La sicurezza delle informazioni è tema di grande importanza, soprattutto in ambito aziendale. È necessario prevedere dei sistemi di contrasto per l’accesso, la violazione, l’alterazione o il furto di tutti quei dati sensibili, commerciali, strategici o che comunque costituiscono un patrimonio per l’azienda che li possiede.

Una delle tecniche perpetrate dagli hacker per violare i sistemi di controllo e di difesa delle informazioni è il social engineering, una tecnica che si deve riconoscere ed evitare.

Definizione

L’ingegneria sociale (social engineering) è lo studio del comportamento individuale di una persona al fine di rubare informazioni. I dati da carpire possono non riguardare direttamente la vittima del tutto inconsapevole delle manipolazioni dell’ingegnere sociale. L’individuo bersaglio serve solo per ricavare informazioni attinenti l’accesso e la gestione di risorse finanziarie o dati sensibili.

Fasi e finalità degli attacchi

Una attacco di social engineering solitamente si articola in tre fasi:

1. La fase uno detta footprinting è orientata alla raccolta di informazioni sulla vittima designata al fine di recuperare dati personali di contatto.
2. La seconda fase mira alla verifica della veridicità e accuratezze di tali informazioni personali cercando se possibile di arrivare a quelle più attendibili e sicure per contattare la vittima.
3. La terza fase è costituita dall’affinamento dello stile vocale della persona si vuole incarnare: tipicamente si cerca di evitare in tutti i modi l’utilizzo di espressioni dialettali e di essere naturale, utilizzando un tono neutro e cortese. Gli appunti e i dati della fase uno servono per rispondere ad eventuali domande di controllo della vittima.
4. L’ultima fase è ovviamente l’attacco vero e proprio e la sottrazione di dati da un sistema informatico.

Altre tecniche

Le modalità di raggiro della vittima possono essere molteplici. Alcune di queste sono descritte da Kevin Mitnick, famoso hacker condannato per le sue scorrerie informatiche ed attualmente CEO dell’azienda di consulenza e sicurezza informatica chiamata Mitnick Security Consulting LLC. La “conoscenza” approfondita di Mitnick è raccolta anche in un libro l’arte dell’inganno da cui abbiamo tratto altre tre tecniche possibili per ottenere informazioni e chiavi di accesso ai sistemi informativi che è bene saper riconoscere:

1. rovistare nella spazzatura in cerca di foglietti con appuntate delle password, o comunque in cerca di recapiti telefonici indirizzi; questo tipo di dato va eliminato con apposite distruggi documenti.
2. fare conoscenza con la vittima, fingendo di essere un incompetente informatico e chiedendo lumi al malcapitato come se fosse un esperto;
3. spacciarsi per un addetto della compagnia che vende i programmi utilizzati, dicendo che è necessario installare una patch al sistema.

Per l'immagine ringraziamo Social-Engineer.org.