In questo articolo vediamo che cos’è l’ingegneria sociale, e come viene utilizzata da un malintenzionato per rubare dati (e non solo).

Hai mai sentito parlare dell’ ingegneria sociale?

[blockquote cite=”Wikipedia”]L’ ingegneria sociale è lo studio del comportamento individuale di una persona al fine di carpire informazioni utili. [/blockquote]

Così lo definisce Wikipedia. Di fatto, con il termine ingegneria sociale in sicurezza informatica, si intende un approccio con la quale un malintenzionato, anche senza grandi abilità informatiche, riesce a penetrare qualsiasi sistema, account e computer.

Esattamente: senza grandi abilità informatiche.

Questo perchè? Beh, vediamo uno scenario d’esempio: vuoi trovare la password dell’ email di una persona. Come sfruttare l’ingegneria sociale per riuscire a trovarla?

Ci sono due modi:

  1. Glie la chiedi semplicemente.
  2. Fai come lui.

Glie la chiedi semplicemente

Ormai, nesssuno ci casca più in quanto il metodo è conosciuto da tutti (ma anche grazie a questo). Una volta invece, per essere un grande “haker” bastava crearsi un’email del tipo:

support-hotmail@hotmail.it

O comunque che richiami un ipotetico centro assistenza di hotmail(of course, hotmail per esempio ma dipende ovviamente dall’account di posta di cui si vuole trovare la password), e poi inviare alla vittima una mail tipo:

Ciao nomevittima,

Di recente abbiamo trovato strani accessi nel suo indirizzo email. Per essere sicuri che non sia stato crackkato e per confermarci che sei tu, abbiamo bisogno di:

  • Nome,
  • Cognome,
  • Data di nascita,
  • Password

Se sei interessato a mantenere aperta questa email, invia pure i dati richiesti come risposta a questo indirizzo. In caso non la utilizzi più, ignora pure questo messaggio e attendi la chiusura della casella di posta.

Grazie per l’attenzione,

Supporto Windows Live Hotmail

Fortunatamente questa tecnica è stata così sovrasfruttata, che non ci casca più nessuno (nella maggior parte dei casi): questo non vuol dire però che la tecnica sia completamente da buttare, e vedremo perchè.

Rubare dati: bravi scrittori ed attori più che informatici

Kevin Mitnick è probabilmente il cracker più famoso al mondo: è riuscito a penetrare  tantissimi sistemi importanti (fra cui ricordiamo Nokia e Motorola) ed è stato ricercato per diversi anni dall’ FBI prima di riuscire ad essere preso.

Questa, guarda caso, era la sua tecnica preferita: il Social Engineering (o ingegneria sociale).

social-engineering-telephone

Nell’esempio della mail di poco fa, abbiamo introdotto un ingrediente molto importante dell’ ingegneria sociale: quando Kevin chiamava la compagnia che voleva crackkare per chiedere informazioni ai dipendenti, non faceva chiamate tipo:

“Ciao tizio, mi serve la password per accedere al vostro server”

Ma una conversazione poteva essere:

“Salve, sono John questa è l’assistenza per la centrare x come possiamo aiutarla?”
“Ciao John, sono Bob del servizio tutela dei dipendenti dell’azienda x. Posso farti qualche domanda su come ti trovi?”
“Certo!”
“Ottimo, su una scala da uno a 10 come ti sembra la durata della giornata lavorativa?”
…(domande inutili su come si trova in azienda)…
“Perfetto John, abbiamo finito. Ora mi servono il Nome e Cognome completi”
“John Ecila”
“E il tuo numero identificativo?”
1432452
“Ti ringrazio per il tempo John, buon lavoro!”
“Grazie a te per la chiaccherata!”

Uno dei segreti per la riuscita infatti, è sviare i sospetti: dopo aver fatto un pò di domande e parlato, la vittima entra in empatia con te. L’ideale poi, sarebbe chiedere i dati che ci interessano fra le domande che stiamo facendo o comunque chiedere anche informazioni completamente inutili per poi inserirci anche quelle che interessano a noi.

Facciamo finta ora, che il numero di poco fa si riferisse ad un dipendente di un negozio di DVD. Quello che potrebbe fare poi l’attaccante è chiamare una filiale:

“Ciao mi chiamo Michele, sono della filiale di torino.”
“Ciao Michele, sono Davide come posso aiutarti?”
“Il mio capo è uscito e ho un cliente quì di fronte che mi ha chiesto se può ordinare un film: per qualche motivo il computer non vuole collaborare. Ho dovuto riavviare il sistema e adesso la password salvata in automatico non c’è più. Se torna il mio capo sono dolori lo sai come vanno queste cose no?”
“Certo che si! Quì sono anche peggio”
“Senti non è che mi potresti dare la password per accedere al server da questa filiale? Siamo la filiale in Via di sviluppo 12”
“Mmh, ok mi servirebbe il tuo numero identificativo e una email così te li mando subito”
“Perfetto, il numero è: 1432452 mentre una mail è gattoyoutube@gmail.com. Grazie mille mi hai salvato la vita!”
“Ma figurati, se non ci si aiuta fra di noi”

Una scusa plausibile, un numero identificativo che corrisponde esattamente dove deve corrispondere. Perchè Michele non dovrebbe aiutare un povero collega in difficoltà?

Utilizzando l’ingegneria sociale, è possibile veramente fare di tutto. Partendo infatti da poche semplici informazioni, si arriva facilmente a potersi fingere chiunque.

Il pericolo dei social networks

I social networks sono uno strumento fantastico: essi infatti ci permettono di rimanere collegati con la nostra cerchia di amici in modo da poter condividere ogni istante della nostra vita.

Alla domanda “Ehi amico xxx, ma non ti dà fastidio pubblicare tutti gli affari tuoi nel web?” – “Ma ti pare? A chi vuoi che interessino tanto?”.

Esatto. A chi vuoi che interessino.

[youtube url=http://www.youtube.com/watch?v=qYnmfBiomlo]

[divider_top]

Ma secondo voi, perchè Facebook cambia continuamente le policy e rende gli strumenti per la gestione della privacy più idiot-proof ad ogni aggiornamento?

Proprio perchè gli utenti, che se ne rendano conto o no, condividono fatti personali col web. E purtroppo molti non se ne rendono conto (gestendo male la privacy dei loro profili).

Per come mi piace scrivere su InformaticaLab, ho sempre analizzato le tecniche dal lato dell’attaccante: sapere per difendersi. Vediamo quindi:

Come crackkare un account di facebook con l’ingegneria sociale

L’ ingegneria sociale può essere sfruttata in veramente tantissimi modi per riuscire a trovare una password di un comune “utonto”, senza aver bisogno di rubare segreti commerciali a grosse aziende come negli esempi di poco fà.

funny-scam-chat-box-porn-proxy-seems-legit-pics

Creiamo un profilo su facebook falso. Se la nostra vittima è un maschio, creiamo una femmina. Viceversa, creiamo un utente maschio.

L’ideale sarebbe avere la vittima fra gli amici del nostro account personale: in questo modo, possiamo:

  • Aggiungere il nostro vero account,
  • Aggiungere gli amici che avete in comune ed altre persone.

Per esempio, se ho fra gli amici una vittima “Michele” creo un account e lo chiamo Giovanna D’Arco. Aggiungo un pò di belle foto prese dal profilo di qualche sconosciuta. Aggiungo il mio account vero (Federico Ponzi) agli amici di Giovanna D’arco ed aggiungi amici di Federico Ponzi che sono anche amici di Michele.

Adesso abbiamo quindi:

  • Un profilo di una bella ragazza/o
  • Una lista di amici che giustifica la richiesta di amicizia (Massì, lo aggiungo tanto ho amici in comune – e poi è carino/a)

Infine, giusto per sicurezza, entriamo nel profilo della vittima. Accediamo ai suoi gruppi (che al 90% sono pubblici) e partecipiamo agli stessi. Questo è un buon modo per “approcciare” e capire i suoi interessi. Un’altro modo, è dare una sbirciata ai likes.

Arrivati a questo punto, possiamo usare alcuni metodi:

  • Creiamo un fake login (che non vedremo in questo articolo, ma che troverete linkato da quì)
  • Cominciamo a parlarci e lo convinciamo a farci dare la password.
  • Riusciamo a rispondere alla domanda segreta
  • Convinciamo degli amici a “collaborare” e usiamo un metodo di facebook che chiede a dei tuoi amici di confermare che sei tu il proprietario dell’account.

Ma, volendo, possiamo anche convincerlo ad installare qualche programma “speciale” (tipo un keylogger).

Altre tecniche

Esistono un’infinità di tecniche informatiche che sfruttano l’ingegneria sociale, anche solo in parte. Fra i vari esempi, ci sono:

  • Il phishing, il più famoso probabilmente
  • Le xss, perchè la vittima deve aprire un link
  • Il tabnabbing, molto pericoloso.

E ricordate:

Social Engineering Specialist