Significato e Differenza tra ingegneria sociale e ingegnere sociale in informatica

Significato e Differenza tra ingegneria sociale e ingegnere sociale in informatica

L’Ingegnere Sociale

L’ingegnere sociale è considerato dalla comunità come un hacker. Quest’ultimo viene sempre visto, in ambito informatico, come un vero e proprio truffatore. Esistono varie tipologie di hacker; L’ingegnere sociale si colloca all’interno di questa cerchia forse come il più subdolo, ovvero come colui che riesce ad ottenere ciò che vuole nel modo più semplice possibile, cioè chiedendo.
L’ingegnere sociale è altresì una persona capace di gestire le proprie emozioni, sempre attento ad ogni parola che dice e che non si ferma davanti a dei problemi insormontabili. E’ capace di trovare molteplici soluzioni creative al problema, al fine di aggirarlo, ma, anche nella vita, si può rappresentare come una persona curiosa sia in ambito informatico che in ambito psicologico.

Riconoscere un ingegnere sociale è davvero difficile, questo poiché si potrebbe nascondere dietro a qualsiasi persona: si potrebbe cioè presentare come un semplice cliente o come un esperto o, ancora, semplicemente come il nuovo addetto ai lavori. Fermare e smascherare un ingegnere sociale è per questo un compito arduo poiché della sua esistenza se ne avrà la certezza assoluta solo nel momento in cui il sistema sarà stato già compromesso e la diffusione di informazioni avvenuta.
Per tale motivo, il vero ingegnere sociale potrebbe nascondersi dietro ad un abile oratore, poiché non necessariamente è un super esperto di informatica, ma sicuramente è un esperto in comunicazione, cioè una persona capace di impersonificare qualsiasi figura professionale e presentarsi al prossimo come persona di riferimento cui riporre la propria fiducia.
Inconsapevolmente, pertanto, qualsiasi persona può essere un ingegnere sociale perché, nella vita di tutti i giorni, tutti noi almeno una volta abbiamo utilizzato le tecniche che, quotidianamente, un ingegnere sociale utilizza.

A titolo esemplificativo, di seguito viene riportato un attacco di ingegneria sociale che dimostra in pratica le caratteristiche finora descritte.

Esempio pratico: un’improvvisa chiamata, durante un tranquillo pomeriggio, ci costringe ad alzarci dalla nostra postazione per alzare la cornetta. Dall’altra parte c’è un certo Massimo, dipendente di un’agenzia aerea, che ci chiede quando passeremo a prendere i biglietti per Roma prenotati a nostro nome. Anche se non abbiamo mai prenotato un viaggio per Roma, il nostro interlocutore, che sembra una persona affidabile, sorride dall’altra parte del telefono e, dopo avergli detto più volte che non siamo noi ad aver prenotato questo viaggio, lui ci chiede ugualmente il codice fiscale per fare un controllo sulla prenotazione. Ecco fatto, dal controllo risulta che non siamo noi, chiudiamo la chiamata e ci dimentichiamo di Massimo che, a questo punto, ha ottenuto il nostro codice fiscale.

Significato e Differenza tra ingegneria sociale e ingegnere sociale in informatica

L’Ingegneria sociale

L’ingegneria sociale ha nella propria metodica, basata sulla “fiducia” e sulla “comunicazione”, piuttosto che su vere e proprie competenze di tipo informatico, i seguenti vantaggi:

  • è più facile da realizzarsi di qualsiasi altro metodo di hacking;
  • non necessita di specialisti ICT;
  • comporta costi minimi;
  • comporta basso rischio;
  • funziona con qualsiasi sistema operativo;
  • non richiede collegamento in rete;
  • non lascia tracciabilità;
  • è in genere sicura ed efficace;
  • non diventa obsoleta con il passare del tempo;
  • non è molto conosciuta tra le vittime.

Fasi di un attacco di social engineering informatico

Il vero obiettivo di un ingegnere sociale sono, dunque, le persone, specialmente quelle facilmente manipolabili. Come, d’altronde, sosteneva Albert Einstein: “soltanto due cose sono infinite, l’universo e la stupidità umana, e non sono tanto sicuro della prima”.
A tal scopo, l’ingegnere sociale generalmente sferra “attacchi” sulle vittime prescelte al fine da produrre, ad esempio, danni al core business di un’azienda o mettendo in crisi il suo sistema (questo perché l’ingegnere sociale difficilmente colpirà i sistemi per metterli offline). Ogni tipologia di attacco di social engineering informatico sferrato è suddiviso generalmente in quattro fasi principali: footprinting, contatto, manipolazione psicologica e fuga.

1° Fase: Footprinting

La prima fase denominata “footprinting” è la fase iniziale nella quale si studiano e si recuperano tutte le possibili informazioni sulla potenziale vittima di cui si necessita. Rispetto ad altri attacchi di sicurezza informatica, che spesso sono molto più tecnici e per i quali occorre avere importanti conoscenze informatiche di base, nell’ingegneria sociale spesso questa fase è fondamentale e senza di questa non è possibile proseguire.
La fase di footprinting ha una durata lunga nel tempo e si utilizzano tecniche e strumenti idonei per ricavare tutte le possibili informazioni rilevanti. In questa fase, inoltre, l’hacker deve utilizzare tecniche psicologiche per influenzare e manipolare a suo piacimento la vittima.

Durante la fase di footprinting l’obiettivo è il recuperare, tra le altre, le seguenti informazioni:

  • la lista degli impiegati con nome e numero di telefono;
  • il regolamento dell’organizzazione;
  • le informazioni sui dipartimenti;
  • le informazioni sulla locazione.
2° Fase: contatto

Dopo aver raccolto tutte le informazioni necessarie per sferrare l’attacco, l’ingegnere sociale decide di passare all’azione. Una volta che il possibile target è stato individuato, infatti, l’attaccante, prima di agire, dovrà cercare di stabilire un contatto con esso. Generalmente il target è un impiegato o qualcuno che lavora all’interno dell’organizzazione, con cui si deve instaurare un buon rapporto. La confidenza che l’ingegnere sociale gradualmente guadagna sarà usata, successivamente, per svelare informazioni confidenziali che possono causare gravi danni.

Occorre notare che, nella fase di contatto, ogni passo falso può compromettere l’attacco e far insorgere il dubbio, nella persona attaccata, di essere vittima di un qualcosa di pericoloso che potrebbe far scattare allarmi. E’ proprio in questa fase, d’altronde, che si possono notare le abilità di un ottimo ingegnere sociale rispetto ad altri meno esperti.

3° Fase: manipolazione psicologica

In questa fase l’ingegnere sociale manipola la fiducia e il rapporto instaurato nella fase precedente in modo da estrarre più notizie possibili o ottenere informazioni sulle operazioni “sensibili” che l’impiegato compie sui sistemi in modo da penetrarli più facilmente in seguito. Una volta che tutte le informazioni sensibili sono state raccolte, l’attaccante può muoversi verso il target successivo oppure sfruttare il sistema attualmente esaminato.

4° Fase: fuga

Nell’ultima fase di “fuga”, dopo aver recuperato ciò che voleva, l’ingegnere sociale elimina le proprie tracce, come all’interno di una scena del crimine, per poter essere irrintracciabile e tornare nell’ombra senza dare la possibilità alla vittima e alle forze di polizia di arrivare a lui. E’ proprio per questo motivo che un ottimo ingegnere sociale non si espone mai troppo, poiché se accade la vittima potrà riconoscerlo, se pur non potrà far più nulla per fermare l’attacco. Difatti, le uniche informazioni che possono ricondurre a lui dovrebbero essere le caselle mail, numeri di telefono e/o immagini e video di videosorveglianza, o IP relativi a connessioni.

Difesa contro attacchi di social engineering

Vediamo ora, le migliori tecniche per creare una difesa efficace contro attacchi di social engineering.
In particolare, per tale motivo, verrà fatto riferimento alle policy aziendali, ovvero le disposizioni unilaterali che normalmente disciplinano le modalità di utilizzo degli strumenti informatici, all’application & URL reputation (cioè i filtri browser) e, infine, alla IT Security Audit (metodologia di valutazione del rischio).

Occorre ricordare, innanzitutto, che non ci sono metodi efficaci in toto per proteggersi da un attacco di ingegneria sociale, in quanto, al di là della quantità di controlli che vengono implementati, ci sarà sempre un “fattore umano” che influenza il comportamento di un individuo e che non può essere né completamente controllato né prevenuto. E’ possibile però cercare di ridurre l’efficacia di un attacco e quindi di ridurne la riuscita attraverso l’assunzione di una serie di condizioni.

In tal senso, l’implementazione di alcuni controlli dovrebbe riguardare:

  • installare e mantenere aggiornati firewall, antivirus, antispyware, filtri email;
  • non lasciarsi “spiare” dalle persone;
  • creare una strategia di risposta agli incidenti informatici;
  • prestare attenzione agli URL dei siti. Spesso i siti clonati sono identici nell’aspetto, ma gli URL hanno piccole variazioni, lettere differenti o domini completamente diversi;
  • dettagli confidenziali o critici, come caselle email, non dovrebbero essere consultati in luoghi pubblici dove non è possibile stabilire la sicurezza della rete;
  • non inviare informazioni sensibili attraverso internet senza aver prima controllato la sicurezza;
  • non rivelare informazioni personali o finanziarie nelle email, e non rispondere a email che sollecitano la richiesta di tali informazioni;
  • usare tastiere virtuali quando disponibili;
  • assicurarsi di aver distrutto ogni documento che contiene dati sensibili prima di cestinarlo.

Le modalità di attacco con il social engineering sono oggigiorno praticamente infinite, da un lato grazie alla fantasia e intelligenza criminale dell’attaccante, dall’altro grazie alla disponibilità, fiducia e spesso poca attenzione della vittima. Bisogna quindi considerare come prima difesa in assoluto da questo tipo di attacchi il buon senso e la prudenza. Ciò vuol dire non rispondere e non aprire email non attendibili e/o da sconosciuti; se arrivano email da aziende/enti con cui interagiamo in via informatica verificare gli indirizzi e i contenuti, e prima di effettuare qualsiasi azione on-line controllare, ad esempio per telefono o presso gli uffici, la veridicità della richiesta arrivata via email. Infatti, anche se la maggior parte dei provider di posta elettronica utilizzano potenti filtri antiphishing, così come antispamming, comunque può arrivare posta e messaggistica “sospetta”.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: www.vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *