Gli esseri umani sono predisposti a voler aiutare gli altri: è nella nostra natura. Per un receptionist o per chi lavora in un help desk, fa persino parte del suo lavoro.
Tuttavia, bisogna fare attenzione all’ingegneria sociale. Che cos’è l’ingegneria sociale? È la sottile manipolazione del personale di un’azienda per ottenere l’accesso illegale all’edificio, ai suoi sistemi e ai suoi dati.
La social engineering è come un attacco informatico, ma non si tratta di entrare in una rete sfruttando una vulnerabilità tecnica. L’ingegneria sociale è un hackeraggio diretto al personale, al livello organico delle difese di un’azienda.
La maggior parte di noi condivide caratteristiche simili. A nessuno piace avere problemi sul lavoro, e ci dispiacciamo per chi li ha. Siamo propensi ad aiutare le persone che stanno affrontando delle difficoltà, anche se questo significa fare un leggero strappo alle regole o infrangere il protocollo per un momento.
Siamo ancora più propensi a farlo se una persona ci piace o proviamo empatia per chi ha un problema. Siamo anche condizionati ad obbedire alle figure autoritarie, e vogliamo essere visti come capaci di aiutare e disposti a contribuire.
Gli abili truffatori possono sfruttare tutti questi aspetti e spingere le persone a fare ciò che vogliono loro. Si tratta di sfruttare la psicologia umana per indurre gli incauti a compiere un’azione che avvantaggia l’autore del reato.
Gli attacchi di ingegneria sociale come il phishing possono avvenire con una sola telefonata, oppure possono richiedere un periodo di tempo, più lungo conquistando lentamente la fiducia della vittima.
Il loro obiettivo è quello di superare le misure di sicurezza o di aggirarle.
Non è una novità
La Social Engineering esiste da quando esistono i truffatori. Ci sono tecniche che funzionano da sempre, quindi era inevitabile che venissero riprese e utilizzate da chi punta ad attuare delle minacce informatiche.
Lavorano sulle migliori qualità delle persone, come la gentilezza e il desiderio di aiutare, o sulle loro caratteristiche peggiori come l’avidità e la paura.
Il truffatore potrebbe voler:
- Ottenere i dati della carta di credito o altri dati finanziari.
- Ottenere le credenziali di accesso ad un account utente.
- Installare malware, come i key logger, in modo che i tasti premuti dalla vittima vengano inviati al server del truffatore.
- Installare un software di accesso remoto che consenta ai truffatori di accedere al computer della vittima.
- Installare un virus o manomettere l’antivirus software in uso nei sistemi.
- Installare un ransomware per estorcere denaro all’azienda.
- Ottenere l’accesso fisico al suo edificio per piazzare dispositivi nascosti per installare manualmente il malware o rubare l’hardware.
A differenza di altri attacchi informatici, le azioni di ingegneria sociale sono studiate specificatamente sulle vittime prescelte. Questo è in contrasto con gli attacchi chiamati “spray and pray”, come gli attacchi di phishing o la scansione delle porte.
Gli attacchi di ingegneria sociale possono prevedere conversazioni telefoniche, e-mail o la presenza di persona presso la sede. Molto spesso, viene utilizzata una miscela di queste tecniche per soddisfare le esigenze dell’attacco.
Ricognizione
I truffatori effettuano una raccolta di informazioni sull’obiettivo all’interno dell’azienda. Monitorano X (il vecchio Twitter) e LinkedIn e cercano informazioni che diano loro un vantaggio. I social media sono un’arma a doppio taglio, perché ciò che trasmettete al mondo può essere facilmente usato contro di voi.
- Un truffatore potrebbe vedere che un membro del personale senior sarà fuori sede per una conferenza. Questo è il tipo di informazione che può utilizzare per ottenere un “ingresso”.
- Chiamerà e chiederà di parlare con l’assistente personale di quella persona. Poiché sta parlando di un evento autentico, l’assistente non avrà motivo di sospettare che il chiamante sia un truffatore.
- Se il truffatore ha “spoofato” l’ID della linea chiamante, facendo sembrare che la chiamata provenga dal numero di telefono autentico dell’evento, l’illusione sarà ancora più convincente.
- Presenteranno un problema e chiederanno assistenza per risolverlo. “Abbiamo una registrazione della sua prenotazione, ma nessuna prova di un deposito o di un pagamento. Sarò in guai seri se non riesco a risolvere questo problema prima della fine del mio turno, ossia nei prossimi dieci minuti. Spero davvero che lei possa salvarmi la pelle. Per caso ha i dettagli della carta di credito con cui è stata fatta la prenotazione, in modo che possa controllarla?”.
Attacchi telefonici
Gli attacchi più semplici sono spesso i migliori, e l’assistenza tecnica è un bersaglio comune. Il loro lavoro consiste nel risolvere i problemi. La loro giornata lavorativa è dedicata al tentativo di soddisfare le esigenze del chiamante e di far scomparire i problemi.
1. Impersonare un nuovo dipendente
- Le aziende spesso pubblicano post come questo su LinkedIn o Twitter. “Benvenuto al nuovo membro dell’azienda, il signor X Y. Entrerà a far parte del team XYZ, ecc.”.
- Un truffatore può chiamare il team di assistenza tecnica fuori orario e fingere di essere quella persona. Dirà loro che ha appena iniziato a lavorare – sì, sono nel team XYZ – ma che non può accedere ai sistemi dell’ufficio da casa sua.
- Questo scenario spesso funziona perché i nuovi dipendenti hanno frequentemente problemi iniziali. Non ci si aspetta che conoscano già i sistemi, e difficilmente l’assistente si potrà insospettire se non sanno rispondere a una domanda che potrebbe essere posta loro. Inoltre, essendo fuori orario, non c’è nessuno che possa fare un controllo incrociato o verificare.
- In genere, il truffatore lavorerà per portare la conversazione al punto in cui la cosa più semplice da fare per i tecnici dell’assistenza è eseguire un reset della password e dare al chiamante la sua nuova password.
2. Coinvolgere il supporto tecnico in qualcosa di delicato
Un altro stratagemma consiste nel chiamare l’assistenza tecnica e fingere di essere qualcuno del team di Investigazioni Interne delle Risorse Umane, che agisce su una questione delicata e che richiede la massima discrezione. Si parlerà di una persona reale dell’azienda, così importante (livello Senior) che il tecnico dell’assistenza tecnica ne avrà sicuramente sentito parlare.
- “Sono sotto indagine, non posso dirle perché ovviamente, ma abbiamo bisogno che il suo account venga bloccato immediatamente e che venga impostata una nuova password, in modo che gli auditor esterni possano entrare, ma lui no. Questa è la password da utilizzare…”.
- Naturalmente, il truffatore ha semplicemente scelto un nome dalla pagina “Meet the Team” del sito web aziendale. Questo stratagemma funziona facendo credere alla persona ingannata di essere parte di qualcosa di importante, segreto e “grande”.
3. Costruire una storia per inviare un allegato dannoso
Uno stratagemma altrettanto semplice è quello di chiamare l’assistenza tecnica e descrivere un problema con l’e-mail del truffatore, dicendo che indipendentemente dai tentativi, il problema rimane.
- Il truffatore si offrirà di inviare uno screenshot o un file di log al tecnico dell’assistenza dalla sua e-mail personale, che ovviamente continua a funzionare.
- Essendo in attesa dell’e-mail, non appena il tecnico dell’assistenza la riceve, apre immediatamente l’allegato dannoso. In questo modo il truffatore avrà installato con successo il malware nella rete.
4. Impersonare il supporto tecnico
Anche mascherarsi da supporto tecnico e contattare altri membri del personale è uno dei preferiti. Esistono molte varianti di questa truffa.
- Una tecnica consiste nel chiamare la reception. Chiedere di un nome scelto da LinkedIn o dal sito dell’azienda. Quando gli viene passato il soggetto scelto, spiegano di essere dell’assistenza tecnica, o del data center, o qualcosa di simile.
- “Sembra che lei stia consumando spazio sul disco rigido del server, sta copiando molti dati o qualcosa del genere?”. Naturalmente, la persona risponde che non è così. Dopo altre domande e una digitazione frenetica da parte del (finto) tecnico dell’assistenza, si conclude che l’account del membro del personale è stato compromesso. Sembra che qualcuno stia copiando dati aziendali, pronto a inviarli fuori dalla rete. Con aria sempre più frenetica, il truffatore chiede di disconnettersi riconnettersi di nuovo. “No, non è cambiato nulla. L’attacco è ancora in corso”.
- L’addetto all’assistenza tecnica, sforzandosi di mantenere la calma, dice al membro dello staff che chiuderà forzatamente tutti i processi di quell’account.
- “Se lo faccio, però, dovrò riconnetterla, non sarà in grado di farlo. Qual è il suo nome utente? OK, grazie. E qual è la sua password attuale? Capito, OK, adesso esca dall’account”.
- Dopo una breve pausa, il tecnico dell’assistenza dirà: “Perfetto, l’ho bloccato. In realtà, può accedere nuovamente e continuare normalmente, non ho avuto bisogno di cancellare il suo account”.
- Il finto tecnico si dichiarerà molto sollevato e ringrazierà il truffato per il suo aiuto. In effetti, ora hanno un account che possono utilizzare per accedere alla rete aziendale.
Questi sono esempi di attacchi di Social Engineering che si verificano oggi.
Attacchi di persona
Ottenere l’accesso fisico ai locali offre all’aggressore l’opportunità di eseguire una serie di azioni che possono compromettere ulteriormente la sicurezza dei sistemi.
1. Reverse SSH Tunnels
I firewall di solito lasciano uscire il traffico da una rete molto più facilmente rispetto a quello in entrata. I firewall sono guardie di confine e la maggior parte della loro attenzione si concentra su ciò che entra attraverso il confine. Il traffico in uscita è spesso una preoccupazione secondaria.
- L’hacker può creare dei dispositivi a partire da computer economici a scheda singola, come il Raspberry Pi, che, una volta collegati a una rete, effettuano una connessione crittografata in uscita verso il server dell’attaccante. In genere, un firewall non è configurato per impedirlo.
- In seguito, l’hacker effettua una connessione crittografata al dispositivo che ha piazzato, utilizzando la connessione già stabilita dal Raspberry Pi. In questo modo ottiene l’accesso remoto alla sua rete. Si tratta di una tecnica chiamata tunnel SSH inverso.
Questi dispositivi occulti possono essere nascosti all’interno di vecchi alimentatori per computer portatili o di altri dispositivi innocui e rapidamente collegati dietro ad apparecchiature come le stampanti di grandi dimensioni.
Le stampanti hanno bisogno dell’alimentazione elettrica e di una connessione alla rete. Gli accessi alla rete sono solitamente forniti a coppie, così come i punti di alimentazione. La stampante ha bisogno solo di uno di questi. Dietro la stampante si trovano le connessioni di cui il dispositivo ha bisogno e un bel nascondiglio.
2. Chiavette di memoria USB
Un’hacker può semplicemente prendere un computer portatile e andarsene o può infettare la rete con un malware da una chiavetta USB.
- Può lasciare chiavette di memoria USB contenenti malware vicino alle macchinette del caffè, nei bagni o sulle scrivanie libere. Di solito, alla chiavetta USB è collegato un mazzo di chiavi.
- Quando la chiavetta USB viene trovata, la domanda che il personale si pone è: “Chi ha dimenticato le chiavi?”, non “Ecco una chiavetta USB anonima”.
- Questo leggero cambiamento di atteggiamento mentale è importante. La perdita delle chiavi è un grosso problema. Chi le trova vuole che le chiavi vengano restituite al proprietario. Come può scoprirlo? Forse nella chiavetta c’è qualcosa che può identificare il proprietario.
- Ci sono dei file sulla chiavetta. Potrebbero sembrare un PDF o un documento Word, ma sono malware camuffati. Se hanno titoli accattivanti come “Piani di ridondanza fase 1”, sarà quasi impossibile per il membro del personale non cliccarci sopra.
- È possibile far eseguire automaticamente i programmi non appena vengono inserite le unità USB, il che significa che il membro del personale non deve nemmeno cliccare su nulla. Ma se l’esecuzione automatica è disattivata – e dovrebbe esserlo – avere file con titoli irresistibili è una strategia di ripiego comune.
Un approccio simile prevede che l’hacker raccolga del materiale promozionale da un’azienda esistente, come un corriere.
- A ciascuno di essi viene allegata una chiavetta USB. L’hacker si presenta alla reception e consegna tre o quattro copie. Chiede all’addetto alla reception se gli dispiacerebbe passarle alla persona incaricata delle spedizioni.
- Quasi certamente, l’addetto alla reception ne metterà una da parte per sé e, non appena l’hacker avrà lasciato l’edificio, la proverà sul proprio computer.
3. Ottenere l’accesso all’edificio
Per superare la reception, l’autore dell’attacco si può spacciare per un fattorino che deve effettuare una consegna. DHL, Poste Italiane, consegna di fiori, corriere in moto, consegna di pizze o Deliveroo, per citarne alcuni. In passato degli hacker si sono spacciati per agenti di disinfestazione, operai edili e ingegneri per la manutenzione degli ascensori.
- Provare ad avere un incontro con qualcuno che l’autore dell’attacco sa non essere in ufficio (grazie a X o LinkedIn) è sorprendentemente efficace. Naturalmente, si deve trattare di una persona di alto livello.
- L’addetto alla reception cercherà di chiamare il membro del personale e dirà che non risponde al telefono. L’autore dell’attacco dirà che se lo aspettava visto che avevano appena avuto una conversazione via sms e il membro dello staff ha detto che la riunione a cui sta partecipando finirà tardi.
- “Mi ha suggerito di aspettare in mensa. Verrà a prendermi quando si sarà liberato. Qualcuno potrebbe indicarmi dove si trova, per favore?”.
- Con il “tailgating”, l’autore dell’attacco utilizza l’ingresso valido di qualcun altro nell’edificio, come mezzo per passare attraverso la stessa porta. Un trucco consiste nell’attendere in un punto fumatori esterno e avviare una conversazione. L’autore dell’attacco si presenta. Si fa dire il nome della persona con cui sta parlando. Ciò che vuole che accada è che altre persone arrivino al punto fumatori mentre loro sono già in conversazione. Aspetteranno che il primo membro del personale rientri nell’edificio. Poi saluterà i nuovi arrivati e dirà loro il suo nome.
- I nuovi arrivati non si chiederanno nemmeno se questa persona è davvero un membro del personale. È qui al loro punto di fumo, ridendo e chiacchierando con altri membri del personale e rivolgendosi loro per nome. L’hacker chiacchiererà poi con i nuovi arrivati. Chiede loro se conoscono la persona che è appena uscita e dirà loro che è una persona simpatica.
- Quando la seconda ondata di fumatori rientrerà nell’edificio, l’autore dell’attacco li accompagnerà. Lascerà che i membri del personale inseriscano il loro codice o utilizzino il loro fob o la loro chiave.
- Quando la porta si aprirà, terrà aperta la porta e farà cenno agli altri membri del personale di entrare. Poi li seguirà all’interno.
Abbiamo a che fare con le persone quindi, non dovrebbe servire dirlo, le difese ruotano intorno alla formazione e alle procedure.
- Giochi di ruolo e prove di squadra: Provare le procedure con i team e considerare la possibilità di partecipare a sessioni di “giochi di euolo” in cui partecipanop esperti di social engineering.
- Società di sicurezza e test di penetrazione: Le società di sicurezza possono essere incaricate di utilizzare tutte le tecniche descritte qui e altre ancora per cercare di penetrare le difese. I casi in cui i loro attacchi hanno avuto successo li guideranno nel rafforzare ulteriormente la sicurezza, migliorando le procedure o applicando un maggiore controllo alle procedure esistenti in azienda. Proprio come i test di penetrazione che sondano le difese tecniche, la suscettibilità all’ingegneria sociale dovrebbe essere testata periodicamente. Puoi scegliere di combinare questo test con una campagna di phishing benigna.
- Sicurezza dei dispositivi USB: Disattivare l’esecuzione automatica per i dispositivi USB. Trattare le chiavette di memoria USB anonime come il vaso di Pandora.
- Politica sulle richieste eccezionali: Adottare una politica per le richieste fuori regola: si tratta di tutte quelle richieste che infrangono il protocollo. Chiedono qualcosa che di solito non rispetterebbe le regole, ma che lo staff potrebbe essere tentato di fare perché si tratta di un’emergenza o di circostanze speciali. Non metta il suo staff in difficoltà, indeciso tra il desiderio di aiutare e la consapevolezza di non doverlo fare. Meglio predisporre una procedura da seguire.
- Scansioni di rete e identificazione di nuovi dispositivi: Eseguire scansioni della rete e identificare ed esaminare i nuovi dispositivi che sono stati collegati alla rete.
- Protezione delle credenziali di accesso: Non dare mai all’assistenza tecnica (o a chiunque altro) le proprie credenziali di accesso. Non le chiederanno mai e se chiedono questo tipo di informazioni, si tratta di una frode.
- Sicurezza delle chiamate telefoniche: Quando si riceve una telefonata che chiede informazioni sensibili, la cosa più sicura da fare è riagganciare e richiamare.
- Politica di accompagnamento dei visitatori: Non lasciare mai i visitatori da soli e accompagnarli sempre. Se è il caso, lasciare che i visitatori attendano il loro contatto alla reception.
Promuovere una cultura della sicurezza nella propria azienda darà i suoi frutti e costituisce la base di un approccio alla sicurezza a più livelli.