Magazine Informatica

Social engineering: come funziona

Creato il 25 giugno 2011 da Hnikarr
Social engineering, di solito tradotto come “ingegneria sociale”, è il termine sotto il quale vengono raccolte diverse tecniche, che hanno in comune uno stesso obbiettivo: raccogliere informazioni da una persona e/o ottenere che una persona faccia ciò che noi vogliamo, senza che questa persona se ne renda conto. Detta in parole semplici, è l’arte di imbrogliare e manipolare le persone.In ambito informatico, il social engineering è utilizzato molto spesso per colpire il più grande punto debole di ogni sistema computerizzato: l’utente. Chi usa un computer, infatti, è anche la più grave minaccia per la sicurezza del computer stesso e questo è un punto chiave, da tenere sempre presente. Il più potente impianto di sicurezza al mondo diventa inutile, se poi sei tu stesso ad aprire la porta al primo che suona al citofono, presentandosi come “il postino”; per quanto sia aggiornato ed efficace il tuo antivirus, per quanto solido e inattaccabile sia il tuo firewall, saranno completamente inutili se poi sei tu stesso a far entrare il nemico. Vi dice niente la storia del Cavallo di Troia? Per certi versi, lo possiamo considerare un esempio di social engineering, attuato dai greci ai danni dei troiani.Il social engineering funziona proprio così: far credere alla vittima che noi siamo un’altra persona, una persona di cui si fida o di cui si può fidare. In questo modo, la vittima abbasserà le difese e, pian piano, si lascerà imbrogliare da noi: potrebbe così svelarci informazioni importanti, oppure accettare di scaricare un file che noi le inviamo e così via. Di solito, lo scopo del social engineering è proprio quello di raccogliere informazioni (password, numeri di telefono, indirizzi, numero di carta di credito e quant’altro), ma in certi casi può anche essere utilizzato per far installare alla vittima un trojan sul proprio computer; in ogni caso, si tratta di aggirare le difese del computer e attaccare direttamente chi lo usa, senza che la vittima si accorga dell’attacco.Una tecnica per imbroglioni, insomma.Possiamo distinguere due diversi tipi di vulnerabilità da sfruttare attraverso il social engineering:
  • vulnerabilità generali;
  • vulnerabilità individuali.

Sfruttare i difetti comuni

Questa è la forma più semplice e banale di social engineering: si limita a sfruttare in modo generico due grandi punti deboli degli utenti: la pigrizia e l’inesperienza. Invece di attaccare sulla base di uno studio accurato della vittima, in questo caso si cerca di attaccare sulla base di statistiche, considerazioni generali e tendenze degli utenti. Assomiglia agli attacchi da dizionario, utilizzati per scoprire una password.Molti utenti, infatti, si preoccupano poco della solidità delle proprie password: alcuni ne utilizzano una sola, riciclandola ogni volta che si devono iscrivere a qualcosa; altri utilizzano password standard, lasciando spesso quelle che sono proposte in automatico dal sito; altri ancora premono qualche tasto di fila e creano password come 12345, oppure qwerty. In questi casi, non c’è bisogno di grande fatica per entrare nell’account di una persona, oppure per aprire un file protetto. Un altro caso tipico è quello della password creata usando la propria data di nascita: basta un giro su Google o su Facebook e la scopriremo subito.Come vediamo, non si tratta di raccogliere informazioni su un utente specifico per poi imbrogliarlo, ma di sfruttare le vulnerabilità che sono presente di default nella maggior parte degli utenti, ossia tutti quelli troppo pigri per cambiare la password (e NON lasciare la password di base, nel caso di un router o di un sito), utilizzare password diverse o anche solo pensare a qualcosa di più complicato, per rafforzare le difese. Per difendersi da questi attacchi generici, la soluzione è usare password diverse e che, possibilmente, non siano facili da ricostruire. Mischiare lettere maiuscole, minuscole e numeri può servire a rafforzare la password (sì, lo so che è molto triste, ma tanto è una cosa che resterà segreta), ma soprattutto sarà utile non utilizzare parole normali, soprattutto non se le lasciamo così come sono.In questo campo rientra anche il phishing, molto spesso, nella misura in cui il suo obbiettivo non è una persona specifica, ma il maggior numero possibile di vittime. E col phishing generalmente è proprio così: nelle varie e-mail cambia soltanto il nome della vittima, ma il loro contenuto è uguale e cercano tutte di sfruttare la credulità delle vittime nello stesso modo.

Attacchi mirati

Sfruttare le vulnerabilità specifiche di una persona è l’essenza del social engineering. Abbiamo visto come sia possibile farlo su Facebook, parlando dei furti di identità: basta assumere l’identità di un amico o di un conoscente della vittima e ingannarla ottenendo la sua fiducia. Questo è anche il metodo che richiede maggior lavoro, perché prima di un attacco sarà necessario raccogliere molte informazioni sulla vittima e preparare con cura il piano di azione: social network e Google, però, di recente hanno semplificato molto le cose, rendendo più facile e veloce trovare le informazioni personali che servono (luogo di residenza, data di nascita, nome completo, situazione familiare e lavorativa, scuole frequentante, nomi di familiari e amici, eccetera).In certi casi, potrebbero già essere sufficienti queste informazioni, a seconda dell’obbiettivo che si ha; in altri casi, la maggioranza, queste informazioni saranno solo la prima parte del lavoro, prima di contattare la vittima stessa. Dopo la raccolta preliminare, l’attacco vero e proprio avrà luogo con una telefonata, una e-mail, o anche una richiesta di amicizia, a seconda degli obbiettivi: il contatto diretto sarà sempre giustificato da un qualche pretesto, variabile a seconda del ruolo che il “nemico”  avrà deciso di interpretare. Potrebbe essere un vecchio compagno che non sentite da molti anni, un collega di lavoro trasferito, un parete di un vostro amico, un consulente della vostra banca, qualsiasi maschera abbia deciso di utilizzare. Lo scopo sarà comunque di ottenere la vostra fiducia e le informazioni che interessano a lui, di qualunque tipo esse siano.Per quanto riguarda i rischi che si possono correre su social network come Facebook, ne abbiamo già parlato occupandoci appunto di furti di identità e stalking, per cui non mi ripeterò. Il mondo della Rete è alquanto vulnerabile a questo tipo di attacchi, proprio perché la distanza e l’impersonalità dei computer tendono ad abbassare le difese degli utenti, i quali si sentono più sicuri, protetti dalla distanza fisica e dall’essere dietro a uno schermo... e non si accorgono di quante loro informazioni private stiano svelando, informazioni di cui chiunque potrà approfittare.Il sistema per proteggersi da questi attacchi ve lo ha spiegato vostra madre quando eravate bambini: mai parlare con gli sconosciuti, mai accettare niente dagli sconosciuti. Sono attacchi che puntano proprio sulle vulnerabilità degli utenti, per cui non esistono programmi in grado di proteggerci: ci può proteggere però il buonsenso, unito a una certa dose di diffidenza. E poi, naturalmente, una più attenta protezione dei nostri dati personali, ma questo è un altro paio di maniche.

Potrebbero interessarti anche :

Ritornare alla prima pagina di Logo Paperblog

Possono interessarti anche questi articoli :

Vedi articolo originale
Segnala un abuso

A proposito dell'autore


Hnikarr 2297 condivisioni Vedi il suo profilo
Vedi il suo blog

L'autore non ha ancora riempito questo campo L'autore non ha ancora riempito questo campo

I suoi ultimi articoli

Vedi tutti

Dossier Paperblog

Magazines