IL QUADRO COMPLETO

Social engineering e human hacking: le tecniche di attacco human based

Il social engineering è l’arte di manipolare le persone con lo scopo di “iniettare” il vettore malevolo nel perimetro cyber di un’organizzazione superando qualsiasi sistema di controllo e ottenere informazioni riservate. Ecco tutte le tecniche di attacco human hacking

10 Mag 2019
S
Manuela Sforza

Cyber Security Analyst

L’ingegneria sociale (dall’inglese social engineering), l’arte di manipolare le persone allo scopo di ottenere informazioni, è una minaccia ai sistemi informativi ancora sottovalutata e la complessità delle metodologie utilizzate si intreccia, inevitabilmente, con i tradizionali vettori di cyber-attacco.

L’aspetto interessante è, per l’appunto, che il vettore malevolo (dal malware alla backdoor, dal trojan allo spyware) può essere lo stesso che viene utilizzato in un tradizionale attacco informatico; ciò che cambia è il fatto che viene iniettato nel perimetro cyber dell’azienda, anche ultra-protetto, attraverso una manipolazione delle risorse umane.

Di fronte ad una struttura sicura dal punto di vista tecnico è sempre possibile prendere di mira il fattore umano, sollecitando, con opportune metodologie, un comportamento dell’operatore ed ottenere quelle stesse informazioni, direttamente o indirettamente, in modo più veloce, efficace e conveniente.

Social engineering: tutte le tecniche di human hacking

Le diverse tipologie di attacco sono riconducibili a 3 categorie:

  • human based, analizzate in questa sede, basate sul contatto diretto tra attaccante e vittima;
  • computer based, più articolate, che presuppongono l’utilizzo di mezzi informatici e skill tecniche;
  • mobile based, un sottoinsieme logico di quelle computer-based, avente dignità propria per la diffusione capillare, ormai omnicomprensiva, delle tecnologie mobile che veicolano l’agente malevolo.

Le tecniche di attacco human based sono tutte quelle finalizzate ad ottenere le informazioni critiche attraverso l’interazione fisica dell’attaccante con la vittima o con il suo contesto sociale.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Vediamole nel dettaglio.

Impersonation

È stato lasciato volutamente non tradotto il termine anglosassone per conservarne la sfumatura semantica relativa alla dimensione dell’interpretazione, della “rappresentazione”, anche teatrale, di un personaggio.

L’attaccante pretende di essere qualcun altro, “mette in scena” una simulazione, veste i panni di un soggetto con cui la vittima ha un qualche tipo di relazione, di simpatia/empatia, di subalternità/autorità, un soggetto verso il quale provi deferenza, un soggetto investito di ruolo istituzionale, così da sfruttare, in un contesto piuttosto che in un altro, le predisposizioni all’azione della vittima.

La tecnica di impersonificazione (il lettore perdoni la traduzione) può essere anche supportata da mezzi tecnici, come il telefono o la mail. Appare chiaro come questa sia trasversale alle due categorie topologiche (che, ricordiamo, sono solo astrazioni) human based e computer based e ciò non fa che dimostrare come la realtà sia più complessa rispetto a qualsiasi schematizzazione, utile certamente ma non esaustiva nel descriverla.

Uno scenario possibile potrebbe essere quello in cui l’attaccante decida di contattare l’amministratore di sistema impersonificando un utente legittimo del dominio e inscenando la perdita delle credenziali di autenticazione; oppure quello in cui agisca con una telefonata (la chiamata telefonica è un mezzo percepito come più interattivo e diretto, in grado di generare meno riserve nella vittima che diviene più propensa ad acconsentire ad una richiesta), durante la quale tenti di impersonificare il supporto tecnico dell’hosting provider del sito web e, inscenando un malfunzionamento del server, chiedere alla vittima di fornirgli le credenziali di autenticazione o di autenticarsi su un sito fake, appositamente clonato.

Ancora, l’attaccante potrebbe inviare una mail, vestire i panni della segretaria del CEO, del “capo del settore …”, del “responsabile di …” e chiedere di accedere in modo alternativo a documenti, informazioni o dati che la vittima conosce, perché al momento “non trova la password”, “è fuori sede e non può accedere al computer” e via discorrendo.

Il criminale potrebbe vestire i panni di un legittimo fruitore dei locali fisici dell’organizzazione (impiegato, cliente, fornitore), oppure di un tecnico incaricato della manutenzione hardware e software, di un soggetto in partnership con l’azienda oppure avente un ruolo autorevole in tale contesto, allo scopo di accedere indisturbato all’ambiente e “rubare con gli occhi”, attraverso le tecniche che vedremo a breve, le informazioni accessibili.

Il Vishing (Voice o VoIP phishing)

È quella particolare sottocategoria di Impersonation che utilizza, nello scenario di attacco, la comunicazione telefonica.

Come discusso precedentemente, infatti, il mezzo telefonico consente all’attaccante, da un lato, di non mostrarsi, conservando efficacemente il camuffamento; dall’altro, di interagire con la vittima in modo più diretto rispetto alla mail, sfruttando le potenzialità delle tecniche di persuasione e il minor tempo che l’interlocutore ha, in un contesto sincrono, per razionalizzare.

In qualche caso il vishing può essere utilizzato in combinazione con tecniche di defacement del sito web. Ad esempio, un sito bancario potrebbe essere clonato o violato, con l’inserimento di un finto banner che invita gli utenti a chiamare il numero di help desk indicato, per velocizzare la soluzione di un certo disservizio; sarà facile a quel punto, per l’ingegnere sociale dall’altra parte della cornetta, ottenere dalla risorsa le credenziali di autenticazione al sito clonato.

Eavesdropping

L’eavesdropping è la tecnica con cui un attaccante o un soggetto non autorizzato intercetta una comunicazione, ascoltandola furtivamente, leggendo i messaggi mail o SMS oppure inserendosi in qualche modo nel flusso di trasmissione.

Le metodologie di implementazione dipendono dal contesto e vanno dal semplice “origliare” ai più sofisticati attacchi MITM (man-in-the-middle), condotti attraverso tool come MITMf o Beef.

Anche questa sottocategoria, quindi, è trasversale alla nostra schematizzazione e può essere perpetrata con l’ausilio di tecnologie computer based.

Shoulder Surfing

Questa metodologia di acquisizione sfrutta l’osservazione diretta “dietro alle spalle” della vittima, per ottenere le informazioni accessibili: documenti lasciati sulle scrivanie, post-it o note lasciati in bacheca o sui monitor.

Proprio in seguito ad un raffinatissimo (e disincantato) scenario di shoulder surfing, grazie al quale prese visione del codice autorizzativo dei trasferimenti bancari affisso sulla lavagna della centrale operativa, Stanley Mark Rifkin, nell’ottobre del 1978, riuscì a portare a compimento una delle rapine di banca più sensazionali della storia americana.

Anche in questo caso, l’implementazione può essere accompagnata o rafforzata da strumenti computer-based come piccole videocamere (utilizzate in un secondo momento per “zoomare” sulle informazioni sensibili e sui dettagli) o micro-binocoli.

Dumpster Diving

È la pratica attraverso la quale l’attaccante riesce ad acquisire informazioni frugando nei cestini della spazzatura, anche in prossimità dei locali dell’organizzazione, approfittando di copie fotostatiche, stampe di mail, note, atti e documenti non correttamente smaltiti.

Spesso infatti ci si limita a cestinare un certificato bancario, un appunto, un foglio di calcolo Excel, senza stracciarlo o renderlo in altro modo anonimizzato; così facendo, esso continua a risultare leggibile se opportunamente “riciclato” da un simile comportamento del criminale.

Dalle informazioni ottenute con l’analisi della spazzatura inoltre, è possibile ricostruire quei dettagli capaci di rendere gli scenari credibili, quindi più efficaci.

Non è raro infatti trovare nella spazzatura:

  • telefoni e dati di contatto di impiegati, cestinati dai colleghi;
  • mappe di rete, spiegazioni sull’utilizzo e il raggiungimento dei locali dell’organizzazione;
  • stampe di mail, note, appunti e materiale cartaceo operativo;
  • policy e regolamenti dell’organizzazione;
  • calendari, appuntamenti schedulati e testimonianze di relazioni con partner commerciali.

Reverse Social Engineering

Le tecniche di Reverse Social Engineering si caratterizzano per il particolare modus operandi: l’attaccante in una prima fase genera la situazione problematica, l’emergenza, poi si propone alla vittima come il soggetto in grado di risolverla.

Sarà quindi la vittima stessa a rivolgersi a lui spontaneamente e questa circostanza, inibendo le riserve altrimenti suscitate nell’operatore da una richiesta estranea, può facilitare la “propensione a collaborare” e il buon esito dell’attacco.

Un pattern RSE è articolato quindi in 3 fasi:

  • il sabotaggio, in cui l’attaccante crea la situazione disfunzionale, ad esempio causando la disconnessione dalla rete (esistono tool appositi, come aireplay-ng, che disconnettono i client da un access point Wi-Fi, ad esempio);
  • la fase di “marketing”, in cui l’attaccante si presenta (o si è presentato) come il soggetto che può risolvere il problema;
  • la fase di contatto attivo da parte della vittima.

Piggybacking/Tailgaiting

Davanti ad un perimetro organizzativo caratterizzato da un accesso fisico controllato, l’ingegnere sociale può mettere in atto metodologie di piggybacking, con cui tenta, attraverso la persuasione e l’empatia, di convincere una terza persona autorizzata ad aprire la porta, oppure di tailgaiting, cioè semplicemente “tallonando” quest’ultima, prima che si chiuda l’ingresso.

Un supporto per difendersi dal social engineering

La presente rassegna delle metodologie di social engineering human based si intende finalizzata ad una descrizione topologica che, senza pretese di esaustività, può ragionevolmente essere utilizzata, nel contesto di un percorso formativo, come utile supporto all’apprendimento delle caratteristiche distintive dei diversi pattern di attacco, per fornire alle risorse umane (e ai responsabili di settore) gli strumenti necessari a riconoscerli e, di conseguenza, a reagire opportunamente, rispondendo con le relative contromisure.

WHITEPAPER
Le 5 best practice da seguire per migliorare la customer experience
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr