Il Social Engineering è l’abilità di alcuni soggetti propriamente detti hacker, di manipolare e in qualche modo controllare le azioni delle persone al fine di iniettare virus, malware o altri sistemi malevoli all’interno del perimetro di una azienda o di un’organizzazione cosi da carpire dati sensibili o informazioni riservate.
Si tratta di una minaccia molto comune e davvero diffusa in questo periodo, e mette in luce non soltanto le debolezze informatiche di un’organizzazione ma anche quelle di chi ci lavora che, senza una preparazione adeguata derivante da corsi di formazione mirati, rischia di non essere preparato ad attacchi di phishing o verso altre tipologie di cyber-attacchi.
Anche se ci troviamo di fronte ad una struttura informatica “sicura” su più livelli, quindi, rimane sempre la possibilità da parte degli hacker di prendere di mira il fattore umano carpendo le informazioni direttamente dagli operatori.
Tecniche più diffuse di Social Engineering
Esistono diverse metodologie per effettuare il social engineering così come esistono appositamente dei tools, presenti anche in Kali Linux di cui abbiamo discusso nell’articolo dei Top 10 Hacking Tools più famosi, che aiutano a portare a termine attacchi di questo tipo.
Questi tools sono racchiusi in un framework, chiamato Social Engineering Toolkit e chiunque lavori nel campo della sicurezza informatica è bene che li conosca per sapere poi come difendersi.
Vediamo in rassegna quali sono le tecniche più diffuse per il Social Engineering.
Phishing
Si tratta di una tipologia di frode studiata allo scopo di rubare informazioni sensibili e dati importanti come numeri di carte di credito, password, codici del conto corrente etc.
Col Phishing si inducono gli utenti vittime a rivelare con l’inganno le informazioni personali o finanziarie attraverso una email fasulla o un sito web fake. Negli ultimi anni anche Whatsapp e Facebook sono diventati vettori di questi attacchi.
Un esempio di un attacco di Phishing che potrebbe avvenire, parte da un messaggio di posta elettronica, un link che ci compare su Facebook o Whatsapp o un semplice banner pubblicitario in qualche applicazione o browser che usiamo di frequente.
A prima vista ci sembra che sia tutto normale e che quel messaggio o quel link provenga da una fonte ufficiale e certificata come una banca o un amico. Solitamente il messaggio che compare ci invita a collegarci con un sito Web che graficamente è identico a quello originale e ci chiede di inserire le nostre informazioni come i dati personali e magari alcuni dati bancari o password.
Le informazioni che noi daremo verranno poi utilizzate per appropriarsi della nostra identità, dei nostri soldi o dei nostri dati da chi ha effettuato l’attacco.
Per la felicità dei cyber criminali, il Phishing continua ad avere vittime che abboccano e purtroppo questo dipende dal fatto che spesso una azienda spende molti soldi per avere attrezzature di sicurezza informaticha avanzate come Firewall o antivirus ma non considera che la formazione degli utenti ricopre un ruolo di estrema importanza in tutto ciò.
Impersonificazione
In questa tipologia di attacco, che si sta diffondendo sempre più, l’esecutore finge di essere qualcun altro mettendo in atto una simulazione e vestendo i panni di un soggetto con cui la vittima ha un qualche tipo di relazione.
La relazione fra i due soggetti in questione può essere di amicizia, di autorità, di deferenza oppure l’attaccante può impersonificare un soggetto con un ruolo istituzionale in modo da forzare le azioni della vittima.
L’impersonificazione informatica può sfruttare sistemi quali email o chiamate come mezzi tecnici di comunicazione. Vediamo alcuni esempi:
- Un primo standard che molti attaccanti utilizzano è quello di impersonificare un normale utente di dominio di una azienda falsificando la perdita delle credenziali all’amministratore dei sistemi.
- Un secondo esempio lo ritroviamo negli hacker che utilizzano le chiamate, mezzo molto più diretto, per impersonificare il supporto tecnico dell’hosting provider di un sito web, inscenando qualche problema del server e chiedendo quindi alla vittima le credenziali del sito web.
- Un terzo caso potremmo ritrovarlo quando un hacker o un attaccante invia una email vestendo i panni di un responsabile o di un capo settore chiedendo di avere accesso in maniera diversa dal solito a documenti, informazioni o dati che la vittima conosce per svariate possibili ragioni.
In tutti questi casi, attraverso l’ingenuità degli utenti, un hacker potrebbe rapidamente avere accesso a sistemi informatici, a dati sensibili e informazioni fondamentali con poche e semplici mosse.
Eavesdropping
Tradotto come intercettazioni si tratta di una serie di tecniche messe in atto da un attaccante con lo scopo di intercettare messaggi, telefonate, mail o addirittura inserendosi nel flusso di trasmissione delle conversazioni.
Ci sono vari metodi per attuare questi tipi di attacchi che si spostano dal più semplice “origliare” al più complesso “Man-in-the-middle” in cui l’attaccante si inserisce in mezzo ad una conversazione fra due utenti.
Social Engineering Inverso
Questo tipo di attacco, in inglese denominato come Reverse Social Engineering, fa sì che l’attaccante crei un problema ed allo stesso tempo si propone alla vittima designata come colui in grado di risolvere il problema. In questo modo l’utente ignaro dell’attacco in atto, sarà propenso alla collaborazione dato che non gli sarà pervenuta una richiesta ma al contrario sarà lui a richiedere un aiuto.
Questo attacco si divide in tre fasi:
- sabotaggio in cui l’hacker crea un malfunzionamento all’interno della rete (per fare ciò esistono tools appositi discussi anche nell’articolo dei top 10 tools Hack in Kali)
- fase di collaborazione in cui l’attaccante si propone come il soggetto che può risolvere il malfunzionamento o il problema
- contatto attivo con la vittima
Shoulder Surfing
Si tratta di una metodologia di attacco abbastanza rara ma che comunque viene utilizzata in alcune circostanze. Proprio come dice il nome, fa sì che l’attaccante sfrutti metodi di osservazione a distanza come il binocolo per guardare sullo schermo della vittima in modo da carpire quante più informazioni, dati o password possibili.
Sembra davvero una metodologia utilizzata solamente nei film ma in realtà anche nella vita di tutti i giorni ci potrebbe capitare di essere vittime di questo attacco.
Soluzioni contro il Social Engineering
Nel periodo in cui ci troviamo in questo momento, dove le Fake News sono all’ordine del giorno, è fondamentale essere preparati a fronteggiare attacchi di Social Engineering nel quale dipendenti e utenti rischiano, a causa di una bassa conoscenza di questi metodi, di rivelare informazioni a chi non dovrebbe conoscerle.
La formazione degli utenti è perciò di fondamentale importanza in uno scenario in cui vogliamo che la nostra azienda sia al sicuro.
Nexsys propone varie soluzioni di formazione sulla sicurezza informatica per utenti in modo da preparare tutti quei soggetti che sono a rischio di un attacco di Social Engineering all’interno di una organizzazione.
Un buon metodo di prova per verificare le conseguenze di un possibile attacco è quello di effettuare un Phishing Simulation Attack così da verificare cosa accadrebbe in queste situazioni.
Best Practices sulla sicurezza Social Engineering
Riassumiamo alcune best practices utili a chiunque abbia o lavori all’interno di una azienda con dei servizi informatici:
- Essere “educati” alla sicurezza: come abbiamo detto in precedenza, i corsi di formazione sulla sicurezza informatica in azienda sono fondamentali per evitare che trapelino informazioni a soggetti non autorizzati
- Essere consci delle informazioni in nostro possesso e di cosa stiamo rivelando: quando un ente amministrativo, un nostro superiore, un revisore o un nostro collega ci chiedono delle informazioni dobbiamo sempre essere in guardia rispetto a cosa stiamo dando e a chi
- Essere a conoscenza di quali sono le informazioni più importanti che un cyber criminale potrebbe volere da noi in modo da essere più attenti quando qualcuno ci chiede quelle specifiche informazioni o quei specifici dati
- Scrivere se possibile una policy per azioni che vanno fatte regolarmente come ad esempio il backup
- Mantenere i software aggiornati sempre e soprattutto evitare di utilizzare programmi di cui è scaduto il supporto
Queste sono soltanto alcune delle best practices che ogni azienda e ogni utente dovrebbero seguire per mantenere sicuri i sistemi informatici.
In conclusione possiamo dire che è chiaro che un sistema informatico sicuro non dipende solo dai device che possiede ma anche dalla preparazione degli utenti che lavorano all’interno di quella azienda.
Proprio per questo Nexsys propone corsi di formazione sulla sicurezza informatica per utenti mirati per preparare personale, utenti e amministratori ad essere preparati ad ogni eventualità di attacco.