L’ingegneria sociale (dall’inglese social engineering), l’arte di manipolare le persone allo scopo di ottenere informazioni, è una minaccia ai sistemi informativi ancora sottovalutata e la complessità delle metodologie utilizzate si intreccia, inevitabilmente, con i tradizionali vettori di cyber-attacco.
L’aspetto interessante è, per l’appunto, che il vettore malevolo (dal malware alla backdoor, dal trojan allo spyware) può essere lo stesso che viene utilizzato in un tradizionale attacco informatico; ciò che cambia è il fatto che viene iniettato nel perimetro cyber dell’azienda, anche ultra-protetto, attraverso una manipolazione delle risorse umane.
Di fronte ad una struttura sicura dal punto di vista tecnico è sempre possibile prendere di mira il fattore umano, sollecitando, con opportune metodologie, un comportamento dell’operatore ed ottenere quelle stesse informazioni, direttamente o indirettamente, in modo più veloce, efficace e conveniente.
Indice degli argomenti
Social engineering: tutte le tecniche di human hacking
Le diverse tipologie di attacco sono riconducibili a 3 categorie:
- human based, analizzate in questa sede, basate sul contatto diretto tra attaccante e vittima;
- computer based, più articolate, che presuppongono l’utilizzo di mezzi informatici e skill tecniche;
- mobile based, un sottoinsieme logico di quelle computer-based, avente dignità propria per la diffusione capillare, ormai omnicomprensiva, delle tecnologie mobile che veicolano l’agente malevolo.
Le tecniche di attacco human based sono tutte quelle finalizzate ad ottenere le informazioni critiche attraverso l’interazione fisica dell’attaccante con la vittima o con il suo contesto sociale.
Vediamole nel dettaglio.
Impersonation
È stato lasciato volutamente non tradotto il termine anglosassone per conservarne la sfumatura semantica relativa alla dimensione dell’interpretazione, della “rappresentazione”, anche teatrale, di un personaggio.
L’attaccante pretende di essere qualcun altro, “mette in scena” una simulazione, veste i panni di un soggetto con cui la vittima ha un qualche tipo di relazione, di simpatia/empatia, di subalternità/autorità, un soggetto verso il quale provi deferenza, un soggetto investito di ruolo istituzionale, così da sfruttare, in un contesto piuttosto che in un altro, le predisposizioni all’azione della vittima.
La tecnica di impersonificazione (il lettore perdoni la traduzione) può essere anche supportata da mezzi tecnici, come il telefono o la mail. Appare chiaro come questa sia trasversale alle due categorie topologiche (che, ricordiamo, sono solo astrazioni) human based e computer based e ciò non fa che dimostrare come la realtà sia più complessa rispetto a qualsiasi schematizzazione, utile certamente ma non esaustiva nel descriverla.
Uno scenario possibile potrebbe essere quello in cui l’attaccante decida di contattare l’amministratore di sistema impersonificando un utente legittimo del dominio e inscenando la perdita delle credenziali di autenticazione; oppure quello in cui agisca con una telefonata (la chiamata telefonica è un mezzo percepito come più interattivo e diretto, in grado di generare meno riserve nella vittima che diviene più propensa ad acconsentire ad una richiesta), durante la quale tenti di impersonificare il supporto tecnico dell’hosting provider del sito web e, inscenando un malfunzionamento del server, chiedere alla vittima di fornirgli le credenziali di autenticazione o di autenticarsi su un sito fake, appositamente clonato.
Ancora, l’attaccante potrebbe inviare una mail, vestire i panni della segretaria del CEO, del “capo del settore …”, del “responsabile di …” e chiedere di accedere in modo alternativo a documenti, informazioni o dati che la vittima conosce, perché al momento “non trova la password”, “è fuori sede e non può accedere al computer” e via discorrendo.
Il criminale potrebbe vestire i panni di un legittimo fruitore dei locali fisici dell’organizzazione (impiegato, cliente, fornitore), oppure di un tecnico incaricato della manutenzione hardware e software, di un soggetto in partnership con l’azienda oppure avente un ruolo autorevole in tale contesto, allo scopo di accedere indisturbato all’ambiente e “rubare con gli occhi”, attraverso le tecniche che vedremo a breve, le informazioni accessibili.
Il Vishing (Voice o VoIP phishing)
È quella particolare sottocategoria di Impersonation che utilizza, nello scenario di attacco, la comunicazione telefonica.
Come discusso precedentemente, infatti, il mezzo telefonico consente all’attaccante, da un lato, di non mostrarsi, conservando efficacemente il camuffamento; dall’altro, di interagire con la vittima in modo più diretto rispetto alla mail, sfruttando le potenzialità delle tecniche di persuasione e il minor tempo che l’interlocutore ha, in un contesto sincrono, per razionalizzare.
In qualche caso il vishing può essere utilizzato in combinazione con tecniche di defacement del sito web. Ad esempio, un sito bancario potrebbe essere clonato o violato, con l’inserimento di un finto banner che invita gli utenti a chiamare il numero di help desk indicato, per velocizzare la soluzione di un certo disservizio; sarà facile a quel punto, per l’ingegnere sociale dall’altra parte della cornetta, ottenere dalla risorsa le credenziali di autenticazione al sito clonato.
Eavesdropping
L’eavesdropping è la tecnica con cui un attaccante o un soggetto non autorizzato intercetta una comunicazione, ascoltandola furtivamente, leggendo i messaggi mail o SMS oppure inserendosi in qualche modo nel flusso di trasmissione.
Le metodologie di implementazione dipendono dal contesto e vanno dal semplice “origliare” ai più sofisticati attacchi MITM (man-in-the-middle), condotti attraverso tool come MITMf o Beef.
Anche questa sottocategoria, quindi, è trasversale alla nostra schematizzazione e può essere perpetrata con l’ausilio di tecnologie computer based.
Shoulder Surfing
Questa metodologia di acquisizione sfrutta l’osservazione diretta “dietro alle spalle” della vittima, per ottenere le informazioni accessibili: documenti lasciati sulle scrivanie, post-it o note lasciati in bacheca o sui monitor.
Proprio in seguito ad un raffinatissimo (e disincantato) scenario di shoulder surfing, grazie al quale prese visione del codice autorizzativo dei trasferimenti bancari affisso sulla lavagna della centrale operativa, Stanley Mark Rifkin, nell’ottobre del 1978, riuscì a portare a compimento una delle rapine di banca più sensazionali della storia americana.
Anche in questo caso, l’implementazione può essere accompagnata o rafforzata da strumenti computer-based come piccole videocamere (utilizzate in un secondo momento per “zoomare” sulle informazioni sensibili e sui dettagli) o micro-binocoli.
Dumpster Diving
È la pratica attraverso la quale l’attaccante riesce ad acquisire informazioni frugando nei cestini della spazzatura, anche in prossimità dei locali dell’organizzazione, approfittando di copie fotostatiche, stampe di mail, note, atti e documenti non correttamente smaltiti.
Spesso infatti ci si limita a cestinare un certificato bancario, un appunto, un foglio di calcolo Excel, senza stracciarlo o renderlo in altro modo anonimizzato; così facendo, esso continua a risultare leggibile se opportunamente “riciclato” da un simile comportamento del criminale.
Dalle informazioni ottenute con l’analisi della spazzatura inoltre, è possibile ricostruire quei dettagli capaci di rendere gli scenari credibili, quindi più efficaci.
Non è raro infatti trovare nella spazzatura:
- telefoni e dati di contatto di impiegati, cestinati dai colleghi;
- mappe di rete, spiegazioni sull’utilizzo e il raggiungimento dei locali dell’organizzazione;
- stampe di mail, note, appunti e materiale cartaceo operativo;
- policy e regolamenti dell’organizzazione;
- calendari, appuntamenti schedulati e testimonianze di relazioni con partner commerciali.
Reverse Social Engineering
Le tecniche di Reverse Social Engineering si caratterizzano per il particolare modus operandi: l’attaccante in una prima fase genera la situazione problematica, l’emergenza, poi si propone alla vittima come il soggetto in grado di risolverla.
Sarà quindi la vittima stessa a rivolgersi a lui spontaneamente e questa circostanza, inibendo le riserve altrimenti suscitate nell’operatore da una richiesta estranea, può facilitare la “propensione a collaborare” e il buon esito dell’attacco.
Un pattern RSE è articolato quindi in 3 fasi:
- il sabotaggio, in cui l’attaccante crea la situazione disfunzionale, ad esempio causando la disconnessione dalla rete (esistono tool appositi, come aireplay-ng, che disconnettono i client da un access point Wi-Fi, ad esempio);
- la fase di “marketing”, in cui l’attaccante si presenta (o si è presentato) come il soggetto che può risolvere il problema;
- la fase di contatto attivo da parte della vittima.
Piggybacking/Tailgaiting
Davanti ad un perimetro organizzativo caratterizzato da un accesso fisico controllato, l’ingegnere sociale può mettere in atto metodologie di piggybacking, con cui tenta, attraverso la persuasione e l’empatia, di convincere una terza persona autorizzata ad aprire la porta, oppure di tailgaiting, cioè semplicemente “tallonando” quest’ultima, prima che si chiuda l’ingresso.
Un supporto per difendersi dal social engineering
La presente rassegna delle metodologie di social engineering human based si intende finalizzata ad una descrizione topologica che, senza pretese di esaustività, può ragionevolmente essere utilizzata, nel contesto di un percorso formativo, come utile supporto all’apprendimento delle caratteristiche distintive dei diversi pattern di attacco, per fornire alle risorse umane (e ai responsabili di settore) gli strumenti necessari a riconoscerli e, di conseguenza, a reagire opportunamente, rispondendo con le relative contromisure.
