta sempre più diffondendo un malware che blocca il computer con una schermata che utilizza i loghi della Guardia di Finanza o della Poli...
-
Oggi vi parlerò di un nuovo modo che ho sperimentato per eliminare dal vostro computer tutte le varianti del virus POLIZIA DI STATO-GUARDIA ...
-
Molte persone mi chiedono informazioni relativamente a come windows conserva le password delle più diffuse applicazioni. In questo post cer...
-
Ogni volta che sul computer accettate di memorizzare una password per accellerare il login successivo, il computer memorizza in un area (Reg...
-
Ciao Ragazzi, Oggi vi spiego come trovare le password di tutti gli utenti che accedono ad un computer Windows XP o Windows Vista compresa...
-
Come sapete iTune s consente di creare il backup delle impostazioni e di altre informazioni memorizzate sull' iPhone e sull'iPod t...
-
Stavo conducendo uno studio relativamente al criterio del conteggio delle di visualizzazioni dei video di YouTube. Pertanto ho scritto un pi...
-
Con questo Post-Elenco vorrei riallacciarmi al mio articolo sui GoogleDork . Segnalandovi quella che io considero l’Hit Parade del Google ...
-
Esistono solo due modi per sapere la password di Facebook: 1°) Farsela dire dal proprietario dell’account. Magari facendo un po...
-
Ecco un efficace sistema per eliminare il famoso file index.dat , eludendo la protezione di Windows e soprattutto senza dover installare...
Questo opera è distribuita con licenza Creative Commons Attribuzione - Non commerciale - Non opere derivate 2.5 Italia.