Ingegneria sociale, l’hacker dal “volto umano”

Il termine «ingegneria sociale» (in inglese social engineering) definisce l’arte di manipolare delle persone al fine di aggirare dei dispositivi di sicurezza. Si tratta di una tecnica che consiste nell’ottenere delle informazioni da parte degli utenti per telefono, posta elettronica e tradizionale o per contatto diretto.

ingegnere-sociaeL’illusionismo è un’arte solitamente eseguita come forma di spettacolo di intrattenimento dove l’artista, comunemente detto mago o illusionista (ma sono usati anche prestigiatore ed il francesismo prestidigitatore), crea effetti apparentemente magici usando trucchi che possono essere fisici (solitamente meccanici ma anche chimici, idraulici, ottici), psicologici, oppure, il più delle volte, il trucco sta nell’abilità di mani del prestigiatore.
Questa è la definizione che ci da Wikipedia del prestigiatore, una definizione che ben si presta ad essere accostata a quella dell’ingegnere sociale.

Essere ingegnere sociale e come fare l’investigatore privato.

Testo tratto dal libro di Kevin Mitnick
(scritto con William L. Simon)
L’arte dell’inganno
I consigli dell’hacker più famoso del mondo:
Certuni si alzano dal letto alla mattina temendo già la routine della giornata lavorativa. Io sono stato tanto fortunato da amare il mio lavoro. Immaginatevi il piacere, la soddisfazione e il senso di sfida che provavo quando facevo l’investigatore privato. Affinavo il mio talento nell’arte chiamata “ingegneria sociale” (convincere la gente a fare qualcosa che di norma non farebbe per un estraneo) ed ero persino pagato. Non mi riuscì difficile diventare bravo. Dal lato di mio padre ero nel ramo vendite da generazioni, perciò l’arte della persuasione dev’essere stato un carattere ereditario.

Se la combinate con la tendenza al raggiro, otterrete il profilo del perfetto ingegnere sociale.
Potremmo dire che ci sono due specializzazioni nel settore artisti del raggiro. La persona che frega i soldi alla gente appartiene al sottogruppo dei truffatori.

Colui che usa l’inganno, il fumo negli occhi e la persuasione contro le imprese, di solito a scapito delle loro informazioni riservate, appartiene all’altro sottogruppo, quello degli ingegneri sociali.
Questo libro contiene una notevole mole di notizie sulla sicurezza delle informazioni e l’ingegneria sociale. Per aiutarvi a orientarvi, ecco un primo schizzo di come è organizzato il testo.
Dimostrandovi perché voi e la vostra azienda siete a rischio di attacchi da parte degli ingegneri sociali.
Trovate l’intero libro che tratta l’argomento ingegneria sociale a questo link

Presa di coscienza e training sulla sicurezza delle informazioni

Un ingegnere sociale è stato incaricato di rubarvi i piani del
vostro nuovo prodotto innovativo che deve uscire tra due mesi.

  • Che cosa può fermarlo?
    I1 vostro firewall? No.
  • Forti strumenti di autenticazione? No.
    Sistemi di rilevamento delle intrusioni? No.
  • La cifratura? No.
  • Un accesso limitato ai numeri di telefono per gli accessi modem
    su linea commutata? No.
  • I nomi in codice ai server che rendono difficile a un esterno
    capire quale di loro ospita i progetti del prodotto? No.

La verità è che non esiste tecnologia al mondo che possa prevenire
un attacco portato da un ingegnere sociale.

L’unico modo per difendersi da questi nuovi hacker è CAPIRE COME GLI ATTACCANTI SI APPROFITTANO DELLA NATURA UMANA

Dovreste allestire un programma base di addestramento alla sicurezza che tutti i dipendenti devono frequentare.
I nuovi assunti devono partecipare come parte dell’apprendistato iniziale.
Raccomando inoltre che nessuno abbia accesso ai computer fino a quando non ha seguito una lezione base di orientamento sui problemi della sicurezza. Per questa preparazione iniziale raccomando una lezione abbastanza tirata per non far calare l’attenzione e piuttosto breve, affinché i messaggi importanti non siano dimenticati.
Se la quantità di materiale da affrontare giustifica sicuramente un addestramento più lungo, l’importanza di spiegare e motivare tramite un numero ragionevole di messaggi essenziali vince, a mio parere, qualsiasi strategia di lezioni lunghe una mezza giornata o una giornata intera tali da stordire la gente con eccessive informazioni. In queste sedute bisogna insistere sul danno che può essere recato all’azienda e ai singoli dipendenti, a meno che tutto il personale non rispetti le buone abitudini di sicurezza.

Ancor più importante che imparare le procedure specifiche è la motivazione dei dipendenti ad assumersi responsabilità personali nel campo della sicurezza.

Nove grandi aziende ed enti statali su dieci sono stati attaccati dagli intrusi informatici, stando ai risultati di uno studio condotto dall’ FBI e riferiti dall’Associated Press nell’anno 2016. Dato interessante, la ricerca ha riscontrato che solo un’azienda su tre ha riportato o reso pubblico un attacco. Questa reticenza a svelare i danni è giustificabile. Per evitare di perdere la fiducia dei clienti e prevenire ulteriori attacchi da parte di intrusi che hanno scoperto la vulnerabilità di una compa- gnia, quasi tutte le strutture non rendono pubblici gli incidenti ai dan- ni della sicurezza informatica. Sembra che non ci siano statistiche su li attacchi degli in e neri so- ciali. e anche se ci fossero i numeri sareb%ero altamente inakfiabili. In quasi tutti i casi, un’azienda non si accorge che un ingegnere sociale ha ‘rubato” le informazioni, quindi tanti attacchi passano ignorati o non sono divulgati.

Il miglior modo di proteggersi dalle tecniche di ingegneria sociale è di utilizzare il buon senso nel non divulgare a chiunque delle informazioni che possano nuocere alla sicurezza della società. Si consiglia quindi, qualunque sia il tipo di informazione richiesta:

Di informarsi sull’identità del proprio interlocutore chiedendogli delle informazioni precise (nome e cognome, società, numero di telefono);

Di verificare eventualmente le informazioni fornite;

Di interrogarsi rispetto alla criticità delle informazioni richieste.

In questo caso, può risultare necessaria una formazione e una sensibilizzazione degli utenti a queste problematiche.

Posted in I, Magazine, Strategie e risorse.