Nel campo della sicurezza delle informazioni, il social engineering è lo studio del comportamento individuale di una persona al fine di carpire informazioni utili.Con l’evoluzione del software, l’uomo ha migliorato i programmi a tal punto che essi presentano pochi bug . Per uncracker sarebbe impossibile attaccare un sistema informatico in cui non riesce a trovare bug.
Quando ciò accade l’unico modo che il cracker ha per procurarsi le informazioni di cui necessita è quello di attuare un attacco social enineering.
Un social engineer per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire.
Un social engineer è molto bravo a nascondere la propria identità, fingendosi un’altra persona: in tal modo egli riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale. Nel caso sia un cracker, può ricavare informazioni attinenti ad un sistema informatico. Il social engineering è quindi una tecnica per ricavare informazioni molto usata dagli hacker esperti , e dato che comporta (nell’ultima fase dell’attacco) il rapporto più diretto con la vittima, questa tecnica è una delle più importanti per carpire informazioni. In molti casi potrà riuscire a ricavare tutto ciò che gli serve dalla vittima ignara.
Il social engineer comincia con il raccogliere informazioni sulla vittima per poi arrivare all’attacco vero e proprio. Durante la prima fase cercherà di ricavare tutte le informazioni di cui necessita sul suo bersaglio: e-mail, recapiti telefonici, ecc. Superata questa fase, detta footprinting, passerà alla fase successiva, cioè quella che gli permetterà di verificare se le informazioni che ha ricavato sono più o meno attendibili. La fase più importante, quella che determinerà il successo dell’attacco, è lo studio dello stile vocale della persona per la quale vuole spacciarsi (ad esempio cercando di evitare in tutti i modi l’utilizzo di espressioni dialettali e cercando di essere quanto più naturale possibile, sempre utilizzando un tono neutro e cortese). In questa fase l’attaccante avrà sempre vicino a sé i propri appunti con tutte le informazioni raccolte nella fase di footprinting, dimostrandosi pertanto sicuro nel caso gli venisse posta qualche domanda.
Molto spesso il social engineering viene utilizzato per ricavare informazioni su privati,il cosidetto phishing. Un esempio di azione di questo genere può essere una falsa e-mail, mandata da un aspirante ingegnere sociale fingendosi magari un amministratore di sistema, o un membro di qualche grosso ente(bacnhe,poste etc). Vengono richiesti al malcapitato di turnonome utente e password di un suo account, ad esempio quello di posta elettronica, con la scusa di fare dei controlli sul database dell’azienda. Se la vittima cade nel tranello, il social engineer avrà ottenuto il suo obiettivo, ossia una breccia nel sistema della vittima, da cui potrà iniziare una fase di sperimentazione allo scopo di violare il sistema stesso.
Per dimostrarlo Trend Micro ha condotto un esperimento la cui vittima è stata il suo vice presidente Blake Sutherland. I ricercatori di Trend Micro avevano scoperto che quando era studente Sutherland aveva lavorato con un geofisico che studiava l’oscillazione della Terra. Gli hanno inviato una finta mail proveniente da un fittizio geofisico russo che faceva riferimento alle ricerche dell’epoca universitaria e che chiedeva di entrare in contatto con lui tramite LinkedIn.Sutherland ha cliccato sul link al finto profilo cascando nel tranello. Ovviamente il suo computer non ha contratto alcun malware, ha semplicemente ricevuto una nota dei ricercatori in cui c’era scritto “beccato!”.
Ovviamente gli hacker di norma non fanno ricerche approfondite su tutte le vittime designate, lavorano per lo più su messaggi che possono attirare l’attenzione delle masse, puntando a colpire il numero più alto possibile di vittime con una sola azione.Tutto cio fa riflettere su quanto siamo vunerabile in termini di sicurezza informatica.
