Università degli Studi di Bologna IIª Facoltà di Ingegneria - Cesena INGEGNERIA SOCIALE Prof. Enrico Denti Ing. Ambra Molesini DEIS
INGEGNERIA SOCIALE: DEFINIZIONI Definizione 1: Una manipolazione della naturale tendenza alla fiducia dell essere umano, architettata e realizzata dall ingegnere sociale con l obiettivo ottenere informazioni che permettano libero accesso e informazioni di valore del sistema Definizione 2: Arte che consente di distrarre, manipolare, ingannare, influenzare, nei pensieri e nel comportamento, la propria vittima al fine di raggiungere l obiettivo prefisso Definizione 3: Tentativo di intrusione non tecnico (con o senza l ausilio di strumenti tecnologici) che consiste nell influenzare una persona con l obiettivo finale di farle rilevare informazioni confidenziali farla agire in maniera tale da consentire accesso o uso non autorizzato di sistemi, reti o informazioni
INGEGNERIA SOCIALE Si possono investire milioni di dollari per i propri software, per l hardware delle proprie macchine e per dispositivi di sicurezza all'avanguardia, ma se c' è anche solo un unico dipendente della nostra azienda che può essere manipolato con un attacco di ingegneria sociale, tutti i soldi investiti saranno stati inutili Kevin Mitnick
PERCHÉ INGEGNERIA SOCIALE? Sociale perché coinvolge e studia il comportamento umano Ingegneria perché bisogna ingegnerizzare la situazione per raggiungere i propri obiettivi richiede pianificazione Come nell hacking, la maggior parte del lavoro è nella preparazione, piuttosto che nel tentativo stesso L ingegnere sociale programma l attacco come se fosse una partita a scacchi, anticipando le domande che il bersaglio può porgli in modo da avere sempre la risposta pronta
INGEGNERE SOCIALE Stabilisce un identità ed un suo ruolo Sviluppa una scusa plausibile per ottenere un immediata confidenza Stabilisce un obiettivo minimo di risultato tramite le conoscenze acquisite o le sue deduzioni Costruisce il suo rapporto tramite simpatia o altre tattiche per influenzare la vittima Sviluppa possibili risposte per poter superare qualsiasi obiezione Prevede una possibile via d uscita per non bruciare l origine del suo contatto
FOOTPRINTING (1) L ingegnere sociale prima di compiere il gesto criminoso vero e proprio comincia con il raccogliere informazioni sul sistema da colpire Questa fase, chiamata tecnicamente footprinting, può durare parecchi mesi Durante questo tempo l ingegnere sociale studia e impara: i sistemi di comunicazione aziendale come funziona la posta interna l organigramma aziendale giorni e orari di pulizia (segue)
FOOTPRINTING (2) [Durante questo tempo l ingegnere sociale studia e impara:] frequenta gli uffici aziendali, magari consegna buste, caffé, acqua conosce e dialoga con gli addetti alla sicurezza, segretarie, webmaster, sistemisti manda e-mail, telefona, si informa finge di essere un utente inesperto che ha smarrito una password manda un offerta di un nuovo firewall per aumentare il sistema di sicurezza
UN PO' DI STORIA I primi utilizzatori dell Ingegneria sociale furono i phreaker per riuscire a carpire informazioni vitali dalle compagnie telefoniche Phreaking forma di pirateria che permette di utilizzare la rete telefonica sfruttando i sistemi e i dipendenti dell azienda erogatrice del servizio la sicurezza non è un prodotto acquistabile ma un processo evolutivo che coinvolge l organizzazione nella sua interezza [Bruce Schneier] MA troppo spesso la sicurezza è solo un illusione
QUANDO LA SICUREZZA E UN ILLUSIONE Esiste un codice di sicurezza (mal usato) che però se utilizzato in modo improprio può essere peggio di non avere niente, perché regala l illusione di una sicurezza che in realtà non esiste Non ci si accorge dell attacco Problema: se si rubano soldi o beni qualcuno, si accorge che sono spariti MA quando si rubano informazioni quasi sempre nessuno lo nota, perché le informazioni restano comunque in possesso di chi le possedeva
LE INFORMAZIONI Le informazioni memorizzate nei computer sono gestite da operatori umani che molto spesso ignorano le procedure di sicurezza la priorità di chiunque è completare il lavoro in tempo le persone non sono consapevoli fino in fondo del reale valore delle informazioni che circolano in una struttura La sicurezza non è un problema di tecnologia, bensì di persone e gestione: l anello debole di questo processo Questa debolezza del processo di sicurezza è universale, indipendente dalla piattaforma, dal software, dalla rete o dall età dell attrezzatura
ESEMPIO: AEROPORTO La sicurezza è diventata onnipresente..eppure si rimane sconcertati dai servizi televisivi che mostrano viaggiatori che sono riusciti a superare i controlli con armi potenziali: com'è possibile? I metal detector non funzionano? No, il problema non sono le macchine Il problema è il fattore umano, le persone che gestiscono le macchine
PERCHÉ FUNZIONA? L'ingegneria sociale spesso funziona perché è più facile di un metodo di hacking non richiede specialisti ICT ha un costo molto basso comporta basso rischio funziona con qualsiasi sistema operativo non richiede collegamento in rete lascia poche tracce è efficace circa al 100% (purtroppo ) Non diventa obsoleta con il passare del tempo È poco conosciuto dalle vittime
UN ULTERIORE MOTIVO Gli attacchi degli ingegneri sociali possono avere successo perché tipicamente le persone sono ignare delle buone pratiche di sicurezza Come diceva Albert Einstein soltanto due cose sono infinite, l universo e la stupidità umana, e non sono tanto sicuro della prima
VITTIME PREFERITE per un attacco di ingegneria sociale Persone che non hanno niente da perdere nel fornire una informazione sensibile tendono a sottostimare il pieno valore delle informazioni hanno la percezione che seguire le basilari regole per la sicurezza delle informazioni sia un inutile perdita di tempo non valutano appieno le conseguenze delle loro azioni sanno di non subire sanzioni disciplinari rivelando informazioni sensibili
FASI DELL ATTACCO Fase Fisica raccolta di informazioni attraverso persone (shoulder surfing) documenti (supporti digitali distrutti, stampe di dati sensibili) luoghi (dumpster diving) Fase Psicologica impersonificazione carpire le informazioni utili attraverso la persuasione
Fase Fisica
STRUMENTI ESSENZIALI Buona memoria per raccogliere le informazioni Telefoni (fisso, cellulare, pubblico) Fax Scanner Stampanti Server di posta Cooperazione Argomenti e ragioni per giustificare l azione più la persona target è vicina alle informazioni di cui abbiamo bisogno e più forti devono essere le argomentazioni
OBIETTIVI E METODI DEGLI ATTACCHI Obiettivi: password fisici: modem, server help desk Metodi di attacco si distinguono in attacchi che coinvolgono l interazione con altre persone o azioni svolte senza l ausilio di metodi tecnologici perpetuati utilizzando la tecnologia La giusta combinazione di entrambi permette all ingegnere sociale di raggiungere i propri obiettivi
ATTACCHI MEDIANTE INTERAZIONE UMANA Richiesta diretta delle informazioni Truffe telefoniche (telephone scams) Rovistare nella carta straccia (dumpster diving) Rovistare negli hard disk dismessi Richiesta informazioni per un falso sondaggio Sbirciare alle spalle (shoulder surfing)
DUMPSTER DIVING Termine che descrive il setacciamento dell immondizia del bersaglio in cerca di informazioni di valore Nonostante il mito dell ufficio senza carta, si continuano a stampare valanghe di fogli ogni giorno Non solo gli uffici bollette del telefono resoconti della carta di credito flaconi di medicinali saldi della banca scontrini del bancomat
ATTACCHI TECNOLOGICI (1) Attacchi diretti al sistema creazione di un nuovo account aggiungere privilegi o diritti di accesso a un account esistente Esecuzione di un programma "malintenzionato" (trojan) Attivazione di un piano di phishing Intercettazione (cellulari) Invio di mail contenenti virus e worm Malware: trojan, spyware, dialer, rootkit Microfono, webcam, tastiere
KEYGHOST Una società neozelandese ha creato un dispositivo chiamato KeyGhost che cattura qualsiasi cosa venga digitata sulla tastiera Supporta la cifratura dei dati memorizzati Quello di base che contiene dati non cifrati può durare 10 giorni (fino circa 97000 tasti premuti) prima che la sua capacità venga riempita
Finestre di Popup ATTACCHI TECNOLOGICI (2) la finestra appare sullo schermo indicando all utente che la connessione alla rete è stata interrotta e che è necessario reinserire username e password un programma poi invierà via email le informazioni all ingegnere sociale Spam, Catene di S.Antonio sfruttano l ingegneria sociale per diffondersi non causano danni se non la riduzione della produttività Siti web uno strattagemma comune è offrire qualcosa gratis oppure la possibilità di vincere una lotteria
ESEMPIO: NIGERIAM SCAM Deve il nome alla provenienza delle prime mail di questo tipo Cosa sono: e-mail in cui si parla di grosse somme di denaro che dovrebbero essere trasferite o recuperate da una banca estera, che però chiede garanzie come la cittadinanza, un conto corrente, un deposito cauzionale Cosa vogliono: chi scrive chiede il vostro aiuto sia per trasferire il denaro tramite il vostro conto che per anticipare il deposito cauzionale, offrendo in ricompensa (auguri ) una percentuale del denaro recuperato (ah ah ah ah!! ROFL)
ATTACCHI TECNOLOGICI (3) File scambiati tramite peer-to-peer il sistema che li scarica viene utilizzato come stazione di comunicazione e attacco per aggressioni verso l esterno obiettivo: comunicare a ignoti dati sensibili SCAM tentativo di truffa effettuato in genere inviando una mail in cui si promettono grossi guadagni in cambio di somme di denaro da anticipare si comunica una vincita alla lotteria ma per ritirare il premio si dovrà versare una tassa..
INGEGNERIA SOCIALE: METODI CLASSICI (1) Fingersi un collega Fingersi dipendenti di un fornitore, di una consociata oppure di un tutore dell ordine Fingersi persona dotata di autorità Fingersi un nuovo assunto che chiede una mano Fingersi un fornitore o un fabbricante di sistemi che telefona per offrire un aggiornamento o una patch al sistema Farsi rimbalzare un fax dando alla segretaria il numero di un servizio di fax online, che in automatico riceve un fax e lo gira via mail all'abbonato Usare una falsa finestra pop-up per chiedere all utente di connettersi di nuovo o registrarsi con una password
INGEGNERIA SOCIALE: METODI CLASSICI (2) Offrire aiuto in caso di problemi, poi fare in modo che il problema si presenti realmente, convincendo così la vittima a chiedere aiuto (reverse social engineering) Inviare programmi o patch gratis che la vittima deve installare Inviare un virus o un cavallo di troia come allegato di posta Lasciare una chiavetta usb o un cd contenente un software ostile in giro per l ufficio Offrire un premio a chi si registra a un sito web fasullo Lasciare un documento o un file nella sala posta aziendale per consegna interna
INGEGNERIA SOCIALE: METODI CLASSICI (3) Modificare l intestazione del fax affinché sembri provenire dall interno Chiedere al banco accoglienza di ricevere e inoltrare un fax Chiedere il trasferimento di un file in altro luogo che sembri interno all azienda Ottenere e impostare una casella vocale perché un eventuale telefonata di controllo faccia sembrare l attaccante persona appartenente all azienda Fingere di essere di un altra sede dell azienda e chiedere l accesso in loco alla posta elettronica
TRUCCHI FONDAMENTALI Uso della domanda mina antiuomo si pone la domanda mina se il bersaglio risponde senza che il tono di voce cambi, significa che non è scettico ergo, è possibile fargli la VERA domanda cruciale senza insospettirlo: probabilmente vi darà la risposta cercata Savoir faire per non insospettire: mai interrompere la conversazione una volta ottenuta l'informazione chiave: proseguire come se nulla fosse
INGEGNERIZZARE SE STESSI Diventare qualcun altro meglio al telefono Vestirsi in base all occasione Imparare a parlare in base al proprio ruolo Dire ciò che essi vogliono sentirsi dire imparare il più possibile sulla persona target Saper mentire
Fase psicologica
SICUREZZA E FIDUCIA A prescindere dal metodo adottato, il primo obiettivo dell'ingegnere sociale è creare fiducia nella vittima La fiducia nel prossimo fa parte della natura umana, soprattutto quando la richiesta sembra ragionevole A quel punto può scattare la trappola, che può sfruttare le conoscenze informatiche più o meno sofisticate dell'aggressore la sicurezza è tutta basata sulla fiducia la fiducia è basata sull autenticità e sui livelli di protezione
PEOPLEWARE Fattore umano dell Information Technology L anello debole non è la persona in sé è la naturale tendenza a credere alla parola altrui Comportamenti (naturali, sollecitati, forzati) che tutti mettiamo in atto e sui quali l ingegnere sociale può fare leva
OBIETTIVI DELLA FASE PSICOLOGICA Osservare il comportamento delle persone come reagiscono dove vanno cosa gli piace fare chi sono i loro amici Imparare come le persone pensano Imparare a localizzare le debolezze umane Imparare quali parole usare quando si parla a certe persone
SU COSA AGIRE L ingegnere sociale fa leva sui bisogni primari dell uomo per far sì che la propria richiesta venga accettata Manipola le persone affinché l attacco abbia successo Gerarchia dei bisogni di Maslow
BISOGNI PRIMARI Fisiologici funzionali al mantenimento psicofisico dell uomo: fame, sete, sonno,.. Sicurezza essere fuori pericolo: stabilità, protezione, dipendenza Appartenenza essere affiliati ad altri, accettati Stima ottenere approvazione e riconoscimento
BISOGNI SECONDARI Cognitivi conoscere, comprendere, esplorare Estetici simmetria, ordine, bellezza Autorealizzazione trasformare in realtà il potenziale inespresso Trascendenza aiutare gli altri a realizzare il loro potenziale
TENDENZE BASE DELLA NATURA UMANA Autorevolezza: tendenza a cedere quando una persona autorevole fa una richiesta (name dropping) Simpatia: tendenza ad obbedire quando la persona che avanza la richiesta è riuscita a presentarsi accattivante Ricambiare: tendenza ad obbedire automaticamente ad una richiesta quando viene dato o promesso qualcosa di valore Coerenza: tendenza a dire di si dopo aver sposato pubblicamente una causa per evitare di apparire inaffidabili Convalida sociale: tendenza ad obbedire quando, in tal modo, sembra di allinearsi agli altri Scarsità: tendenza a dire di sì quando si crede che l oggetto cercato stia scarseggiando e altri siano in competizione per averlo oppure sia disponibile solo per un breve periodo
CARATTERISTICHE DELLE VITTIME Paura delle conseguenze Senso di colpa Sentimentalismo Ritenere che l azione possa dare loro un vantaggio Tendenza implicita a dare fiducia agli altri Dovere morale Identificazione con l ingegnere sociale Naturale attitudine all aiuto Convinzione della propria non vulnerabilità NB: i nuovi assunti sono una ghiotta preda per gli attaccanti..
PERSUASIONE La finalità della persuasione personale non è quella di forzare un individuo a fare qualcosa ma quella di aumentare la sua volontaria condiscendenza alle richieste altrui La persona oggetto dell attacco viene guidata sul percorso scelto dall attaccante, lasciandole credere di avere il controllo totale della situazione (e di essere lei a voler liberamente aiutare qualcuno )
STRUMENTI DI PERSUASIONE Gli strumenti principali della persuasione includono impersonificazione: identificazione del soggetto con il persuasore conformità: conformarsi al giudizio degli altri diffusione di responsabilità: ritengono che l azione riduca le loro responsabilità accattivarsi la fiducia altrui e usare la cortesia
RIASSUMENDO (1) Gli attacchi di social engineering sfruttano la disponibilità, la buona fede e l insicurezza delle persone per accedere a dati confidenziali o indurre le vittime a effettuare operazioni Quando crediamo una cosa è perché di solito qualcuno ce l ha detta ossia, siamo stati influenzati
RIASSUMENDO (2) Non fidatevi delle persone che dicono di essere tecnici, addetti alla sicurezza, amministratori di sistema e vi chiedono password o altre informazioni senza aver prima dimostrato di essere chi affermano di essere Se avete dubbi e non sapete cosa fare, prendete tempo e contattate immediatamente un superiore A volte essere "cattivi" con il prossimo è un bene Non sentirsi male se si decide di rifiutare le richieste di uno sconosciuto che ci aveva pregato di aiutarlo dandogli l'account di un'altra persona molto probabilmente abbiamo evitato che un attacco di ingegneria sociale potesse avere successo...
PHISHING
PHISHING Tecnica di ingegneria sociale basata sul principio della supposta autorità che utilizza un messaggio di posta elettronica per acquisire informazioni personali riservate (password, dati finanziari, numero di carta di credito) con la finalità del furto di identità Il sistema si basa sul concetto di mail spoofing: invio di posta elettronica a nome di terzi ogni volta che spediamo un messaggio di posta elettronica il mittente non viene autenticato dal server di posta elettronica questo si giustifica per l origine sociale ed accademica della posta elettronica
PHISHING: PROFILI GIURIDICI Nell ordinamento giuridico italiano non esiste alcuna legge che prevede una definizione del phishing né che prescriva una qualche sanzione a carico del phisher Tuttavia il phisher commette una serie di reati collegati tra loro: illecito civile (risarcimento) truffa semplice ed aggravata (dai 6 mesi a 3 anni di carcere) frode informatica semplice ed aggravata (da 1 a 5 anni di carcere) Reato continuato: pena non inferiore ai 9 anni se il reato viene perpetuato più volte (condanna normale x 3)
DUNQUE: L Ingegnere sociale riesce nella maggior parte dei casi a far rivelare informazioni confidenziali propagare malware Le tecnologie per la sicurezza diventano sempre più raffinate e hanno sempre meno punti deboli tecnici Gli attaccanti saranno sempre più propensi a sfruttare l anello debole del processo della sicurezza L unica soluzione è cercare di evitare l ingegneria sociale
ING. SOCIALE: SE LA CONOSCI LA EVITI (1) Principio del need to know l accesso alle informazioni deve essere fornito solo limitatamente a quelle informazioni di cui si ha assolutamente bisogno per portare a termine i compiti di lavoro assegnati D.Lgs 196/2003 Allegato B Art. 13 e 14 le leggi a difesa della privacy impongono alle aziende che raccolgono informazioni sui proprio clienti di proteggere alcune di queste informazioni dall accesso non autorizzato Educare alla consapevolezza chi tratta informazioni sensibili i dipendenti devono sapere quali informazioni devono proteggere e come proteggerle i dipendenti devono sapere che esistono attacchi di ing. sociale le regole che contemplano la cieca obbedienza sono spesso ignorate o dimenticate..
ING. SOCIALE: SE LA CONOSCI LA EVITI (2) Politiche di sicurezza che incoraggino tutte le persone a : guardare i badge degli altri individuare eventuali sconosciuti distruggere il materiale cartaceo cancellare i supporti magnetici prima di cestinarli chiudere uffici e cassettiere tenere in ordine le scrivanie non inviare password ed account via e-mail controllare sempre che il sito che si sta visitando sia veramente quello dice di essere
ING. SOCIALE: SE LA CONOSCI LA EVITI (3) Eseguire periodicamente dei penetration test The final recommendation: "randomize yourself" ovvero: non essere prevedibili nel modo di vestirsi o di parlare nello stile di vita