Prospettive

Human hacking e ingegneria sociale: conoscere le tecniche degli attaccanti per combatterle

Il fattore umano rappresenta la principale falla di qualunque sistema di sicurezza che i cyber criminali sfruttano giocando sulle vulnerabilità delle persone e la loro scarsa consapevolezza. Capire come operano è il primo passo che qualunque organizzazione dovrebbe fare per attrezzare la difesa. Su questo tema si è svolto un seminario, nel corso della tre giorni dell’annuale Security Summit, occasione per la presentazione ufficiale del Rapporto Clusit 2021, durante il quale sono incontrati virtualmente, in decine di incontri e tavole rotonde, esperti di security, fornitori e potenziali utilizzatori.

Pubblicato il 26 Apr 2021

Human hacking

Phishing e Social Engineering continuano ad essere alla base di buona parte degli attacchi (15% del totale) e hanno un ruolo rilevante (42%) nel caso degli attacchi industrializzati su larga scala, come evidenzia il Rapporto Clusit 2021. Nel corso del 2020 è spesso stato utilizzato il tema Covid come pretesto, è aumentato l’human hacking e sono cresciute le Bec e Ceo fraud (frodi in cui gli attaccanti, impersonando figure aziendali, cercano di convincere le persone a trasferire somme di denaro o informazioni) sfruttando il fatto che le persone, lavorando a distanza, operassero in ambienti meno protetti e fossero emotivamente più esposte.

Conoscere le vulnerabilità umane, ancor più pericolose di quelle tecnologiche

Per prevenire questi attacchi che, per avere successo, puntano sul fattore umano e per mettere in campo una difesa efficace, è indispensabile comprendere come agiscano lo human hacking e l’ingegneria sociale. È quanto ha fatto nel suo intervento, in occasione del Security Summit, Massimo Giaimo, team leader Cyber security solutions, Wurth Phoenix, concentrandosi soprattutto sulla progettazione di attacchi focalizzati su una specifica organizzazione.

Negli attacchi mirati, l’ingegneria sociale punta a sfruttare alcune vulnerabilità umane e a convincere le persone a rivelare informazioni riservate utili per sferrare l’attacco. “Lo human hacking punta a rendere umanamente possibile un attacco che altrimenti sarebbe tecnologicamente troppo complesso”, spiega Giaimo, sottolineando che l’hacker ricorre all’ingegneria sociale quando la fase preliminare di ricognizione evidenzia che i sistemi sono tecnologicamente sicuri e non presentano falle evidenti.

I cyber criminali cercano dunque di porre l’attenzione sulle persone che amministrano i sistemi o su altre che possono fungere da tramite, spesso con il supporto di conoscenze di psicologia: “L’ingegnere sociale cerca di sfruttare la fase in cui il cervello della persona si trova in alpha mode, ossia quando è a riposo, con una concentrazione rilassata e focalizzata, senza particolari preoccupazioni, non in allerta”.

Le modalità principali di attacco utilizzate sono:

  • Phishing, messaggio ingannevole via email;
  • Smishing, phishing via sms;
  • Vishing, phishing telefonico;
  • Impersonation, che prevede di presentarsi sotto mentite spoglie, attraverso diversi camali di comunicazione, in alcuni casi di persona.

L’open source intelligence, primo step del human hacking

L’ingegneria sociale si basa sulla piramide rovesciata dell’ingegneria sociale (vedi figura) che prende avvio dalla fase più impegnativa, l’Open Source Intelligence (Osint), ossia un lavoro esteso di raccolta di informazioni che si possono trovare liberamente, in gran parte in rete, sia sull’organizzazione target sia sulle persone che possono rappresentare le chiavi di accesso (figura).

La piramide dell’ingegneria sociale. Fonte: «L’informazione come pilastro dell’ingegneria sociale»

Per costruire un profilo aziendale, l’attaccante cerca ad esempio di capire se l’organizzazione target usi i social media, quali policy adotti, cosa possano pubblicare su internet i dipendenti, quanti collaboratori siano previsti, la presenza di call center, dove siano le diverse sedi, se sia consentito il BYOD, quale sia l’organigramma, dove siano pubblicati gli annunci di lavoro e quali i contenuti… Per quanto riguarda le singole persone si indaga sui loro account social, su hobby e le associazioni, su ristoranti e luoghi frequentati, sulla storia della famiglia e sui nomi dei familiari, sul livello di istruzione, sul ruolo aziendale…

L’attività Osint può basarsi su aspetti più o meno tecnici, andando ad analizzare ad esempio canali come Linkedin, da cui è possibile trarre una grande quantità di informazioni professionali, o Facebook, per dati più personali. Le tante foto postate dalle persone in smart working che spesso inquadrano scrivania e schermo del Pc forniscono agli attaccanti interessanti informazioni sul sistema operativo utilizzato, sulla presenza di tool di sicurezza, su hobby e molto atro.

L’hacker più scrupoloso si spingerà ad effettuare una visita fisica presso la sede del target per verificare, ad esempio, come sono vestite le persone, se serve un badge per entrare, la presenza di vigilanza e di dispositivi di sicurezza perimetrale.

Dalla raccolta di informazioni alla creazione di un legame con la vittima di hacking

Il social engineer, una volta raccolte tutte le informazioni, sarà in grado di scegliere l’approccio migliore, il canale o i canali più opportuni e lo stile di comunicazione più efficace, adattandolo a quello del target, identificato sui social e attraverso altre modalità di profilazione.

Giaimo indica una metodologia che fa riferimento al sistema di classificazione DISC, che suddivide gli stili in dominante (che punta a venire al dunque senza perdere tempo), influencer (che prevede uno stile più rilassato e amichevole), steadiness (uno stile sincero e modesto), compliance (accurato e cauto).

Qualunque siano lo stile e il canale di comunicazione prescelti, l’obiettivo è generare emozioni che creino un ambiente favorevole e un legame, sfruttando le tipiche vulnerabilità umane che da tempo gli psicologi hanno identificato: riprova sociale, impegno e coerenza, reciprocità, simpatia ed empatia, carenza tempo (l’attaccante tende a mettere fretta), autorità (l’ingegnere sociale si finge una persona con posizione apicale).

Come impostare la difesa per Human hacking

Per prevenire attacchi che puntano sulle vulnerabilità umane il primo passo è lavorare sulla consapevolezza delle persone che devono imparare a riconoscere le minacce. Indispensabile, dunque un’attività di formazione per aumentare l’awareness delle persone a tutti i livelli. “Un po’ di sana paranoia non guasta”, suggerisce Giaimo che indica una serie accorgimenti preventivi, come praticare la riservatezza e minimizzare la diffusione di informazioni su di sé e sull’azienda in rete, stare in allerta e porsi delle domande.

Nel momento dell’approccio diretto di un sospetto human hacker, effettuare una controverifica (spesso basta una telefonata), cercare di interloquire per capirne le reazioni, evitare la fretta, visto che spesso l’attaccante punta a mettere sotto pressione la vittima per estorcere più facilmente le informazioni.

Sarebbe infine utile prevedere vulnerability assessment e penetration test focalizzati non solo sulle vulnerabilità tecnologiche ma anche su quelle umane.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati