Il termine social engineering indica una particolare tecnica di attacco informatico, particolare perchè come dice il nome stesso che deriva dalla lingua inglese e che tradotto vuol dire ingegneria sociale, sfrutta delle leve psicologiche che unite a tecniche informatiche hanno lo scopo di carpire informazioni o dati sensibili. Tali leve ruotano intorno a stati emotivi dell'essere umano, tra le più importanti troviamo la curiosità la paura, la superficialità ed i desideri o bisogni. Il fenomeno è molto frequente on-line, dato che colpisce spesso i servizi di posta elettronica e in alcuni casi si diffonde attraverso informazioni pubblicitarie. Analizziamo ora nello specifico i vari casi.
Curiosità: in questo caso l'utente davanti a pubblicità allettanti oppure leggendo e-mail con allegati invitanti, ad esempio proposte di incontri, guadagni facili, e ricche vincite è indotto a aprire i contenuti, autorizzando così l'accesso nel computer di programmi spia, virus o trojan.
Paura: un esempio lampante è l'invio di false e-mail generate ad arte, dove un presunto istituto di credito richiede dei dati specifici all'utente al seguito di un errore nel sistema della banca stessa.
La superficialità: è un atteggiamento derivante dalla mancata conoscenza dell'esistenza di tale tecnica di attacco e dal non tener conto delle conseguenze che ne scaturiscono.
Desideri o bisogni: è l'esempio che spesso si verifica tra utenti che magari annoiati dalla routine giornaliera cercano chat di incontri o siti di natura sessuale. Spesso questi siti, tramite richieste di iscrizioni e quindi di rilascio informazioni come ad esempio indirizzi e-mail, danno vita all'arrivo insistente di spam (posta indesiderata) .
Il social engineering può essere volto anche ad attacchi più complessi nei riguardi di aziende di medie e grandi dimensioni. Le tecniche in questo caso possono essere più complesse e hanno bisogno da parte di chi tenta l'attacco di una pianificazione meticolosa. Di solito la fase di partenza dell'attacco analizza in maniera approfondita il sito internet dell'azienda target, dove si possono trovare informazioni importanti, come ad esempio: nomi di responsabili, numeri di telefono della reception, amministratori; poiché proprio da queste informazioni parte il lavoro per arrivare a conoscere l'interno dell'obiettivo. In alcuni casi, colui che tenta l'attacco, trova il modo di esaminare vecchi documenti buttati nell'immondizia alla ricerca di password appuntate su pezzi di carta, registri o nominativi del personale, oppure cerca di individuare e avvicinare un dipendente vittima, definito "anello debole" spacciandosi per un'altra persona al fine di reperire informazioni. Un altro modo per tentare di recuperare informazioni sensibili, è la telefonata fatta alla reception o al centralino nelle false vesti di un tecnico cercando così, il referente o l'amministratore della rete informatica aziendale.
Come si può notare, il social engineering ha di fatto una matrice prettamente psicologica, in definitiva si può considerare un' arte dell'inganno.
Nessun commento:
Posta un commento