LA GUIDA PRATICA

Attacco di ingegneria sociale basato su fonti OSINT: le fasi operative

Un attacco di ingegneria sociale basato su fonti OSINT significa utilizzare la tecnica dell’impersonation basata su un’attenta analisi di informazioni liberamente reperibili attraverso il Web, al fine di sferrare un attacco di phishing portatore di un malware. Ecco come funziona e come difendersi

30 Mar 2020
S
Alberto Stefani

Data Protection Officer, Consulente Cybersecurity


Ingegneria, psicologia e informatica. Difficile trovare le connessioni che intercorrono tra queste tre discipline? Forse il connubio di queste tre materie è sconosciuto ai più ma sta diventando un ambiente di studio sempre più coordinato al fine di sferrare attacchi informatici che possano compromettere o carpire informazioni riservate di un’azienda.

Attacco di ingegneria sociale basato su fonti OSINT: il contesto

Esiste una metodologia in cui l’uso delle informazioni liberamente reperibili attraverso il web, unito all’uso dell’informatica con una buona dose di psicologia può generare una tecnica alquanto efficace finalizzata a sferrare un serio e invasivo attacco informatico.

Perché è necessario fare questo? Perché è necessario utilizzare le persone andando a scomodare e sfruttare i meandri più intimi di ognuno di noi per tentare di portare un attacco informatico ad una azienda o ad una persona?

Una risposta abbastanza esauriente ce la dà colui che è sostanzialmente l’inventore nonché l’autore più conosciuto in materia: Kevin Mitnick, che afferma che se l’unico computer sicuro è un computer spento e scollegato dalla rete puoi sempre trovare qualcuno disposto ad accenderlo! Ecco quindi spiegato il mix iniziale basato su argomenti chiamati OSINT, OSINF, SOCMINT, ingegneria sociale, studio della psicologia, human hacking, malware.

Pochi si rendono conto di poter essere l’obiettivo, sostanzialmente l’anello debole utilizzato per sferrare l’attacco. Quindi è necessario formare la sensibilità di chi ricopre ruoli dirigenziali o meno all’interno di organizzazioni ed aziende cercando di far comprendere che ogni informazione resa disponibile sul web potrebbe essere usata contro di lui non è assolutamente un obiettivo semplice e scontato.

Nasce così la necessità di istituire dei protocolli interni piuttosto che delle policy al fine di sensibilizzare tutti i componenti dell’azienda che esiste anche questa tipologia di rischio e che gli attacchi informatici non provengono solamente attraverso attacchi atti ad ingannare firewall e antivirus ma anche attraverso attacchi atti ad ingannare l’anello debole, ignaro ed inconsapevole: noi stessi.

Attacco di ingegneria sociale basato su fonti OSINT: le fasi

Cerchiamo di capire meglio come, accedendo a libere informazioni presenti sul web, è possibile costruire e pianificare un attacco informatico nei confronti di un ignaro interlocutore.

Supponiamo, ad esempio, di voler sferrare un attacco nei confronti di un’azienda di cui conosciamo molto poco se non addirittura nulla. Unica cosa che sappiamo è l’attenzione che questa adotta nei protocolli di sicurezza in merito alle difese tecnologiche e informatiche nei confronti dell’ambiente esterno, ma sostanzialmente non ha mai pianificato una formazione corretta nel sensibilizzare i propri dipendenti ed amministratori sugli attacchi di ingegneria sociale.

Fase uno: la progettazione del piano

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

L’obiettivo finale è quello di sottrarre importanti informazioni aziendali strettamente riservate e di rilevante importanza da un’azienda. Al fine di aggirare gli elevati livelli di difesa occorre procedere con la pianificazione di un attacco complesso basato su elementi differenti.

Si pianifica di portare un attacco di phishing tramite mail indirizzata all’indirizzo di posta elettronica di un alto dirigente aziendale per inserire un malware all’interno dei sistemi informatici.

Fase due: la raccolta di informazioni

Dobbiamo individuare la vittima tra i dipendenti dell’azienda. Occorre effettuare un’analisi al fine di reperire la figura che fa per noi e di cui possiamo reperire il maggior numero di informazioni da fonti aperte o più diffusamente definite OSINT (Open Source Intelligence).

Attraverso un’attenta analisi degli elementi presenti su fonti liberamente accessibili, compresi:

  • Internet: occorre operare un’analisi approfondita di forum, blogs, social network, video caricati su varie piattaforme come YouTube.com, informazioni Whois provenienti dalla registrazione di domini Internet. Per meglio comprendere Whois è un protocollo di rete che consente, mediante l’interrogazione di appositi database server da parte di un client, di stabilire a quale provider internet appartenga un determinato indirizzo IP o uno specifico DNS. Nel Whois vengono solitamente mostrate anche informazioni riguardanti l’intestatario, data di registrazione e la data di scadenza di un dominio; si può consultare tradizionalmente da riga di comando, anche se esistono numerosi strumenti web-based per consultare nei database i dettagli sui diritti di proprietà dei domini; gli strumenti web-based, per le consultazioni, fanno ancora affidamento al protocollo whois per connettersi ai server Whois, metadata, dati di geolocalizzazione, indirizzi IP e tutto ciò che può essere reperito on-line;
  • i mezzi di comunicazione di massa (media) quali, televisione, quotidiani, riviste, radio;
  • informazioni pubbliche come i rapporti governativi o ministeriali, i piani finanziari, le conferenze ed i comunicati stampa, i discorsi, gli avvisi di istituzioni;
  • riscontri immediati ed osservazioni dirette come le fotografie e video analisi;
  • professionisti e studiosi attraverso conferenze, simposi, lezioni universitarie, associazioni professionali, progetti urbani e pubblicazioni scientifiche.

Naturalmente per fare questa tipologia di indagine e reperimento di informazioni e di analisi esistono particolari software che raccolgono tutte le informazioni lasciate da un soggetto nel suo peregrinare nel tempo attraverso la rete.

Fase tre: valutazione delle informazioni e loro classificazione

Una volta reperite le informazioni di un determinato soggetto occorre analizzarle al fine di determinare quali siano migliori per raggiungere l’obiettivo che ci siamo posti.

Di seguito si riporta una possibile classificazione delle informazioni e delle fonti. La fonte può essere:

  1. affidabile: nessun dubbio di autenticità, credibilità o competenza; precedenti di completa affidabilità;
  2. di solito affidabile: piccolo dubbio su autenticità, credibilità o competenza; precedenti di informazioni valide nella maggioranza dei casi;
  3. abbastanza affidabile: dubbio di autenticità, credibilità o competenza ma ha fornito informazioni valide in passato;
  4. di solito inaffidabile: dubbio significativo quanto a autenticità, credibilità o competenza ma ha fornito informazioni valide in passato;
  5. inaffidabile: Carente di autenticità, credibilità o competenza; precedenti di informazioni non valide;
  6. non classificabile: Nessun elemento di giudizio.

Fase quattro: classificazione dei contenuti informativi

In questa fase è importante capire se le informazioni reperite sul web sono realmente corrispondenti alla realtà oppure rischiamo di utilizzare informazioni non pertinenti piuttosto che false:

  1. confermato: confermato da altre fonti indipendenti; logico in sé; coerente con altre informazioni sul soggetto;
  2. probabilmente vero: non confermato; logico in sé; coerente con altre informazioni sul soggetto;
  3. eventualmente vero: non confermato; ragionevolmente logico in sé; concorde con altre informazioni sul soggetto;
  4. improbabilmente vero: non confermato; possibile ma non logico; nessun’altra informazione sul soggetto;
  5. improbabile: non confermato; non logico in sé; contraddetto da altre informazioni sul soggetto;
  6. non classificabile: nessun elemento di giudizio.

Fase cinque: scelta dell’obiettivo

Tra tutti gli elementi considerati e che riguardano soggetti che interagiscono con l’azienda obiettivo si analizzano i soggetti che, facenti parte dell’organizzazione, hanno in capo informazioni ritenute confermate ed affidabili e che creano quindi un quadro coerente e preciso del nostro obiettivo.

Fase sei: contatto con l’obiettivo

Ecco entrare in gioco l’ingegneria sociale ovvero l’arte di persuadere le persone a rivelare informazioni. Con questa persona, in base al livello di attacco necessario e alle informazioni che ho la necessità di ottenere da parte dell’interessato.

Questa arte è la capacità di entrare in empatia con la vittima utilizzando metodologie di analisi psicologica per carpire le informazioni necessarie e per ottenere la fiducia da parte della nostra vittima. Naturalmente le metodologie per ottenere la fiducia sono varie e possono richiedere settimane o mesi di lavoro condividendo esperienze, hobby, amicizie e luoghi frequentati. Per approfondire l’argomento si può leggere: L’arte dell’Inganno, di Kevin D. Mitnick, oppure: Social Engineering: The Science of Human Hacking di Christopher Hadnagy.

Fase sette: l’attacco di ingegneria sociale basato su fonti OSINT

Essendo entrato in sintonia ed avendo ottenuto la fiducia della vittima sarà possibile sferrare un attacco informatico poiché ora il canale è aperto e la fiducia ottenuta potrà essere sufficiente nel compiere azioni atte ad aprire un canale, questa volta a livello informatico, ben mirato.

L’apertura del canale darà la possibilità di trasmettere all’azienda prescelta il malware attraverso la posta elettronica piuttosto che tramite dispositivi mobili. A questo punto, il ruolo dell’ingegnere sociale si interrompe e passa agli informatici che porteranno a destinazione il piano.

Difendersi da un attacco di ingegneria sociale basato su fonti OSINT

Avendo compreso la procedura da attuare al fine di sferrare un attacco che racchiude al proprio interno un insieme calibrato di analisi OSINT, ingegneria sociale e phishing occorre informare tutte le possibili vittime dei rischi che si corrono nell’inserire troppe informazioni ed utilizzare in modo inconsapevole gli strumenti che le tecnologie ci mettono a disposizione come i social network violabili da indagini SOCMINT (Social Media Intelligence) così come nel concedere la propria conoscenza a interlocutori non verificati e in alcuni casi non veritieri.

In conclusione, andando a categorizzare il mix di metodologie presenti per sferrare un attacco possiamo affermare che in questo caso abbiamo utilizzato la tecnica dell’impersonation basata su un’attenta analisi delle fonti OSINT al fine di sferrare un attacco di phishing portatore di un malware.

DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

Come difendersi da attacchi del genere? Cercando di ragione come un ipotetico attaccante e andando quindi ad attuare una politica aziendale molto ferrea di classificazione e catalogazione dei dati. Occorre classificare le tipologie di dati e su questi organizzare le metodologie di protezione o diffusione. Non meno importante è anche tenere traccia di eventuali diffusioni a terzi, esterni all’azienda, di informazioni riservate al fine di tenere sotto controllo il perimetro informativo aziendale e analizzare costantemente tutte le nuove conoscenze che vengono effettuate andandole a verificare di volta in volta.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4