SlideShare a Scribd company logo

Social Engineering

M
Marco Cipriano

Social engineering represents a set of techniques used by cybercriminals to lure unsuspecting users into sending them their confidential data, infecting their computers with malware, or opening links to infected sites. In addition, hackers take advantage of a user's lack of knowledge; due to the speed of technology, many consumers and employees do not realize the unconditional value of personal data and do not know how to best protect this information. Here I cover the birth, development, and current most common attacks.

Software
1 of 79
Download to read offline
Social Engineering Marco Cipriano Prof. Alfredo De Santis
-Kevin Mitnick, L’Arte dell’Inganno- “Si possono investire milioni di dollari per i propri software, per l’hardware delle proprie macchine e per dispositivi di sicurezza all’avanguardia, ma se c’è anche solo un unico dipendente della nostra azienda che può essere manipolato con un attacco di social engineering, tutti i soldi investiti saranno stati inutili.”
Perchè Come Dove Un attacco di Social Engineering può manifestarsi Quando Come difendersi sia dal punto di vista personale, che delle policy aziendali & IT Security Audit. Obiettivi
-Kevin Mitnick, L’Arte dell’Inganno- “Se vuoi conoscerli devi pensare come loro.”
1. CHI è UN social ENGINEER? 4.2 Psicologia dell’ attacco 4.3 Footprinting 7. SOCIAL ENGINEER TOOLKIT 6. social engineering Inversa 5. Phishing 8. DATI E CONSIDERAZIONI 3. LE 4 FASI DELL’ATTACCO 2. CENNI STORICI 4. ATTACCO 4.1 PREPARAZIONE ALL’ ATTACCO
1. CHI è UN social engineer?
Studio del comportamento di un soggetto, con l’obiettivo di entrare in possesso di informazioni specifiche. -Kevin Mitnick, L’Arte dell’Inganno- sociale, coinvolge la società e studia il comportamento umano e ingegneria, bisogna ingegnerizzare la “situazione” per raggiungere i propri obiettivi. Attività che richiede molta progettazione e pianificazione.
Sfrutta la tendenza ad aiutare il prossimo e l’essere gentili. Ottiene ciò che vuole chiedendo. Deve saper fingere e ingannare le persone. Dev’essere come un mimo, capace di mutare la propria identità. Cosi potrà ricavare informazioni che con la propria identità, non avrebbe potuto ottenere. Hacker più subdolo!!!
-Albert Einstein- “Soltanto due cose sono infinite, l’universo e la stupidità umana, e non sono tanto sicuro della prima.” 

Trova molteplici soluzioni al problema, al fine di aggirarlo. Persona curiosa sia in ambito informatico che in ambito psicologico. • non necessita di specialisti ICT; • comporta costi minimi; • comporta basso rischio; • funziona con qualsiasi sistema operativo; • non richiede collegamento in rete; • non lascia tracciabilità; • non diventa obsoleta con il passare del tempo; • non è molto conosciuta tra le vittime. Vantaggi Potrebbe nascondersi dietro ad un abile oratore, esperto in comunicazione.
–Kevin Mitnick L’Arte dell’Inganno- Il social engineer non richiede log, lavora con ogni piattaforma software, o sistema operativo, usa strumenti a disposizione di chiunque o estremamente economici, supera qualsiasi sistema IDS.
-Brad Sagarin, Northen Illinois University, Department of Psychology- “Il social engineer impiega le stesse tecniche di persuasione che tutti noi usiamo ogni giorno. Cerchiamo di costruirci una credibilità, ma il social engineer applica queste tecniche in modo manipolatorio, ingannevole, altamente non etico, spesso con effetti devastanti”.
Kevin David Mitnick (Condor) Considerato il più grande social engineer della storia Nel 1981 subì la prima condanna quand’era ancora 17enne e con un gruppo di amici entrò fisicamente nel Computer System for Mainframe Operations(COSMOS) della Bell, il sistema in cui veniva conservata la documentazione sulle chiamate delle maggiori compagnie telefoniche degli USA. A cavallo tra agli anni ’80 e ’90 riuscii ad attaccare i computer di quasi tutte le società d'informatica più importanti del mondo, tra le quali Nokia, Motorola ed Apple, oltre a server dell’esercito USA e della marina. Il 15 febbraio 1995 Mitnick venne arrestato a seguito di una caccia durata 14 anni.  Incarcerato senza processo, fu rilasciato nel gennaio 2000, ma con l'obbligo di astenersi da usare internet fino al 21 gennaio 2003. Attualmente è amministratore delegato dell'azienda di consulenza e sicurezza informatica, la Mitnick Security Consulting LLC. “La sicurezza informatica è come un gioco continuo del gatto e del topo, con gli esperti di sicurezza da un lato e gli intrusi dall’altro.”
Riceviamo una chiamata. Dall’altra parte c’è Anna, dipendente di un’agenzia aerea, che ci chiede quando passeremo a prendere i biglietti per Roma prenotati a nostro nome. Anche se non abbiamo mai prenotato un viaggio per Roma, il nostro interlocutore, che sembra una persona affidabile, sorride dall’altra parte del telefono e, dopo averle detto più volte che non siamo noi ad aver prenotato questo viaggio, lei ci chiede ugualmente il codice fiscale per fare un controllo sulla prenotazione. Ecco fatto, dal controllo risulta che non siamo noi, chiudiamo la chiamata e ci dimentichiamo di Anna che, a questo punto, ha ottenuto il nostro codice fiscale.
3. Riconoscere un social engineer è davvero difficile! 2. Le manipola con, o senza, l’aiuto di dispositivi tecnologici. 1. Il vero obiettivo di un social engineer sono le persone.
2. Cenni storici
Phreaking Il phreaking è una forma di pirateria che permette di utilizzare la rete telefonica sfruttando i sistemi e i dipendenti dell’azienda erogatrice del servizio. -Wang, Breve storia del phreaking, 2006- Mossi dalla curiosità, non esitavano a segnalare alle compagnie telefoniche i problemi; tuttavia non tardò il momento in cui iniziarono a sfruttare le proprie conoscenze per eseguire chiamate telefoniche gratuitamente. To freak out Confondevano la centrale con apparecchiature in grado di generare toni acustici.
Il giocattolo che nel 1964 scatenò il fenomeno del Phreaking. John Thomas Draper in una foto dell’epoca. Considerato il primo phreaker della storia!
Tre phreakers intenti a effettuare una telefonata usando la tecnica del Phreaking. Innanzitutto ero necessario chiamare un numero gratuito. Successivamente si riproduceva il particolare tono a 2600 Hz(lo stesso utilizzato dalle compagnie telefoniche per indicare che l’utente aveva riagganciato), dopodichè si poteva digitare il numero da chiamare. Era così possibile effettuare chiamate gratuitamente verso qualsiasi numero.
John: "Olympus, per favore" Operatore: "Un attimo, per favore..." Nixon: "Che succede?" John: "Signor Presidente, è in atto una crisi qui, a Los Angeles" Nixon: "Che tipo di crisi?" John: "Siamo senza carta igienica, Signor Presidente.” Prima dell’arresto riuscì a raccontare la sua scoperta a un amico: Steve Wozniak!
La mitica Blue Box. Una Blue box costruita da Steve Wozniak e donata al Computer History Museum. Insieme a Steve Jobs cominciò a venderla nei dormitori universitari di Barkeley.
Ne “Steve Jobs: l’intervista perduta”, lo stesso Jobs racconta un episodio legato all’uso della Blue Box. “Wozniak chiamò il Vaticano fingendo di essere Henry Kissinger, segretario di stato durante la presidenza di Nixon e svegliò tutti, cardinali compresi. Non riuscirono però a parlare con il Papa poiché nel momento in cui convinsero l’interlocutore a svegliarlo scoppiarono a ridere facendo loro capire la natura scherzosa della chiamata.”
Ripercussioni ed evoluzioni Diffusione del Phreaking negli U.S.A, escogitando nuovi metodi per non pagare le chiamate telefoniche. Red Box Green Box Black Box Impediva attraverso il controllo della tensione elettrica di iniziare la fatturazione della chiamata evitando quindi il pagamento della stessa.. Consentiva al phreaker che riceveva la chiamata di inviare toni indicanti l’inserimento di monete nella cabina telefonica e toni indicanti di espellere il resto. Permetteva di effettuare chiamate interurbane emulando il tintinnio indicante l’inserimento delle monete.
Ripercussioni ed evoluzioni -2 Le box colorate permisero per la prima volta di effettuare chiamate a bassissimo costo in tutto il pianeta e nonostante la loro “illegalità”, ebbero il merito di rendere più facile la comunicazione a livello globale scavalcando i confini nazionali e rendendo il mondo percettivamente più piccolo. Le compagnie telefoniche non vennero danneggiate economicamente ed anzi riuscirono a sfruttare il fenomeno del Phreaking per correggere i diversi bugs delle loro linee telefoniche.
Attivo fino al 2007 Molti appassionati anche In Italia!
3. Le 4 faSI dell’attacco Footprinting (raccolta informazioni) Manipolazione Psicologica. Contatto (intrusione) Fuga
4. attacco
4.1 Preparazione all’ attacco
Per un social engineer è fondamentale tutta la fase di preparazione dell’attacco. La capacità di carpire le informazioni personali (come gusti e hobby) può aiutare ad avvicinarsi alla vittima e passare dall’essere un perfetto sconosciuto a diventare un amico con cui condividere del tempo o meglio ancora diventare il collega perfetto. La scelta della vittima dalla quale sottrarre le informazioni, deve essere effettuata attentamente e pensata in ogni suo dettaglio. Si deve analizzare qualsiasi comportamento anomalo, nonché scoprire i suoi punti deboli.
4.2Psicologiadell’attacco
Il social engineer è in fin dei conti prima di tutto uno psicologo, poiché tra le sue virtù ha la capacità di entrare “empaticamente” in contatto con il proprio obiettivo. Gli utenti vogliono credere che le loro reti comunicative siano tutte sicure e per questo spesso abbassano molto i loro livelli di guardia. In questo senso, il social engineer si basa proprio sulla ingenua disponibilità e buona fede dell’attaccato, ma talvolta anche sulla sua ignoranza e sulla sua poca attenzione nel proteggere dati e identità personali.
–Bruce Snell (ex direttore tecnico di MacAfee Security System)- “Ognuno di noi ha il proprio interruttore, il proprio punto debole e un bravo social engineer sarà in grado di scovarlo”.
Pretexting Tecnica che consente di creare con la persona-obiettivo un legame particolare all’interno di un ambiente artificiale e indurlo a divulgare le informazioni di cui si ha bisogno. Il pretext!
Paura delle autorità L’attaccante si attribuisce un ruolo di una figura autoritaria.
Paura delle autorità -2
L’eccitamento per una vittoria Il sig. X riceve una mail in cui viene informato della potenziale vincita di n euro.
Desiderio di essere utili “Le società istruiscono i propri dipendenti ad essere servizievoli, ma difficilmente li istruiscono ad essere parte del processo di sicurezza. Usiamo la connessione tra le persone e il loro desiderio di essere utili”. -Keith A. Rhodes, capo tecnologo presso U.S. General Accounting Office- Le persone nel loro desiderio di essere utili e di risolvere le richieste di altri, forniscono molte informazioni che, in altri casi, non verrebbero fornite ad un estraneo: ciò fornisce ad un attaccante la possibilità di ottenere un accesso non autorizzato sul sistema target.
Buoni sentimenti 3,1 milioni di computer infetti in quattro giorni e danni stimati per 5,5 miliardi di dollari. Fu identificato il 4 maggio 2000, inviato come allegato di posta ad Hong-Kong. Il file mascherato sotto forma di file di testo, conteneva in realtà uno script Visual Basic eseguibile in ambiente Windows.
-Paura di una perdita -Pigrizia -Ego -Insufficiente conoscenza Altri pretesti utilizzati -Compassione e gratitudine
4.3 Footprinting (raccolta informazioni)
Il recupero iniziale delle informazioni può durare mesi. Caso di studio: azienda X In questo periodo di tempo l’attaccante studia ed analizza: • i sistemi di comunicazione dell’azienda; •come funziona la posta interna; • giorni ed orari di pulizia; • l’organigramma aziendale; • gli uffici aziendali; • il comportamento degli addetti alla sicurezza e delle segretarie; • le mail, telefonate e le informazioni in esse contenute; • come fingersi un cliente inesperto; •come fingersi un cliente esperto; •come pranzare nello stesso posto dove pranzano i dipendenti.
“Il valore nascosto dell'informazione” Qualsiasi dato o informazione può aiutare a scoprirne altre più importanti e significative. L’età, il nomignolo, il nome dei figli, il colore preferito, lo sport praticato. –Kevin Mitnick-
Keyghost Dispositivo che registra la digitazione dei tasti digitati. Tiene traccia di ciò che si scrive attraverso la tastiera. Supporta la cifratura dei dati memorizzati. Può durare 10 giorni (fino a circa 97000 tasti premuti) prima che la sua memoria venga riempita.
Consigliata l’installazione di proximity reader e/o gate rfid per segnalare presenze anomale. Informare i dipendenti sulla tecnica di attacco. Tecniche di difesa
Tecniche di difesa -2 Predisporre controlli di accesso all’area nella quale sono presenti le postazioni di lavoro.
Dumpster diving
Dumpster Diving Ogni singolo oggetto può tornare utile per ricostruire lo stile di vita o le abitudini della potenziale vittima. Ormai entrato di diritto negli annali del buon social engineer.
Dumpster Diving L’abbandono di ogni senso di pudore e ribrezzo verso la spazzatura, nonché il muoversi alla ricerca del più possibile numero di informazioni in mezzo ai rifiuti/utili della vittima. illegale in molti paesi occidentali, tra cui anche in Italia.
Si narra di un attacco in cui l'hacker, dalla sala d'aspetto del palazzo dell'azienda, fece scattare l'allarme antincendio e le conseguenti pompe d'acqua di sicurezza. Ritrovandosi il giorno dopo nella spazzatura una montagna di scartoffie interessanti (bagnate ma pur sempre interessanti!), ha poi personalmente avuto modo di utilizzare questa tecnica e rubare un’enormità di informazioni. Dumpster Diving
Contromisure per il dumpster diving. Tecniche di difesa
Classificandoli in base alla loro importanza: Policy per la gestione dei documenti Prima della sostituzione fisica dell’hardware, inoltre è necessario che venga cancellato dalla memoria ogni possibile informazione. Tecniche di difesa -2 confidential top secret secret
Attualmente questa tipologia di attacchi deriva, soprattutto dalle informazioni che si ricavano dai social network e dalle relative identità digitali. Ogni persona condivide una parte di sé senza preoccuparsi del fatto che le informazioni possono essere immagazzinate e memorizzate dalla rete; oltretutto, spesso non ci sono possibilità di eliminarle una volta condivise. Si condivide di tutto, dagli stati d’animo, contenuti, amicizie e posizioni geografiche. Ma in che modo questo può diventare un vantaggio per un social engineer? Social Network
“Facebook is not your friend” Facebook è fonte inesauribile per un social engineer che, con pochi click, riesce a ricostruire un carattere o un profilo di una persona basandosi semplicemente su quanto essa stessa mostra sul social network. –Richard Stallman- L’85% degli adulti utilizza almeno un social network. L’attaccante ha più di 8 possibilità su 10 di trovare il profilo della vittima e recuperare una miniera d’oro di informazioni sensibili senza per questo esporsi minimamente. Social Network -2 Diffondono qualsiasi tipo di dato personale!!
Ulteriori tecniche Eavesdrop (tecnica dell’origliare) Ascoltare una conversazione di nascosto, un dialogo sottovoce, o un colloquio cui non si dovrebbe far parte può rilevare importanti informazioni segrete. Wiretap (intercettazione) Sniffing del traffico, al furto della chiave di cifratura, dall’hacking fisico del canale di comunicazione (inserendo ad esempio un dispositivo che cattura il traffico) alle microspie (che rientrano nella categoria dell'eavesdrop passivo). Basa il suo successo nella più grande debolezza, o forza, della natura umana: la curiosità. Baiting
5. Phishing
Con il termine phishing (parola ricavata dai vocaboli inglesi fishing — pesca e password) si indica una particolare tipologia di frode in Internet; lo scopo dei malintenzionati, nella circostanza, è quello di entrare in possesso dei dati personali e confidenziali degli utenti. Enciclopedia, Kaspersky Lab È costituito da e-mail contenenti falsi messaggi e falsi comunicazioni ufficiali provenienti (in apparenza!) da istituti bancari, provider, sistemi di pagamento online. L’ampio successo ottenuto è in gran parte determinato dal basso livello di consapevolezza, dimostrato dagli utenti, nei confronti del modo di operare delle società e delle organizzazioni a nome delle quali agiscono illegalmente i malfattori in causa.
Gli attacchi condotti dai phisher divengono sempre più sofisticati e i malfattori in questione cercano quasi sempre, di spaventare ed intimorire l’utente, per far sì che quest’ultimo fornisca senza alcuna esitazione i propri dati personali. “Se i dati personali occorrenti non saranno comunicati entro la fine di questa settimana, il suo account verrà bloccato.” Esempio classico di minaccia di un pisher:
I siti di phishing hanno vita breve (in media soltanto 5 giorni). I filtri anti-phishing ricevono informazioni in merito alle nuove minacce esistenti con notevole rapidità; per tale motivo, i phisher debbono costantemente provvedere a registrare nuovi siti web.
Così come per il phishing, lo scopo è quello di ottenere i dati personali degli utenti ma operando direttamente attraverso cloni dei siti web ufficiali. Pharming Si dimostra ancor più pericoloso del phishing vero e proprio, visto che, in pratica, risulta impossibile, per l’utente medio, accorgersi dell’inganno messo in atto dai malfattori.
Gli URL di phishing, quindi, sono spesso simili agli indirizzi Internet autentici e legittimi. Essi possono ad esempio includere la denominazione dell’URL originale, magari integrata da qualche carattere o parola aggiuntiva. <www.examplebank.com.personal.login> al posto di <www.examplebank.com/personal/login>
Esempio di messaggio di phishing in cui si richiede (con il pretesto di innalzare il livello di sicurezza) di cliccare sul link in esso presente, per aggiornare poi i propri dati personali
 nell’ambito del sistema informatico della National Credit Union Administration. Esempio 1
Esempio di phishing sfruttando Ebay. Esempio 2
Esempio di messaggio di phishing realizzato sotto forma di notifica ufficiale proveniente (in apparenza!) dalla nota banca Barclays; come si può vedere, viene richiesto all’utente di introdurre direttamente i propri dati nel corpo del messaggio e-mail stesso. Esempio 3 Anche qui c’è il verde!!!
Esempio 4 Esempio di messaggio di phishing realizzato tramite Paypal.
SMiShing Attività criminale che utilizza tecniche simili a quelle del phishing. Il nome trae origine da "SMs phISHING". Usa messaggi di testo sui telefoni cellulari per indurre l'utente a rivelare informazioni personali.
Tecniche di difesa •  Non inviare informazioni sensibili su internet prima di aver accertato il livello di sicurezza del sito; • Controllare sempre il link e il mittente della mail prima di cliccare qualunque indirizzo, ancora meglio non cliccare sul link, ma copiarlo invece nella barra dove si inserisce l’indirizzo del browser; • Controllare che la connessione sia HTTPS e verificare il nome del dominio all’apertura di una pagina. Questi fattori sono importanti soprattutto quando si usano siti che contengono informazioni sensibili, come pagine per l’online banking o e-commerce; • Non condividere mai i propri dati sensibili con una terza parte. Le compagnie ufficiali non chiedono mai informazioni del genere via email. • Un'email di phishing spesso presenta errori grammaticali o di ortografia evidenti o suona innaturale in italiano; • Toni allarmistici. Le email di phishing spesso presentano toni allarmistici e ti chiedono di compiere con urgenza una certa operazione.
Tecniche di difesa La regola principale per difendersi, da adottare come un mantra, è solo una: Nessuno può tutelare e difendere le nostre informazioni meglio di noi stessi!!!
6. Ingegneria Sociale Inversa Convincere il target di avere un problema, oppure che lo avrà in futuro e l’attaccante sarò pronto a risolverlo. Sabotaggio: l’attaccante compromette il sistema evidenziando il problema agli utenti; a seguito di ciò, la vittima cercherà di trovare aiuto per risolvere il problema di cui si è resa protagonista. Marketing: nel momento stesso in cui la vittima cercherà aiuto per la risoluzione del problema, lo stesso attaccante si spaccerà come unico supporto in aiuto del problema da lui stesso creato. Supporto: l’attaccante dopo aver ottenuto la fiducia necessaria ha la possibilità di operare in libertà e ha la possibilità di accedere al sistema ed ai dati sensibili.
7. SOCIAL ENGINEER TOOLKIT
Menu principale del SET
8. Dati E considerazioni
La social engineering è diventata l’arma migliore per il cybercrime Sono in crescita le truffe cibernetiche, come la “Technical support fraud” Microsoft ha reso noto che nel 2017 ha ricevuto 153.000 lamentele su queste frodi cibernetiche da 183 paesi, con un aumento del 24% in più rispetto all’anno precedente. Gli esperti di cyber security pensano che aumenterà ancora nel 2018. I criminali informatici dopo aver creato delle schede delle vittime grazie ai dati recuperati dai social media, si fingono dipendenti di società di cui i bersagli sono clienti. Li chiamano al telefono e con la scusa di vari problemi, chiedono di poter accedere in remoto ai loro profili per risolverli.
Fidarsi è bene, non fidarsi è meglio.
–Kevin Mitnick- “La mente umana è un'invenzione meravigliosa. È interessante notare quanto riesca a essere creativa la gente quando si tratta di inventare modi subdoli per ottenere quanto le pare o per togliersi da una situazione spinosa. Dovete usare la medesima creatività e immaginazione per proteggere i sistemi informatici e di informazione nei settori pubblici e privati. Perciò, gente, quando pensate alle politiche di sicurezza delle vostre aziende ... siate creativi e pensate fuori dal sentiero tracciato.”
Social Engineering
Social Engineering

Recommended

Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...
Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...
Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...tagore
 
Cybercrime: investigazione forense e mitigazione (p.1)
Cybercrime: investigazione forense e mitigazione (p.1)Cybercrime: investigazione forense e mitigazione (p.1)
Cybercrime: investigazione forense e mitigazione (p.1)Massimo Farina
 
Seminario di informatica 2
Seminario di informatica 2Seminario di informatica 2
Seminario di informatica 2Andrea Barilli
 
Hacking e cinema
Hacking e cinemaHacking e cinema
Hacking e cinemaCouncil of Europe
 
Phishing: anatomia del fenomeno
Phishing: anatomia del fenomenoPhishing: anatomia del fenomeno
Phishing: anatomia del fenomenodenis frati
 
Sicurezza Informatica: Questa Sconosciuta
Sicurezza Informatica: Questa SconosciutaSicurezza Informatica: Questa Sconosciuta
Sicurezza Informatica: Questa SconosciutaMauro Gallo
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveiDIALOGHI
 
Anelli forti e ideologie deboli (nella cybersicurezza)
Anelli forti e ideologie deboli (nella cybersicurezza)Anelli forti e ideologie deboli (nella cybersicurezza)
Anelli forti e ideologie deboli (nella cybersicurezza)Carola Frediani
 

Recommended

Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...
Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...
Luca Mercatanti - Marketing Camp 3 - Innovative Day all'interno di Innovation...tagore
 
Cybercrime: investigazione forense e mitigazione (p.1)
Cybercrime: investigazione forense e mitigazione (p.1)Cybercrime: investigazione forense e mitigazione (p.1)
Cybercrime: investigazione forense e mitigazione (p.1)Massimo Farina
 
Seminario di informatica 2
Seminario di informatica 2Seminario di informatica 2
Seminario di informatica 2Andrea Barilli
 
Hacking e cinema
Hacking e cinemaHacking e cinema
Hacking e cinemaCouncil of Europe
 
Phishing: anatomia del fenomeno
Phishing: anatomia del fenomenoPhishing: anatomia del fenomeno
Phishing: anatomia del fenomenodenis frati
 
Sicurezza Informatica: Questa Sconosciuta
Sicurezza Informatica: Questa SconosciutaSicurezza Informatica: Questa Sconosciuta
Sicurezza Informatica: Questa SconosciutaMauro Gallo
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveiDIALOGHI
 
Anelli forti e ideologie deboli (nella cybersicurezza)
Anelli forti e ideologie deboli (nella cybersicurezza)Anelli forti e ideologie deboli (nella cybersicurezza)
Anelli forti e ideologie deboli (nella cybersicurezza)Carola Frediani
 
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...Raimondo Villano
 
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Danilo De Rogatis
 
We Are Social (Media) - Un viaggio introspettivo [su Giovani e Social media]
We Are Social (Media) - Un viaggio introspettivo [su Giovani e Social media]We Are Social (Media) - Un viaggio introspettivo [su Giovani e Social media]
We Are Social (Media) - Un viaggio introspettivo [su Giovani e Social media]Francesco Malaguti
 
All about cyber crime
All about cyber crimeAll about cyber crime
All about cyber crimeMassimo Farina
 
Swascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoSwascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoCristiano Cafferata
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniDI.TECH - Innovazione per la distribuzione
 
Mobile Security Business-e
Mobile Security Business-eMobile Security Business-e
Mobile Security Business-ePaolo Passeri
 
Doxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdf
Doxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdfDoxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdf
Doxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdfHelpRansomware
 
Incontro sulla sicurezza informatica promosso dal Gruppo Giovani Soci BancaTer
Incontro sulla sicurezza informatica promosso dal Gruppo Giovani Soci BancaTerIncontro sulla sicurezza informatica promosso dal Gruppo Giovani Soci BancaTer
Incontro sulla sicurezza informatica promosso dal Gruppo Giovani Soci BancaTerMarco Cozzi
 
Manifesto della Cyber Resilience
Manifesto della Cyber ResilienceManifesto della Cyber Resilience
Manifesto della Cyber ResilienceSymantec
 
635918284550670475 ransomware in ospedale
635918284550670475 ransomware in ospedale635918284550670475 ransomware in ospedale
635918284550670475 ransomware in ospedaleRosanna de Paola
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 
Nell'inferno delle cose connesse
Nell'inferno delle cose connesseNell'inferno delle cose connesse
Nell'inferno delle cose connesseFabio Chiusi
 
Losing face
Losing faceLosing face
Losing faceLosing Face
 
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Data Driven Innovation
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella
 
Mobile, iot e social network
Mobile, iot e social networkMobile, iot e social network
Mobile, iot e social networkLuca Di Bari
 
Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014Claudio Vecna
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 
Social Media Security 2013 - Andrea Zapparoli Manzoni
Social Media Security 2013 - Andrea Zapparoli ManzoniSocial Media Security 2013 - Andrea Zapparoli Manzoni
Social Media Security 2013 - Andrea Zapparoli ManzoniiDIALOGHI
 

More Related Content

Similar to Social Engineering

R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...Raimondo Villano
 
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Danilo De Rogatis
 
We Are Social (Media) - Un viaggio introspettivo [su Giovani e Social media]
We Are Social (Media) - Un viaggio introspettivo [su Giovani e Social media]We Are Social (Media) - Un viaggio introspettivo [su Giovani e Social media]
We Are Social (Media) - Un viaggio introspettivo [su Giovani e Social media]Francesco Malaguti
 
Swascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoSwascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoCristiano Cafferata
 
Mobile Security Business-e
Mobile Security Business-eMobile Security Business-e
Mobile Security Business-ePaolo Passeri
 
Doxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdf
Doxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdfDoxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdf
Doxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdfHelpRansomware
 
Incontro sulla sicurezza informatica promosso dal Gruppo Giovani Soci BancaTer
Incontro sulla sicurezza informatica promosso dal Gruppo Giovani Soci BancaTerIncontro sulla sicurezza informatica promosso dal Gruppo Giovani Soci BancaTer
Incontro sulla sicurezza informatica promosso dal Gruppo Giovani Soci BancaTerMarco Cozzi
 
Manifesto della Cyber Resilience
Manifesto della Cyber ResilienceManifesto della Cyber Resilience
Manifesto della Cyber ResilienceSymantec
 
635918284550670475 ransomware in ospedale
635918284550670475 ransomware in ospedale635918284550670475 ransomware in ospedale
635918284550670475 ransomware in ospedaleRosanna de Paola
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Luca Moroni ✔✔
 
Nell'inferno delle cose connesse
Nell'inferno delle cose connesseNell'inferno delle cose connesse
Nell'inferno delle cose connesseFabio Chiusi
 
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Data Driven Innovation
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella
 
Mobile, iot e social network
Mobile, iot e social networkMobile, iot e social network
Mobile, iot e social networkLuca Di Bari
 
Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014Claudio Vecna
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaEnrico La Sala
 
Social Media Security 2013 - Andrea Zapparoli Manzoni
Social Media Security 2013 - Andrea Zapparoli ManzoniSocial Media Security 2013 - Andrea Zapparoli Manzoni
Social Media Security 2013 - Andrea Zapparoli ManzoniiDIALOGHI
 

Similar to Social Engineering (20)

R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...
 
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
 
We Are Social (Media) - Un viaggio introspettivo [su Giovani e Social media]
We Are Social (Media) - Un viaggio introspettivo [su Giovani e Social media]We Are Social (Media) - Un viaggio introspettivo [su Giovani e Social media]
We Are Social (Media) - Un viaggio introspettivo [su Giovani e Social media]
 
All about cyber crime
All about cyber crimeAll about cyber crime
All about cyber crime
 
Swascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoSwascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologico
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioni
 
Mobile Security Business-e
Mobile Security Business-eMobile Security Business-e
Mobile Security Business-e
 
Doxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdf
Doxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdfDoxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdf
Doxing: Cos’è, Come Funziona, Tipologie E Come Evitarlo.pdf
 
Incontro sulla sicurezza informatica promosso dal Gruppo Giovani Soci BancaTer
Incontro sulla sicurezza informatica promosso dal Gruppo Giovani Soci BancaTerIncontro sulla sicurezza informatica promosso dal Gruppo Giovani Soci BancaTer
Incontro sulla sicurezza informatica promosso dal Gruppo Giovani Soci BancaTer
 
Manifesto della Cyber Resilience
Manifesto della Cyber ResilienceManifesto della Cyber Resilience
Manifesto della Cyber Resilience
 
635918284550670475 ransomware in ospedale
635918284550670475 ransomware in ospedale635918284550670475 ransomware in ospedale
635918284550670475 ransomware in ospedale
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
 
Nell'inferno delle cose connesse
Nell'inferno delle cose connesseNell'inferno delle cose connesse
Nell'inferno delle cose connesse
 
Losing face
Losing faceLosing face
Losing face
 
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
Il fattore tecnico ed umano nel calcolo del rischio informatico (Antonio Capo...
 
Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004Alessandro Canella - convegno privacy - 23 Marzo 2004
Alessandro Canella - convegno privacy - 23 Marzo 2004
 
Mobile, iot e social network
Mobile, iot e social networkMobile, iot e social network
Mobile, iot e social network
 
Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014Claudio Agosti - Veneto 2014
Claudio Agosti - Veneto 2014
 
Introduzione alla sicurezza informatica
Introduzione alla sicurezza informaticaIntroduzione alla sicurezza informatica
Introduzione alla sicurezza informatica
 
Social Media Security 2013 - Andrea Zapparoli Manzoni
Social Media Security 2013 - Andrea Zapparoli ManzoniSocial Media Security 2013 - Andrea Zapparoli Manzoni
Social Media Security 2013 - Andrea Zapparoli Manzoni
 

Social Engineering

  • 2.
  • 3. -Kevin Mitnick, L’Arte dell’Inganno- “Si possono investire milioni di dollari per i propri software, per l’hardware delle proprie macchine e per dispositivi di sicurezza all’avanguardia, ma se c’è anche solo un unico dipendente della nostra azienda che può essere manipolato con un attacco di social engineering, tutti i soldi investiti saranno stati inutili.”
  • 4. Perchè Come Dove Un attacco di Social Engineering può manifestarsi Quando Come difendersi sia dal punto di vista personale, che delle policy aziendali & IT Security Audit. Obiettivi
  • 5. -Kevin Mitnick, L’Arte dell’Inganno- “Se vuoi conoscerli devi pensare come loro.”
  • 6. 1. CHI è UN social ENGINEER? 4.2 Psicologia dell’ attacco 4.3 Footprinting 7. SOCIAL ENGINEER TOOLKIT 6. social engineering Inversa 5. Phishing 8. DATI E CONSIDERAZIONI 3. LE 4 FASI DELL’ATTACCO 2. CENNI STORICI 4. ATTACCO 4.1 PREPARAZIONE ALL’ ATTACCO
  • 7. 1. CHI è UN social engineer?
  • 8. Studio del comportamento di un soggetto, con l’obiettivo di entrare in possesso di informazioni specifiche. -Kevin Mitnick, L’Arte dell’Inganno- sociale, coinvolge la società e studia il comportamento umano e ingegneria, bisogna ingegnerizzare la “situazione” per raggiungere i propri obiettivi. Attività che richiede molta progettazione e pianificazione.
  • 9. Sfrutta la tendenza ad aiutare il prossimo e l’essere gentili. Ottiene ciò che vuole chiedendo. Deve saper fingere e ingannare le persone. Dev’essere come un mimo, capace di mutare la propria identità. Cosi potrà ricavare informazioni che con la propria identità, non avrebbe potuto ottenere. Hacker più subdolo!!!
  • 10. -Albert Einstein- “Soltanto due cose sono infinite, l’universo e la stupidità umana, e non sono tanto sicuro della prima.” 

  • 11. Trova molteplici soluzioni al problema, al fine di aggirarlo. Persona curiosa sia in ambito informatico che in ambito psicologico. • non necessita di specialisti ICT; • comporta costi minimi; • comporta basso rischio; • funziona con qualsiasi sistema operativo; • non richiede collegamento in rete; • non lascia tracciabilità; • non diventa obsoleta con il passare del tempo; • non è molto conosciuta tra le vittime. Vantaggi Potrebbe nascondersi dietro ad un abile oratore, esperto in comunicazione.
  • 12. –Kevin Mitnick L’Arte dell’Inganno- Il social engineer non richiede log, lavora con ogni piattaforma software, o sistema operativo, usa strumenti a disposizione di chiunque o estremamente economici, supera qualsiasi sistema IDS.
  • 13. -Brad Sagarin, Northen Illinois University, Department of Psychology- “Il social engineer impiega le stesse tecniche di persuasione che tutti noi usiamo ogni giorno. Cerchiamo di costruirci una credibilità, ma il social engineer applica queste tecniche in modo manipolatorio, ingannevole, altamente non etico, spesso con effetti devastanti”.
  • 14. Kevin David Mitnick (Condor) Considerato il più grande social engineer della storia Nel 1981 subì la prima condanna quand’era ancora 17enne e con un gruppo di amici entrò fisicamente nel Computer System for Mainframe Operations(COSMOS) della Bell, il sistema in cui veniva conservata la documentazione sulle chiamate delle maggiori compagnie telefoniche degli USA. A cavallo tra agli anni ’80 e ’90 riuscii ad attaccare i computer di quasi tutte le società d'informatica più importanti del mondo, tra le quali Nokia, Motorola ed Apple, oltre a server dell’esercito USA e della marina. Il 15 febbraio 1995 Mitnick venne arrestato a seguito di una caccia durata 14 anni.  Incarcerato senza processo, fu rilasciato nel gennaio 2000, ma con l'obbligo di astenersi da usare internet fino al 21 gennaio 2003. Attualmente è amministratore delegato dell'azienda di consulenza e sicurezza informatica, la Mitnick Security Consulting LLC. “La sicurezza informatica è come un gioco continuo del gatto e del topo, con gli esperti di sicurezza da un lato e gli intrusi dall’altro.”
  • 15. Riceviamo una chiamata. Dall’altra parte c’è Anna, dipendente di un’agenzia aerea, che ci chiede quando passeremo a prendere i biglietti per Roma prenotati a nostro nome. Anche se non abbiamo mai prenotato un viaggio per Roma, il nostro interlocutore, che sembra una persona affidabile, sorride dall’altra parte del telefono e, dopo averle detto più volte che non siamo noi ad aver prenotato questo viaggio, lei ci chiede ugualmente il codice fiscale per fare un controllo sulla prenotazione. Ecco fatto, dal controllo risulta che non siamo noi, chiudiamo la chiamata e ci dimentichiamo di Anna che, a questo punto, ha ottenuto il nostro codice fiscale.
  • 16. 3. Riconoscere un social engineer è davvero difficile! 2. Le manipola con, o senza, l’aiuto di dispositivi tecnologici. 1. Il vero obiettivo di un social engineer sono le persone.
  • 18. Phreaking Il phreaking è una forma di pirateria che permette di utilizzare la rete telefonica sfruttando i sistemi e i dipendenti dell’azienda erogatrice del servizio. -Wang, Breve storia del phreaking, 2006- Mossi dalla curiosità, non esitavano a segnalare alle compagnie telefoniche i problemi; tuttavia non tardò il momento in cui iniziarono a sfruttare le proprie conoscenze per eseguire chiamate telefoniche gratuitamente. To freak out Confondevano la centrale con apparecchiature in grado di generare toni acustici.
  • 19. Il giocattolo che nel 1964 scatenò il fenomeno del Phreaking. John Thomas Draper in una foto dell’epoca. Considerato il primo phreaker della storia!
  • 20. Tre phreakers intenti a effettuare una telefonata usando la tecnica del Phreaking. Innanzitutto ero necessario chiamare un numero gratuito. Successivamente si riproduceva il particolare tono a 2600 Hz(lo stesso utilizzato dalle compagnie telefoniche per indicare che l’utente aveva riagganciato), dopodichè si poteva digitare il numero da chiamare. Era così possibile effettuare chiamate gratuitamente verso qualsiasi numero.
  • 21. John: "Olympus, per favore" Operatore: "Un attimo, per favore..." Nixon: "Che succede?" John: "Signor Presidente, è in atto una crisi qui, a Los Angeles" Nixon: "Che tipo di crisi?" John: "Siamo senza carta igienica, Signor Presidente.” Prima dell’arresto riuscì a raccontare la sua scoperta a un amico: Steve Wozniak!
  • 22. La mitica Blue Box. Una Blue box costruita da Steve Wozniak e donata al Computer History Museum. Insieme a Steve Jobs cominciò a venderla nei dormitori universitari di Barkeley.
  • 23. Ne “Steve Jobs: l’intervista perduta”, lo stesso Jobs racconta un episodio legato all’uso della Blue Box. “Wozniak chiamò il Vaticano fingendo di essere Henry Kissinger, segretario di stato durante la presidenza di Nixon e svegliò tutti, cardinali compresi. Non riuscirono però a parlare con il Papa poiché nel momento in cui convinsero l’interlocutore a svegliarlo scoppiarono a ridere facendo loro capire la natura scherzosa della chiamata.”
  • 24. Ripercussioni ed evoluzioni Diffusione del Phreaking negli U.S.A, escogitando nuovi metodi per non pagare le chiamate telefoniche. Red Box Green Box Black Box Impediva attraverso il controllo della tensione elettrica di iniziare la fatturazione della chiamata evitando quindi il pagamento della stessa.. Consentiva al phreaker che riceveva la chiamata di inviare toni indicanti l’inserimento di monete nella cabina telefonica e toni indicanti di espellere il resto. Permetteva di effettuare chiamate interurbane emulando il tintinnio indicante l’inserimento delle monete.
  • 25. Ripercussioni ed evoluzioni -2 Le box colorate permisero per la prima volta di effettuare chiamate a bassissimo costo in tutto il pianeta e nonostante la loro “illegalità”, ebbero il merito di rendere più facile la comunicazione a livello globale scavalcando i confini nazionali e rendendo il mondo percettivamente più piccolo. Le compagnie telefoniche non vennero danneggiate economicamente ed anzi riuscirono a sfruttare il fenomeno del Phreaking per correggere i diversi bugs delle loro linee telefoniche.
  • 26. Attivo fino al 2007 Molti appassionati anche In Italia!
  • 27.
  • 28. 3. Le 4 faSI dell’attacco Footprinting (raccolta informazioni) Manipolazione Psicologica. Contatto (intrusione) Fuga
  • 31. Per un social engineer è fondamentale tutta la fase di preparazione dell’attacco. La capacità di carpire le informazioni personali (come gusti e hobby) può aiutare ad avvicinarsi alla vittima e passare dall’essere un perfetto sconosciuto a diventare un amico con cui condividere del tempo o meglio ancora diventare il collega perfetto. La scelta della vittima dalla quale sottrarre le informazioni, deve essere effettuata attentamente e pensata in ogni suo dettaglio. Si deve analizzare qualsiasi comportamento anomalo, nonché scoprire i suoi punti deboli.
  • 33. Il social engineer è in fin dei conti prima di tutto uno psicologo, poiché tra le sue virtù ha la capacità di entrare “empaticamente” in contatto con il proprio obiettivo. Gli utenti vogliono credere che le loro reti comunicative siano tutte sicure e per questo spesso abbassano molto i loro livelli di guardia. In questo senso, il social engineer si basa proprio sulla ingenua disponibilità e buona fede dell’attaccato, ma talvolta anche sulla sua ignoranza e sulla sua poca attenzione nel proteggere dati e identità personali.
  • 34. –Bruce Snell (ex direttore tecnico di MacAfee Security System)- “Ognuno di noi ha il proprio interruttore, il proprio punto debole e un bravo social engineer sarà in grado di scovarlo”.
  • 35. Pretexting Tecnica che consente di creare con la persona-obiettivo un legame particolare all’interno di un ambiente artificiale e indurlo a divulgare le informazioni di cui si ha bisogno. Il pretext!
  • 36. Paura delle autorità L’attaccante si attribuisce un ruolo di una figura autoritaria.
  • 38. L’eccitamento per una vittoria Il sig. X riceve una mail in cui viene informato della potenziale vincita di n euro.
  • 39. Desiderio di essere utili “Le società istruiscono i propri dipendenti ad essere servizievoli, ma difficilmente li istruiscono ad essere parte del processo di sicurezza. Usiamo la connessione tra le persone e il loro desiderio di essere utili”. -Keith A. Rhodes, capo tecnologo presso U.S. General Accounting Office- Le persone nel loro desiderio di essere utili e di risolvere le richieste di altri, forniscono molte informazioni che, in altri casi, non verrebbero fornite ad un estraneo: ciò fornisce ad un attaccante la possibilità di ottenere un accesso non autorizzato sul sistema target.
  • 40. Buoni sentimenti 3,1 milioni di computer infetti in quattro giorni e danni stimati per 5,5 miliardi di dollari. Fu identificato il 4 maggio 2000, inviato come allegato di posta ad Hong-Kong. Il file mascherato sotto forma di file di testo, conteneva in realtà uno script Visual Basic eseguibile in ambiente Windows.
  • 41. -Paura di una perdita -Pigrizia -Ego -Insufficiente conoscenza Altri pretesti utilizzati -Compassione e gratitudine
  • 43. Il recupero iniziale delle informazioni può durare mesi. Caso di studio: azienda X In questo periodo di tempo l’attaccante studia ed analizza: • i sistemi di comunicazione dell’azienda; •come funziona la posta interna; • giorni ed orari di pulizia; • l’organigramma aziendale; • gli uffici aziendali; • il comportamento degli addetti alla sicurezza e delle segretarie; • le mail, telefonate e le informazioni in esse contenute; • come fingersi un cliente inesperto; •come fingersi un cliente esperto; •come pranzare nello stesso posto dove pranzano i dipendenti.
  • 44. “Il valore nascosto dell'informazione” Qualsiasi dato o informazione può aiutare a scoprirne altre più importanti e significative. L’età, il nomignolo, il nome dei figli, il colore preferito, lo sport praticato. –Kevin Mitnick-
  • 45. Keyghost Dispositivo che registra la digitazione dei tasti digitati. Tiene traccia di ciò che si scrive attraverso la tastiera. Supporta la cifratura dei dati memorizzati. Può durare 10 giorni (fino a circa 97000 tasti premuti) prima che la sua memoria venga riempita.
  • 46. Consigliata l’installazione di proximity reader e/o gate rfid per segnalare presenze anomale. Informare i dipendenti sulla tecnica di attacco. Tecniche di difesa
  • 47. Tecniche di difesa -2 Predisporre controlli di accesso all’area nella quale sono presenti le postazioni di lavoro.
  • 49. Dumpster Diving Ogni singolo oggetto può tornare utile per ricostruire lo stile di vita o le abitudini della potenziale vittima. Ormai entrato di diritto negli annali del buon social engineer.
  • 50. Dumpster Diving L’abbandono di ogni senso di pudore e ribrezzo verso la spazzatura, nonché il muoversi alla ricerca del più possibile numero di informazioni in mezzo ai rifiuti/utili della vittima. illegale in molti paesi occidentali, tra cui anche in Italia.
  • 51. Si narra di un attacco in cui l'hacker, dalla sala d'aspetto del palazzo dell'azienda, fece scattare l'allarme antincendio e le conseguenti pompe d'acqua di sicurezza. Ritrovandosi il giorno dopo nella spazzatura una montagna di scartoffie interessanti (bagnate ma pur sempre interessanti!), ha poi personalmente avuto modo di utilizzare questa tecnica e rubare un’enormità di informazioni. Dumpster Diving
  • 52. Contromisure per il dumpster diving. Tecniche di difesa
  • 53. Classificandoli in base alla loro importanza: Policy per la gestione dei documenti Prima della sostituzione fisica dell’hardware, inoltre è necessario che venga cancellato dalla memoria ogni possibile informazione. Tecniche di difesa -2 confidential top secret secret
  • 54.
  • 55. Attualmente questa tipologia di attacchi deriva, soprattutto dalle informazioni che si ricavano dai social network e dalle relative identità digitali. Ogni persona condivide una parte di sé senza preoccuparsi del fatto che le informazioni possono essere immagazzinate e memorizzate dalla rete; oltretutto, spesso non ci sono possibilità di eliminarle una volta condivise. Si condivide di tutto, dagli stati d’animo, contenuti, amicizie e posizioni geografiche. Ma in che modo questo può diventare un vantaggio per un social engineer? Social Network
  • 56. “Facebook is not your friend” Facebook è fonte inesauribile per un social engineer che, con pochi click, riesce a ricostruire un carattere o un profilo di una persona basandosi semplicemente su quanto essa stessa mostra sul social network. –Richard Stallman- L’85% degli adulti utilizza almeno un social network. L’attaccante ha più di 8 possibilità su 10 di trovare il profilo della vittima e recuperare una miniera d’oro di informazioni sensibili senza per questo esporsi minimamente. Social Network -2 Diffondono qualsiasi tipo di dato personale!!
  • 57. Ulteriori tecniche Eavesdrop (tecnica dell’origliare) Ascoltare una conversazione di nascosto, un dialogo sottovoce, o un colloquio cui non si dovrebbe far parte può rilevare importanti informazioni segrete. Wiretap (intercettazione) Sniffing del traffico, al furto della chiave di cifratura, dall’hacking fisico del canale di comunicazione (inserendo ad esempio un dispositivo che cattura il traffico) alle microspie (che rientrano nella categoria dell'eavesdrop passivo). Basa il suo successo nella più grande debolezza, o forza, della natura umana: la curiosità. Baiting
  • 59. Con il termine phishing (parola ricavata dai vocaboli inglesi fishing — pesca e password) si indica una particolare tipologia di frode in Internet; lo scopo dei malintenzionati, nella circostanza, è quello di entrare in possesso dei dati personali e confidenziali degli utenti. Enciclopedia, Kaspersky Lab È costituito da e-mail contenenti falsi messaggi e falsi comunicazioni ufficiali provenienti (in apparenza!) da istituti bancari, provider, sistemi di pagamento online. L’ampio successo ottenuto è in gran parte determinato dal basso livello di consapevolezza, dimostrato dagli utenti, nei confronti del modo di operare delle società e delle organizzazioni a nome delle quali agiscono illegalmente i malfattori in causa.
  • 60. Gli attacchi condotti dai phisher divengono sempre più sofisticati e i malfattori in questione cercano quasi sempre, di spaventare ed intimorire l’utente, per far sì che quest’ultimo fornisca senza alcuna esitazione i propri dati personali. “Se i dati personali occorrenti non saranno comunicati entro la fine di questa settimana, il suo account verrà bloccato.” Esempio classico di minaccia di un pisher:
  • 61. I siti di phishing hanno vita breve (in media soltanto 5 giorni). I filtri anti-phishing ricevono informazioni in merito alle nuove minacce esistenti con notevole rapidità; per tale motivo, i phisher debbono costantemente provvedere a registrare nuovi siti web.
  • 62. Così come per il phishing, lo scopo è quello di ottenere i dati personali degli utenti ma operando direttamente attraverso cloni dei siti web ufficiali. Pharming Si dimostra ancor più pericoloso del phishing vero e proprio, visto che, in pratica, risulta impossibile, per l’utente medio, accorgersi dell’inganno messo in atto dai malfattori.
  • 63. Gli URL di phishing, quindi, sono spesso simili agli indirizzi Internet autentici e legittimi. Essi possono ad esempio includere la denominazione dell’URL originale, magari integrata da qualche carattere o parola aggiuntiva. <www.examplebank.com.personal.login> al posto di <www.examplebank.com/personal/login>
  • 64. Esempio di messaggio di phishing in cui si richiede (con il pretesto di innalzare il livello di sicurezza) di cliccare sul link in esso presente, per aggiornare poi i propri dati personali
 nell’ambito del sistema informatico della National Credit Union Administration. Esempio 1
  • 65. Esempio di phishing sfruttando Ebay. Esempio 2
  • 66. Esempio di messaggio di phishing realizzato sotto forma di notifica ufficiale proveniente (in apparenza!) dalla nota banca Barclays; come si può vedere, viene richiesto all’utente di introdurre direttamente i propri dati nel corpo del messaggio e-mail stesso. Esempio 3 Anche qui c’è il verde!!!
  • 67. Esempio 4 Esempio di messaggio di phishing realizzato tramite Paypal.
  • 68. SMiShing Attività criminale che utilizza tecniche simili a quelle del phishing. Il nome trae origine da "SMs phISHING". Usa messaggi di testo sui telefoni cellulari per indurre l'utente a rivelare informazioni personali.
  • 69. Tecniche di difesa •  Non inviare informazioni sensibili su internet prima di aver accertato il livello di sicurezza del sito; • Controllare sempre il link e il mittente della mail prima di cliccare qualunque indirizzo, ancora meglio non cliccare sul link, ma copiarlo invece nella barra dove si inserisce l’indirizzo del browser; • Controllare che la connessione sia HTTPS e verificare il nome del dominio all’apertura di una pagina. Questi fattori sono importanti soprattutto quando si usano siti che contengono informazioni sensibili, come pagine per l’online banking o e-commerce; • Non condividere mai i propri dati sensibili con una terza parte. Le compagnie ufficiali non chiedono mai informazioni del genere via email. • Un'email di phishing spesso presenta errori grammaticali o di ortografia evidenti o suona innaturale in italiano; • Toni allarmistici. Le email di phishing spesso presentano toni allarmistici e ti chiedono di compiere con urgenza una certa operazione.
  • 70. Tecniche di difesa La regola principale per difendersi, da adottare come un mantra, è solo una: Nessuno può tutelare e difendere le nostre informazioni meglio di noi stessi!!!
  • 71. 6. Ingegneria Sociale Inversa Convincere il target di avere un problema, oppure che lo avrà in futuro e l’attaccante sarò pronto a risolverlo. Sabotaggio: l’attaccante compromette il sistema evidenziando il problema agli utenti; a seguito di ciò, la vittima cercherà di trovare aiuto per risolvere il problema di cui si è resa protagonista. Marketing: nel momento stesso in cui la vittima cercherà aiuto per la risoluzione del problema, lo stesso attaccante si spaccerà come unico supporto in aiuto del problema da lui stesso creato. Supporto: l’attaccante dopo aver ottenuto la fiducia necessaria ha la possibilità di operare in libertà e ha la possibilità di accedere al sistema ed ai dati sensibili.
  • 74. 8. Dati E considerazioni
  • 75. La social engineering è diventata l’arma migliore per il cybercrime Sono in crescita le truffe cibernetiche, come la “Technical support fraud” Microsoft ha reso noto che nel 2017 ha ricevuto 153.000 lamentele su queste frodi cibernetiche da 183 paesi, con un aumento del 24% in più rispetto all’anno precedente. Gli esperti di cyber security pensano che aumenterà ancora nel 2018. I criminali informatici dopo aver creato delle schede delle vittime grazie ai dati recuperati dai social media, si fingono dipendenti di società di cui i bersagli sono clienti. Li chiamano al telefono e con la scusa di vari problemi, chiedono di poter accedere in remoto ai loro profili per risolverli.
  • 76. Fidarsi è bene, non fidarsi è meglio.
  • 77. –Kevin Mitnick- “La mente umana è un'invenzione meravigliosa. È interessante notare quanto riesca a essere creativa la gente quando si tratta di inventare modi subdoli per ottenere quanto le pare o per togliersi da una situazione spinosa. Dovete usare la medesima creatività e immaginazione per proteggere i sistemi informatici e di informazione nei settori pubblici e privati. Perciò, gente, quando pensate alle politiche di sicurezza delle vostre aziende ... siate creativi e pensate fuori dal sentiero tracciato.”