Video: Cos’è il social engineering? (Settembre 2024)
Negli ultimi cinque anni, Chris Hadnagy, Chief Human Hacker presso Social-Engineer, Inc, ha organizzato una competizione insolita al Def Con. Chiamata Social Engineering Capture The Flag, sfida i concorrenti a raccogliere informazioni su varie aziende (bandiere, se lo desideri). Questo è il social engineering: l'arte di raccogliere informazioni dagli obiettivi senza dover irrompere in un edificio o hackerare una rete.
Nella prima fase, 20 concorrenti lavorano per ottenere informazioni sulle aziende target da fonti pubblicamente disponibili. L'ultima fase è una maratona di 25 minuti di telefonate in cui i concorrenti pompano le vittime per informazioni. Questo va dal banale ("Hai una caffetteria?") Al critico ("Usi la crittografia del disco?") Al potenzialmente disastroso: ingannare le vittime nel visitare URL falsi. La competizione di quest'anno ha coinvolto dieci aziende, tra cui Apple, Boeing e General Dynamics, tra le altre.
Battaglia dei sessi
"Fin dall'inizio abbiamo sempre chiesto alle donne di unirsi", ha detto Hadnagy. L'adozione di un formato "uomini contro donne" e la promozione attiva del ruolo delle donne nella competizione hanno contribuito a migliorare la parità negli ultimi due anni. Hadnagy ha affermato che dare maggiore visibilità alle donne nel progetto è fondamentale e incoraggia gli altri a partecipare. "Abbiamo avuto più donne di quante ne potessimo prendere quest'anno", ha detto.
Come hanno fatto le donne contro le loro controparti maschili? "Quest'anno, le donne non hanno solo vinto", ha detto Hadnagy. "Hanno cancellato gli uomini." Tre delle prime cinque slot sono state assegnate alle donne, e il social engineer con il punteggio più alto aveva oltre 200 punti in più rispetto al partecipante con il punteggio più alto successivo.
È facile trarre molte conclusioni da questi dati, ma per quanto riguarda il successo delle donne nell'ingegneria sociale, Hadnagy ha affermato che non ci sono abbastanza informazioni. "Non credo che dimostri che le persone si fidano intrinsecamente delle donne", ha detto. "Le donne vincitrici mostrano qualcosa, ma non abbiamo dati che dimostrino che erano donne che parlavano con uomini".
Detto questo, le donne avevano una vasta gamma di punteggi rispetto agli uomini, che è stato notato nel rapporto finale del concorso. Diceva: "la variabilità può essere ipotizzata dal fatto che si trattava di un gruppo estremamente diversificato, proveniente da contesti molto diversi e livelli di esperienza diversi". Gli uomini, d'altra parte, tendevano a aggirare la stessa gamma di punteggi con meno valori anomali. "Sebbene abbiamo assicurato la diversità come gruppo, gli uomini tendevano ad essere più omogenei in background e livello di esperienza e forse questo si rifletteva nella gamma più piccola di punteggi".
Non ho le informazioni per eseguirne il backup, ma penso che questi dati dimostrino l'importanza di includere persone di diversa estrazione in qualsiasi squadra. Ma sono solo io.
Le informazioni sono già disponibili
Il rapporto finale del concorso potrebbe essere inconcludente sul ruolo del genere, ma è chiaro che un'attenta ricerca è stata fondamentale per i vincitori. I concorrenti hanno trovato una quantità scioccante di informazioni disponibili gratuitamente online e quelli con punteggi più alti nelle fasi di ricerca tendevano a fare molto meglio durante l'effettiva chiamata.
In un caso, un concorrente ha trovato un portale web pubblico per i dipendenti. Sebbene fosse protetto con un accesso con password, il concorrente ha scoperto che un documento di aiuto disponibile al pubblico fornito dalla società di destinazione conteneva un nome utente e una password funzionanti come esempio. "È il 2013 e stiamo ancora vedendo cose del genere", ha detto Hadnagy.
Ma non ci sono volute grosse violazioni della sicurezza per trovare la maggior parte delle informazioni che i concorrenti stavano cercando. Gran parte di esso era disponibile attraverso i social media, a volte pubblicato da persone che collegavano la loro e-mail aziendale a un servizio pubblico. Una fonte di informazioni ha sorpreso Hadnagy: "Myspace, che ci crediate o no."
Travestimenti sempre migliori
Hadnagy ha anche osservato che, oltre alla raccolta di informazioni open source, i concorrenti hanno anche usato pretesti molto più complessi quando hanno chiamato le aziende nella fase finale della competizione. Negli anni precedenti molti concorrenti si sono presentati come allievi del sondaggio o studenti che scrivevano rapporti. Hadnagy ha scoraggiato attivamente quell'approccio quest'anno, ricordando ai concorrenti che probabilmente avrebbero riattaccato quelle chiamate. "Perché chiunque in un ambiente aziendale dovrebbe rispondere a queste domande?" Chiese.
Questi pretesti sono attraenti perché sono più o meno anonimi e hanno un basso rischio per il chiamante. Quest'anno, tuttavia, sono stati osservati più concorrenti in posa come colleghi dipendenti o distributori che lavorano con le aziende target. Mentre comporta un rischio più intrinseco, Hadnagy ha affermato che esiste una fiducia più intrinseca. "Automaticamente, i concorrenti si fidavano e ricevevano immediatamente le informazioni", ha affermato.
I pretesti dei concorrenti hanno mostrato un'interessante divergenza in termini di genere. Delle dieci donne, nove si sono descritte come non tecnicamente esperte e cercavano aiuto da "colleghi" impiegati. Tutti gli uomini del concorso si sono presentati come esperti di tecnologia e, in alcuni casi, amministratori delegati.
Conosci la minaccia
Mentre è interessante meditare su come e perché della concorrenza, il fatto indiscutibile è che dieci aziende hanno rinunciato a una grande quantità di informazioni, sia al telefono che pubblicate online. Mentre le informazioni che cercavano i concorrenti non erano sempre intrinsecamente pericolose, leggono come un solido primo passo in un attacco a più livelli. Un giorno chiedi della caffetteria e il giorno dopo chiedi il login.
Hadnagy fissa il problema su una mancanza di consapevolezza tra i dipendenti, di solito derivante da una cattiva istruzione da parte dei superiori. La formazione dei dipendenti a riflettere criticamente su ciò che pubblicano online e su ciò che dicono al telefono, ha detto Hadnagy, può ripagare con meno attacchi riusciti.
Uno dei suoi suggerimenti più intriganti è che le aziende non puniscono le persone che si innamorano di truffe e incoraggiano la segnalazione libera delle conseguenze di possibili violazioni. Hadnagy ha dichiarato a SecurityWatch che le aziende che seguono queste pratiche sono generalmente più in grado di gestire queste minacce.
Indipendentemente dal fatto che tu faccia parte di un'azienda o solo un individuo a casa, conoscere i pericoli dell'ingegneria sociale è fondamentale. Quindi la prossima volta che qualcuno ti chiama o ti invia un'email per chiedere aiuto, fai alcune domande prima di consegnare i gioielli della corona.
Immagine tramite CGP Gray dell'utente Flickr
