Il Social Engineering è l’abilità di alcuni soggetti propriamente detti hacker, di manipolare e in qualche modo controllare le azioni delle persone in modo da iniettare virus, malware o altri sistemi malevoli all’interno del perimetro di una azienda o di una organizzazione cosi da ottenere dati sensibili o informazioni riservate.
Si tratta di una minaccia molto comune e davvero diffusa in questo periodo e mette in luce non soltanto le debolezze informatiche di una organizzazione ma anche quelle di chi ci lavora che, senza una preparazione adeguata e che deriva da corsi di formazione mirati, rischia di non essere preparato ad attacchi di phishing, mail fasulle o alte tipologie di cyber-attacchi.
Anche quindi se ci troviamo di fronte ad una struttura informatica “sicura” su più livelli, rimane sempre la possibilità da parte degli hacker di prendere di mira il fattore umano carpendo quindi le informazioni direttamente dagli operatori.

Tecniche più diffuse di Social Engineering

Di metodologie per effettuare il social engineering ne esistono parecchie. Addirittra esistono appositamente dei tools anche in Kali Linux di cui abbiamo discusso nell’articolo dei Top 10 Hacking Tools più famosi  che aiutano a portare a termine attacchi di questo tipo. Il nome di questi strumenti è Social Engineering Toolkit e chiunque lavori nel campo della sicurezza informatica è bene che li conosca per sapere poi come difendersi. 
Vediamo in rassegna quali sono le tecniche più diffuse per il Social Engineering

Phishing

Si tratta di una tipologia di frode studiato allo scopo di rubare appunto informazioni sensibili e dati importanti come numeri di carte di credito, password, codici del conto corrente etc. 
Col Phishing si induce gli utenti vittime a rivelare con l’inganno le informazioni personali o finanziarie attraverso una email fasulla o un sito web fake. Negli ultimi anni anche Whatsapp e Facebook sono diventati vettori di questi attacchi.
Un esempio di un attacco di Phishing che potrebbe avvenire, parte da un messaggio di posta elettronica, un link che ci compare su Facebook o Whatsapp o un semplice banner pubblicitario in qualche applicazione o browser che usiamo di frequente. A prima vista ci sembra che sia tutto normale e che quel messaggio o quel link provenga da una fonte ufficiale e certificata come una banca o un amico. Solitamente il messaggio che compare ci invita a collegarci con un sito Web che graficamente è identico a quello originale e ci chiede di inserire le nostre informazioni come i dati personali e magari alcuni dati bancari o delle password.
Le informazioni che noi daremo verranno poi utilizzate per appropriarsi della nostra identità, dei nostri soldi o dei nostri dati da chi ha effettuato l’attacco.

phishing

Per la felicità dei cyber criminali, il Phishing continua ad avere vittime che abboccano e purtroppo questo dipende dal fatto che spesso una azienda spende molti soldi per avere attrezzature di sicurezza informaticha avanzate come Firewall o antivirus ma non considera che la formazione degli utenti ricopre un ruolo di estrema importanza in tutto ciò.

Impersonificazione

In questa tipologia di attacco che si sta diffondendo sempre più. chi esegue l’attacco finge di essere qualcun altro mettendo in atto una simulazione e vestendo i panni di un soggetto con cui la vittima ha un qualche tipo di relazione. La relazione fra i due soggetti in questione può essere di amicizia, di autorità, di deferenza oppure l’attaccante può impersonificare un soggetto con un ruolo istituzionale in modo da forzare le azioni della vittima.
L’impersonificazione informatica può sfruttare sistemi quali email o chiamate come mezzi tecnici di comunicazione.
Vediamo alcuni esempi:

  • Un primo standard che molti attaccanti utilizzano è quello di impersonificare un normale utente di dominio di una azienda falsificando la perdita delle credenziali all’amministratore dei sistemi
  • Un secondo esempio lo ritroviamo negli hacker che utilizzano le chiamate, mezzo molto più diretto, per impersonificare il supporto tecnico dell’hosting provider di un sito web, inscenando qualche problema del server e chiedendo quindi alla vittima le credenziali del sito web.
  • Un terzo caso potremmo ritrovarlo quando un hacker o attaccante invia una email vestendo i panni di un responsabile o di un capo settore chiedendo di avere accesso in maniera diversa dal solito a documenti, informazioni o dati che la vittima conosce per svariate possibili ragioni.

In tutti questi casi, attraverso l’ingenuità degli utenti, un hacker potrebbe rapidamente avere accesso a sistemi informatici, a dati sensibili e informazioni fondamentali con poche e semplici mosse.

 

Eavesdropping

Tradotto come intercettazioni si tratta di una serie ti tecniche messe in atto da un attaccante con lo scopo di intercettare messaggi, telefonate, mail o addirittura inserendosi nel flusso di trasmissione delle conversazioni.
Ci sono vari metodi per attuare questi tipi di attacchi che si spostano dal più semplice “origliare” al più complesso Man-in-the-middle in cui l’attaccante si inserisce in mezzo ad una conversazione fra due utenti.

man-in-the-middle

Social Engineering Inverso

Questo tipo di attacco, in inglese denominato come Reverse Social Engineering, fa si che l’attaccante crei un problema e allo stesso tempo si propone alla vittima designata come colui in grado di risolvere il problema. In questo modo l’utente ignaro dell’attacco in atto sarà propenso alla collaborazione dato che non gli sarà pervenuta una richiesta ma al contario sarà lui a richiedere un aiuto.
Questo attacco si divide in tre fasi:

  1. il sabotaggio in cui l’hacker crea un malfunzionamento all’interno della rete (per fare ciò esistono tools appositi discussi anche nell’articolo ….)
  2. fase di collaborazione in cui l’attaccante si propone come il soggetto che può risolvere il malfunzionamento o il problema
  3. il contatto attivo con la vittima

Shoulder Surfing

Si tratta di una metodologia di attacco abbastanza rara ma che comunque viene utilizzata in alcune circostanze. Proprio come dice il nome, fa si che l’attaccante sfrutti metodi di osservazione a distanza anche come il binocolo per guardare sullo schermo della vittima in modo da carpire quante più informazioni, dati o password possibili.
Sembra davvero una metodologia utilizzata solamente nei film ma in realtà anche nella vita di tutti i giorni ci potrebbe capitare di essere vittime di questo attacco

Soluzioni contro il Social Engineering

In un periodo in cui ci troviamo in questo momento dove le Fake News sono all’ordine del giorno, è fondamentale esser epreparati a fronteggiare attacchi di Social Engineering nel quale dipendenti e utenti rischiano, a causa di una bassa conoscenza di questi metodi, di rivelare informazioni a chi non dovrebbe conoscerle.
La formazione degli utenti è perciò di fondamentale importanza in uno scenario in cui vogliamo che la nostra azienda sia al sicuro.
Nexsys propone varie soluzioni di formazione sulla sicurezza informatica per utenti in modo da preparare tutti quei soggetti che sono a rischio di un attacco di Social Engineering all’interno di una organizzazione.
Un buon metodo di prova per verificare le conseguenze di un possibile attacco è quello di effettuare un Phishing Simulation Attack così da verificare cosa accadrebbe in queste situazioni.

Best Practices sulla sicurezza

Riassumiamo alcune best practices utili a chiunque abbia o lavori all’interno di una azienda con dei servizi informatici:

  1. Bisogna essere “educati” alla sicurezza. Come abbiamo detto in precedenza i corsi di formazione sulla sicurezza informatica in azienda sono fondamentali per evitare che trapelino informazioni a soggetti non autorizzati
  2. Bisogna essere consci delle informazioni in nostro possesso e di cosa stiamo rivelando. Quando un ente amministratico, un nostro superiore o un revisore o un nostro collega ci chiedono delle informazioni dobbiamo sempre essere in guardia rispetto a cosa stiamo dando e a chi
  3. Bisogna essere a conoscenza di quali sono le informazioni più importanti che un cyber criminale potrebbe volere da noi in modo da essere più attenti quando qualcuno ci chiede quelle specifiche informazioni o quei specifici dati
  4. Scrivere se possibile una policy per azioni che vanno fatte regolarmente come ad esempio il backup
  5. Bisogna mantenere i software aggiornati sempre e soprattutto evitare di utilizzare programmi di cui è scaduto il supporto

Queste sono soltanto alcune delle best practices che ogni azienda e ogni utente dovrebbero seguire per mantenere sicuri i sistemi informatici

In conclusione possiamo dire che è chiaro che un sistema informatico sicuro non dipende solo dai device che possiede ma anche dalla preparazione degli utenti che lavorano all’interno di quella azienda. Proprio per questo Nexsys propone corsi di formazione sulla sicurezza informatica per utenti mirati per preparare personale, utenti e amministratori ad essere preparati ad ogni eventualità di attacco.

Apri la chat
1
Possiamo aiutarti?
Ciao 👋
Possiamo aiutarti?
X