LA GUIDA PRATICA

Attacco di ingegneria sociale basato su fonti OSINT: le fasi operative

Un attacco di ingegneria sociale basato su fonti OSINT significa utilizzare la tecnica dell’impersonation basata su un’attenta analisi di informazioni liberamente reperibili attraverso il Web, al fine di sferrare un attacco di phishing portatore di un malware. Ecco come funziona e come difendersi

30 Mar 2020
S
Alberto Stefani

Data Protection Officer, Consulente Cybersecurity

Ingegneria, psicologia e informatica. Difficile trovare le connessioni che intercorrono tra queste tre discipline? Forse il connubio di queste tre materie è sconosciuto ai più ma sta diventando un ambiente di studio sempre più coordinato al fine di sferrare attacchi informatici che possano compromettere o carpire informazioni riservate di un’azienda.

Attacco di ingegneria sociale basato su fonti OSINT: il contesto

Esiste una metodologia in cui l’uso delle informazioni liberamente reperibili attraverso il web, unito all’uso dell’informatica con una buona dose di psicologia può generare una tecnica alquanto efficace finalizzata a sferrare un serio e invasivo attacco informatico.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Perché è necessario fare questo? Perché è necessario utilizzare le persone andando a scomodare e sfruttare i meandri più intimi di ognuno di noi per tentare di portare un attacco informatico ad una azienda o ad una persona?

Una risposta abbastanza esauriente ce la dà colui che è sostanzialmente l’inventore nonché l’autore più conosciuto in materia: Kevin Mitnick, che afferma che se l’unico computer sicuro è un computer spento e scollegato dalla rete puoi sempre trovare qualcuno disposto ad accenderlo! Ecco quindi spiegato il mix iniziale basato su argomenti chiamati OSINT, OSINF, SOCMINT, ingegneria sociale, studio della psicologia, human hacking, malware.

Pochi si rendono conto di poter essere l’obiettivo, sostanzialmente l’anello debole utilizzato per sferrare l’attacco. Quindi è necessario formare la sensibilità di chi ricopre ruoli dirigenziali o meno all’interno di organizzazioni ed aziende cercando di far comprendere che ogni informazione resa disponibile sul web potrebbe essere usata contro di lui non è assolutamente un obiettivo semplice e scontato.

Nasce così la necessità di istituire dei protocolli interni piuttosto che delle policy al fine di sensibilizzare tutti i componenti dell’azienda che esiste anche questa tipologia di rischio e che gli attacchi informatici non provengono solamente attraverso attacchi atti ad ingannare firewall e antivirus ma anche attraverso attacchi atti ad ingannare l’anello debole, ignaro ed inconsapevole: noi stessi.

Attacco di ingegneria sociale basato su fonti OSINT: le fasi

Cerchiamo di capire meglio come, accedendo a libere informazioni presenti sul web, è possibile costruire e pianificare un attacco informatico nei confronti di un ignaro interlocutore.

Supponiamo, ad esempio, di voler sferrare un attacco nei confronti di un’azienda di cui conosciamo molto poco se non addirittura nulla. Unica cosa che sappiamo è l’attenzione che questa adotta nei protocolli di sicurezza in merito alle difese tecnologiche e informatiche nei confronti dell’ambiente esterno, ma sostanzialmente non ha mai pianificato una formazione corretta nel sensibilizzare i propri dipendenti ed amministratori sugli attacchi di ingegneria sociale.

Fase uno: la progettazione del piano

L’obiettivo finale è quello di sottrarre importanti informazioni aziendali strettamente riservate e di rilevante importanza da un’azienda. Al fine di aggirare gli elevati livelli di difesa occorre procedere con la pianificazione di un attacco complesso basato su elementi differenti.

Si pianifica di portare un attacco di phishing tramite mail indirizzata all’indirizzo di posta elettronica di un alto dirigente aziendale per inserire un malware all’interno dei sistemi informatici.

Fase due: la raccolta di informazioni

Dobbiamo individuare la vittima tra i dipendenti dell’azienda. Occorre effettuare un’analisi al fine di reperire la figura che fa per noi e di cui possiamo reperire il maggior numero di informazioni da fonti aperte o più diffusamente definite OSINT (Open Source Intelligence).

Attraverso un’attenta analisi degli elementi presenti su fonti liberamente accessibili, compresi:

  • Internet: occorre operare un’analisi approfondita di forum, blogs, social network, video caricati su varie piattaforme come YouTube.com, informazioni Whois provenienti dalla registrazione di domini Internet. Per meglio comprendere Whois è un protocollo di rete che consente, mediante l’interrogazione di appositi database server da parte di un client, di stabilire a quale provider internet appartenga un determinato indirizzo IP o uno specifico DNS. Nel Whois vengono solitamente mostrate anche informazioni riguardanti l’intestatario, data di registrazione e la data di scadenza di un dominio; si può consultare tradizionalmente da riga di comando, anche se esistono numerosi strumenti web-based per consultare nei database i dettagli sui diritti di proprietà dei domini; gli strumenti web-based, per le consultazioni, fanno ancora affidamento al protocollo whois per connettersi ai server Whois, metadata, dati di geolocalizzazione, indirizzi IP e tutto ciò che può essere reperito on-line;
  • i mezzi di comunicazione di massa (media) quali, televisione, quotidiani, riviste, radio;
  • informazioni pubbliche come i rapporti governativi o ministeriali, i piani finanziari, le conferenze ed i comunicati stampa, i discorsi, gli avvisi di istituzioni;
  • riscontri immediati ed osservazioni dirette come le fotografie e video analisi;
  • professionisti e studiosi attraverso conferenze, simposi, lezioni universitarie, associazioni professionali, progetti urbani e pubblicazioni scientifiche.

Naturalmente per fare questa tipologia di indagine e reperimento di informazioni e di analisi esistono particolari software che raccolgono tutte le informazioni lasciate da un soggetto nel suo peregrinare nel tempo attraverso la rete.

Fase tre: valutazione delle informazioni e loro classificazione

Una volta reperite le informazioni di un determinato soggetto occorre analizzarle al fine di determinare quali siano migliori per raggiungere l’obiettivo che ci siamo posti.

Di seguito si riporta una possibile classificazione delle informazioni e delle fonti. La fonte può essere:

  1. affidabile: nessun dubbio di autenticità, credibilità o competenza; precedenti di completa affidabilità;
  2. di solito affidabile: piccolo dubbio su autenticità, credibilità o competenza; precedenti di informazioni valide nella maggioranza dei casi;
  3. abbastanza affidabile: dubbio di autenticità, credibilità o competenza ma ha fornito informazioni valide in passato;
  4. di solito inaffidabile: dubbio significativo quanto a autenticità, credibilità o competenza ma ha fornito informazioni valide in passato;
  5. inaffidabile: Carente di autenticità, credibilità o competenza; precedenti di informazioni non valide;
  6. non classificabile: Nessun elemento di giudizio.

Fase quattro: classificazione dei contenuti informativi

In questa fase è importante capire se le informazioni reperite sul web sono realmente corrispondenti alla realtà oppure rischiamo di utilizzare informazioni non pertinenti piuttosto che false:

  1. confermato: confermato da altre fonti indipendenti; logico in sé; coerente con altre informazioni sul soggetto;
  2. probabilmente vero: non confermato; logico in sé; coerente con altre informazioni sul soggetto;
  3. eventualmente vero: non confermato; ragionevolmente logico in sé; concorde con altre informazioni sul soggetto;
  4. improbabilmente vero: non confermato; possibile ma non logico; nessun’altra informazione sul soggetto;
  5. improbabile: non confermato; non logico in sé; contraddetto da altre informazioni sul soggetto;
  6. non classificabile: nessun elemento di giudizio.

Fase cinque: scelta dell’obiettivo

Tra tutti gli elementi considerati e che riguardano soggetti che interagiscono con l’azienda obiettivo si analizzano i soggetti che, facenti parte dell’organizzazione, hanno in capo informazioni ritenute confermate ed affidabili e che creano quindi un quadro coerente e preciso del nostro obiettivo.

Fase sei: contatto con l’obiettivo

Ecco entrare in gioco l’ingegneria sociale ovvero l’arte di persuadere le persone a rivelare informazioni. Con questa persona, in base al livello di attacco necessario e alle informazioni che ho la necessità di ottenere da parte dell’interessato.

Questa arte è la capacità di entrare in empatia con la vittima utilizzando metodologie di analisi psicologica per carpire le informazioni necessarie e per ottenere la fiducia da parte della nostra vittima. Naturalmente le metodologie per ottenere la fiducia sono varie e possono richiedere settimane o mesi di lavoro condividendo esperienze, hobby, amicizie e luoghi frequentati. Per approfondire l’argomento si può leggere: L’arte dell’Inganno, di Kevin D. Mitnick, oppure: Social Engineering: The Science of Human Hacking di Christopher Hadnagy.

Fase sette: l’attacco di ingegneria sociale basato su fonti OSINT

Essendo entrato in sintonia ed avendo ottenuto la fiducia della vittima sarà possibile sferrare un attacco informatico poiché ora il canale è aperto e la fiducia ottenuta potrà essere sufficiente nel compiere azioni atte ad aprire un canale, questa volta a livello informatico, ben mirato.

L’apertura del canale darà la possibilità di trasmettere all’azienda prescelta il malware attraverso la posta elettronica piuttosto che tramite dispositivi mobili. A questo punto, il ruolo dell’ingegnere sociale si interrompe e passa agli informatici che porteranno a destinazione il piano.

Difendersi da un attacco di ingegneria sociale basato su fonti OSINT

Avendo compreso la procedura da attuare al fine di sferrare un attacco che racchiude al proprio interno un insieme calibrato di analisi OSINT, ingegneria sociale e phishing occorre informare tutte le possibili vittime dei rischi che si corrono nell’inserire troppe informazioni ed utilizzare in modo inconsapevole gli strumenti che le tecnologie ci mettono a disposizione come i social network violabili da indagini SOCMINT (Social Media Intelligence) così come nel concedere la propria conoscenza a interlocutori non verificati e in alcuni casi non veritieri.

In conclusione, andando a categorizzare il mix di metodologie presenti per sferrare un attacco possiamo affermare che in questo caso abbiamo utilizzato la tecnica dell’impersonation basata su un’attenta analisi delle fonti OSINT al fine di sferrare un attacco di phishing portatore di un malware.

Come difendersi da attacchi del genere? Cercando di ragione come un ipotetico attaccante e andando quindi ad attuare una politica aziendale molto ferrea di classificazione e catalogazione dei dati. Occorre classificare le tipologie di dati e su questi organizzare le metodologie di protezione o diffusione. Non meno importante è anche tenere traccia di eventuali diffusioni a terzi, esterni all’azienda, di informazioni riservate al fine di tenere sotto controllo il perimetro informativo aziendale e analizzare costantemente tutte le nuove conoscenze che vengono effettuate andandole a verificare di volta in volta.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr