Social Engineering

Gli attacchi di social engineering sfruttano la disponibilità, la buona fede e l'insicurezza delle persone per accedere per esempio a dati confidenziali o per indurre le vittime a effettuare determinate operazioni. Fra le tante possibilità di attacco, questa è ancora una delle più efficaci. Chi sfrutta il social engineering può per esempio accedere al nome di utente e alla password dei collaboratori di un'impresa facendosi per esempio passare al telefono come amministratore del sistema o come responsabile della sicurezza. Abbagliata dal pretesto di gravi problemi informatici e dallo scambio di informazioni sul sistema (ad es. nome del superiore, processi di lavoro, ecc.), la vittima è resa insicura fino al punto da comunicare le informazioni richieste.

Per la propagazione di virus e di cavalli di Troia vengono sovente applicati metodi di social engineering; ne è il caso quando il nome dell'allegato a un e-mail contenente un virus promette contenuti particolarmente interessanti. Il phishing è anch'esso una speciale forma di attacco di social engineering.

Conseguenze e pericoli

  • Rivelazione di informazioni confidenziali
  • Inganno
  • Propagazione di virus e di cavalli di Troia 
Misure
  • Prudenza nella trasmissione di informazioni. Pubblicate su Internet solo le notizie strettamente necessarie. In particolare le aziende dovrebbero evitare di pubblicare i nomi e le funzioni dei propri impiegati.

  • Siate reticenti anche con la trasmissione telefonica di informazioni.

  • Non trasmettete nessuna informazione confidenziale (ad es. nome di utente, password) ad altre persone. Se qualcuno insiste in proposito, informatene il vostro superiore, il responsabile del sistema o l’offerente delle prestazioni di servizio (ad es. banca, provider di servizi Internet, ecc.). Nessunofferente di prestazioni di servizi  serio vi chiederà la vostra password. 
 

Esempio

Recentemente sono stati comunicati diversi casi in cui gli aggressori agiscono nel modo seguente: anzitutto si procurano informazioni sulle aziende per avere un'idea precisa dell'ambiente dell'obiettivo. Vengono raccolte ad esempio informazioni sui settori di attività, sui posti chiave o sul formato degli indirizzi e-mail. A tale scopo i truffatori si avvalgono tipicamente di informazioni provenienti da fonti aperte, come ad esempio quelle reperibili sul sito Internet dell'azienda. Queste informazioni sono tuttavia in parte anche completate da ricerche attive, nel senso che i truffatori contattano l'azienda telefonicamente o per e-mail al fine di tentare di accedere a informazioni dell'azienda.

Successivamente viene sferrato l'attacco vero e proprio. Solitamente viene inviata un'e-mail a un collaboratore della divisione finanziaria che sembra provenire da un membro dei quadri. Mentre nella maggior parte dei casi gli indirizzi dei mittenti sono falsificati, in alcuni casi le e-mail provengono effettivamente dagli account dei mittenti che gli aggressori hanno attaccato in precedenza. L'e-mail inviata tratta di operazioni finanziarie confidenziali in corso e la vittima viene poi messa in contatto con la « divisone giuridica dell'azienda », incaricata del trattamento dei dati concernenti il versamento. Successivamente i truffatori si spacciano come rappresentanti di questa divisione. I truffatori ribadiscono il carattere unico e la confidenzialità del mandato, ma anche l'urgenza richiesta dalla situazione. In alcuni casi i truffatori tentano di rendere più credibile lo scenario effettuando chiamate telefoniche in parallelo.

Il metodo di social engineering utilizzato in questi casi si prefigge soprattutto di indurre le vittime a effettuare un pagamento su un conto indicato dai truffatori. Sono comunque ipotizzabili anche altri scenari. In questo senso gli aggressori - dopo avere carpito la fiducia delle vittime - possono anche inviare un'e-mail mirata contenente malware oppure un link a un sito contenente malware.

 

Ultima modifica 28.10.2016

Inizio pagina

https://www.melani.admin.ch/content/melani/it/home/themen/socialengineering.html