Promo

IL Social Engineering

  13 Marzo 2013
Vota questo articolo
(2 Voti)

Nel campo della sicurezza delle informazioni, il social engineering è lo studio del comportamento individuale di una persona al fine di carpire informazioni utili.Con l’evoluzione del software, l’uomo ha migliorato i programmi a tal punto che essi presentano pochi bug . Per uncracker sarebbe impossibile attaccare un sistema informatico in cui non riesce a trovare bug.

Quando ciò accade l’unico modo che il cracker ha per procurarsi le informazioni di cui necessita è quello di attuare un attacco social enineering.

Un social engineer per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire.
Un social engineer è molto bravo a nascondere la propria identità, fingendosi un’altra persona: in tal modo egli riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale. Nel caso sia un cracker, può ricavare informazioni attinenti ad un sistema informatico. Il social engineering è quindi una tecnica per ricavare informazioni molto usata dagli hacker esperti , e dato che comporta (nell’ultima fase dell’attacco) il rapporto più diretto con la vittima, questa tecnica è una delle più importanti per carpire informazioni. In molti casi  potrà riuscire a ricavare tutto ciò che gli serve dalla vittima ignara.

Il social engineer comincia con il raccogliere informazioni sulla vittima per poi arrivare all’attacco vero e proprio. Durante la prima fase cercherà di ricavare tutte le informazioni di cui necessita sul suo bersaglio: e-mail, recapiti telefonici, ecc. Superata questa fase, detta footprinting,  passerà alla fase successiva, cioè quella che gli permetterà di verificare se le informazioni che ha ricavato sono più o meno attendibili. La fase più importante, quella che determinerà il successo dell’attacco, è lo studio dello stile vocale della persona per la quale vuole spacciarsi (ad esempio cercando di evitare in tutti i modi l’utilizzo di espressioni dialettali e cercando di essere quanto più naturale possibile, sempre utilizzando un tono neutro e cortese). In questa fase l’attaccante avrà sempre vicino a sé i propri appunti con tutte le informazioni raccolte nella fase di footprinting, dimostrandosi pertanto sicuro nel caso gli venisse posta qualche domanda.

Molto spesso il social engineering viene utilizzato per ricavare informazioni su privati,il cosidetto phishing. Un esempio di azione di questo genere può essere una falsa e-mail, mandata da un aspirante ingegnere sociale fingendosi magari un amministratore di sistema, o un membro di qualche grosso ente(bacnhe,poste etc). Vengono richiesti al malcapitato di turnonome utente e password di un suo account, ad esempio quello di posta elettronica, con la scusa di fare dei controlli sul database dell’azienda. Se la vittima cade nel tranello, il social engineer avrà ottenuto il suo obiettivo, ossia una breccia nel sistema della vittima, da cui potrà iniziare una fase di sperimentazione allo scopo di violare il sistema stesso.

Per dimostrarlo Trend Micro ha condotto un esperimento la cui vittima è stata il suo vice presidente Blake Sutherland. I ricercatori di Trend Micro avevano scoperto che quando era studente Sutherland aveva lavorato con un geofisico che studiava l’oscillazione della Terra. Gli hanno inviato una finta mail proveniente da un fittizio geofisico russo che faceva riferimento alle ricerche dell’epoca universitaria e che chiedeva di entrare in contatto con lui tramite LinkedIn.Sutherland ha cliccato sul link al finto profilo cascando nel tranello. Ovviamente il suo computer non ha contratto alcun malware, ha semplicemente ricevuto una nota dei ricercatori in cui c’era scritto “beccato!”.

Ovviamente gli hacker di norma non fanno ricerche approfondite su tutte le vittime designate, lavorano per lo più su messaggi che possono attirare l’attenzione delle masse, puntando a colpire il numero più alto possibile di vittime con una sola azione.Tutto cio fa riflettere su quanto siamo vunerabile in termini di sicurezza informatica.

Lascia un commento

I campi con * sono obbligatori
Codice HTML non è permesso.
* Raccogliamo il tuo nome, la tua email e il contenuto del messaggio per tracciare i commenti postati sul nostro sito. Per informazioni controlla la nostra Privacy Policy. Per commentare ci dai il tuo consenso ad acquisire la tua mail. Per rimuoverla, fai richiesta.

Articoli in Evidenza

  • Samsung Galaxy S10 scheda tecnica
    Samsung Galaxy S10 scheda tecnica Samsung ha presentato il Galaxy S10, per festeggiare i dieci anni della serie Galaxy S, tra successi e qualche piccolo fallimento con S10 l’azienda sudcoreana ha deciso di inaugurare una…
  • Lovepedia il sito d' incontri completamente gratis
    Lovepedia il sito d' incontri completamente gratis Lovepedia è il primo sito d' incontri online 100% gratis, che offre tanti servizi per conoscere e incontrare persone con i tuoi stessi interessi.
  • I criteri di sicurezza del gioco online
    I criteri di sicurezza del gioco online Come riconoscere un sito sicuro di giochi online. Quali sono i criteri di sicurezza del gioco online da sapere prima di iniziare a usare un sito di gambling?  Per evitare…
  • Cos'è il trading online
    Cos'è il trading online Trading online di cosa si tratta? Il trading online se ne sente parlare ormai da anni da quando internet è ormai entrato in tutte le casa ma non tutti sanno…

Pubblicità

ads

Annunci

Ultimi commenti

Pubblicità

Seguici su Facebook

Pubblicità

Da Amazon

Dal blog

Hacks