ABC della sicurezza: Social Engineering

Prova a prendermi

Fra i metodi di “hacking” uno fra i più affascinanti è a mio avviso quella della “social engineering”. Anche se non esprimeva le sue “doti” in ambito informatico una delle figure più interessanti in questo campo è senza dubbio Frank Abagnale la cui biografia è stata l’ispirazione del film di Spielberg del 2002 “Prova a prendermi” (“Catch me if you can”). Durante gli anni 60 e senza l’ausilio di strumenti digitali o di Internet, Abagnale riuscì a carpire, tramite l’astuzia e raffinate tecniche psicologiche, la fiducia di moltissime persone portando a termine truffe e raggiri che gli permisero di impersonare un pilota di aerei, un medico o un avvocato, arrivando a guadagnare grazie alla sua “arte” milioni di dollari. Ad Abagnale viene attribuita questa frase: “Ciò che io ho compiuto nella mia giovinezza è centinaia di volte più facile oggi. La tecnologia genera crimine” 

social engiIn ambito security, la “Social engineering” è dunque  un metodo di intrusione che sfrutta principalmente l’interazione con l’essere umano allo scopo di ingannarlo, carpirne la fiducia e indurlo a violare le normali procedure di sicurezza: è senza dubbio uno delle maggiori minacce che aziende e organizzazioni si trovano a dover affrontare.

Facciamo un brevissimo excursus fra alcune delle possibili varianti di attacco. Possiamo suddividere gli attacchi in due grandi categorie: quelli basati sulla pura interazione fra esseri umani e quelli che sfruttano un computer (o simili) come mezzo. Fra gli attacchi della prima categoria possiamo segnalare l’impersonare qualcuno che non si è per trarre vantaggio dal proprio (falso) ruolo (ad esempio un fattorino che deve fare una consegna), oppure lo spacciarsi per una persona importante al fine di far abbassare le difese all’interlocutore, intimorendolo, o ancora il fingersi un elemento del supporto tecnico (help desk) per carpire informazioni riservate o addirittura accedere fisicamente al computer vittima. In ultimo possiamo citare gli attacchi più “triviali” come lo “shoulder surfing” (sbirciare inosservati le password o altre informazioni carpite alla vittima ignara, solitamente trovandosi alle sue spalle) oppure il “dumpster diving” che consiste nel recupero di materiale riservato dall’immondizia in cui, integro, è stato gettato. Fra gli attacchi “software based” si segnalano invece il ben noto “phishing”, il “baiting” e lo “scam” (truffa) online.

Sono attacchi fra loro diversi e proprio questa diversità è la dimostrazione di quanto sia ampio e quindi pericoloso il ventaglio di possibilità a disposizione degli “artisti della truffa”. Quando ho detto che la SE è uno dei pericoli più grandi per l’integrità delle aziende mi riferisco al fatto che vittime di questo tipo di attacchi sono state, nel corso degli anni, non solo aziende di grandi dimensioni, ma addirittura aziende che fanno della sicurezza il proprio business, basti citare l’attacco che nel 2011 colpì la compagnia americana RSA Security, questo attacco sfruttò una campagna di “phising” e costò all’azienda 66 milioni di dollari. Sempre il “phishing” pare sia alla base della famigerata violazione ai danni della catena americana “Target” del 2013, l’impatto di quell’attacco riguardò 110 milioni di clienti, con danni astronomici e conseguenze gravissime per l’azienda.

Non solo “Phishing”… e non solo “bit”

Nel 2007, presso una filiale della ABN Amro ad Anversa, un truffatore riuscì ad impadronirsi di un quantitativo di diamanti ed altre gemme per un totale di 120000 carati, l’unica arma di cui si servì il rapinatore fu il proprio fascino per guadagnare la fiducia dei suoi interlocutori, acquistò cioccolatini per il personale, si dimostrò gentile, li blandì, ottenne le chiavi originali del luogo ove erano conservati i preziosi e si “guadagnò” il proprio bottino. Il portavoce del “Diamond High Council” di Anversa così si esprimeva a proposito dell’accaduto: “Puoi disporre di tutta la sicurezza fisica e logica che vuoi, ma se qualcuno utilizza il suo fascino per ingannare le persone, ogni contromisura diverrà inutile”: quanta verità in queste parole anche leggendole in ottica di sicurezza informatica e calandole nella realtà di ciascuna azienda o organizzazione! Non necessariamente il “bottino” sarà costituito da diamanti o altro genere di preziosi, l’obiettivo potrebbe essere l’accesso a locali sorvegliati o a dispostivi che dovrebbero essere protetti, come data center, rack contenenti apparati di rete, uffici, ecc.

Altra vittima illustre, in quanto compagnia che si occupa di sicurezza, è Bit9 che nel 2013 fu colpita da un attacco che sfruttò, fra l’altro, la tecnica del “watering hole”. Gli esempi di RSA e Bit9 sono emblematici di quanto nessun azienda, anche quelle che apparentemente dovrebbero essere più preparate, sia completamente al sicuro dagli attacchi basati sull’ingegneria sociale.

Un “NO” che ti salva

Phishing conceptCome le aziende possono proteggere il proprio business e le proprie informazioni dalla Social Engineering? Le risposte sono tante. E’ necessario educare ogni componente dell’azienda, da chi si occupa della reception al amministratore delegato, a non fornire per nessun motivo informazioni che devono rimanere confidenziali, si tratti di una password, di un PIN, ma anche di informazioni apparentemente “innocue”. Ad ogni richiesta di questo tipo la risposta DEVE essere sempre NO. In generale, che l’approccio provenga da parte di uno sconosciuto al telefono, di persona o online, la massima prudenza deve guidare ogni risposta. Istintivamente l’essere umano è portato ad aiutare il prossimo, ma se si vogliono evitare brutte sorprese è bene non dare fiducia incondizionata al proprio interlocutore. Per quanto riguarda le mail, che si tratti di richieste di aiuto da parte di amici all’estero o allettanti premi che la fortuna ci ha assegnato: dubitiamo e cancelliamo. Se una persona ci segue all’ingresso di un edificio o un di un locale ad accesso controllato e, con entrambe le mani impegnate, ci chiede di tenere aperta la porta: non facciamolo. Se ritroviamo nel parcheggio una “chiavetta” USB evitiamo di inserirla nel PC aziendale per la curiosità di vedere cosa contiene o anche nel lodevole tentativo di restituirla al proprietario: potrebbe essere stata abbandonata appositamente e contenere un malware.

Insomma, un approccio a “fiducia zero” probabilmente abbasserà il livello di simpatia, ma contribuirà senza dubbio a proteggersi dai subdoli metodi propri dell’ingegneria sociale. Quindi prudenza, accortezza, consapevolezza della minacce e … un pizzico di diffidenza in più.

 

 

 

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here