INGEGNERIA SOCIALE: I PRIMI PASSI

social-engineering

L’ingegneria sociale è l’arte di manipolare le persone in modo che compiano azioni oppure che forniscano informazioni confidenziali o lo studio del comportamento individuale di una persona al fine di carpire informazioni utili. La manipolazione della caratteristica tendenza umana a fidarsi e di rilasciare informazioni sensibili per acquisire l’accesso a un sistema. L’ingegneria sociale non prevede particolari competenze informatiche e sociali, chiede però una dimestichezza nell’uso del linguaggio né particolare attenzione all’interazione umana. Difatti, ogni informazione che si condivide, un’immagine su un social network o una mail con un importante progetto aziendale, comporta dei rischi che possono essere sottovalutati da un utente non esperto.

Quest’ultimo è d’altronde la cliente perfetta di un ingegnere sociale, in altre parole di chi studia il comportamento individuale di una persona per carpirne informazioni utili al fine di ottenere l’accesso a computer e/o sistemi di interazione; in particolare, l’ingegnere sociale sfrutta e raggira qualsiasi difesa sociale per puntare alla parte debole del sistema, cioè l’uomo. La tecnica più utilizzata per il 47% degli attacchi è proprio il phishing. Credo proprio che nell’ingegneria sociale le strategie chiave siano nelle politiche e procedure di sicurezza che derivano dai meccanismi di sicurezza, che portano le persone ad agire in maniera sistematica. In quante delle organizzazioni in cui lavorate viene attuata una politica di classificazione dei dati? Se non avete mai detto ai vostri impiegati quali sono le informazioni sensibili e come proteggerle, come pensate di arginare il problema? Quali sono i principali tipi di attacco? Quali metodi e strategie usano gli ingegneri sociali? Molta gente non sa nemmeno chi è un ingegnere sociale. Come si può conoscere il livello di sicurezza degli impiegati nella tua azienda? Quali aziende controllano la competenza dei loro impiegati a livello di politiche o meccanismi?

static1.squarespace.com

Un ingegnere sociale sa dove puntare per ottenere da noi una determinata reazione; crea un contesto, ovvero una storia inventata, che ci possa sembrare credibile e che ci spinga a una reazione immediata davanti a una situazione di urgenza. Per individui così furbi e intelligenti non è difficile farci dare qualsiasi processo razionale, ed è in quel momento di debolezza, che dura una frazione di secondo, che si approfittano di noi per ottenere ciò che vogliono.

La principale motivazione di un attacco di ingegneria sociale è in genere legata ad un preciso fine primario, ovvero uno scopo, seguita dal reperimento di informazioni personali e informazioni legate alla concorrenza; nell’ultimo periodo, è aumentata in percentuale anche la motivazione legata alla vendetta, come ad esempio nei casi di ex-dipendenti scontenti. Il cliente dell’ingegnere sociale viene scelto in base a diverse informazioni e in relazione all’attacco che si vuole realizzare, come ad esempio la vicinanza alle notizie che si vogliono ottenere, la conoscenza ed il rapporto tra l’utente e le policy aziendali, ma soprattutto le conoscenze in ambito informatico della cliente prescelta.

Egli è cioè capace di leggere ed interpretare qualsiasi policy aziendale per scovare le lacune o, semplicemente, per utilizzare il codice sorgente di un software o di un sistema operativo necessario per arrivare ad ottenere ciò che a lui serve in maniera anonima e senza troppi rischi. Un ulteriore vantaggio è la rapidità e la semplicità dell’attacco. L’ingegnere sociale non ha bisogno di analizzare i punti deboli di una persona, azienda o rete. L’ingegnere sociale ottiene tutto ciò che serve chiedendo direttamente alla cliente. A volte pensiamo chissà a quali sistemi per scoprire qualcosa e basta solo domandarlo!. Un ingegnere sociale è colui che conosce l’arte di manipolare una mente, di modellare un linguaggio non verbale, di influenzare gli accadimenti e costruire intorno a un sistema un ecosistema sociale perfetto.

LEGGI L’ARTICOLO “RIMANDATI DALLA SOCIETÀ”

Il cliente scelto è il punto focale della questione, ma a quest’ultimo potranno essere additate solo alcune colpe poiché l’unico metodo per combattere l’ingegneria sociale è la conoscenza e la formazione, ovvero aiutare l’individuo a capire quando è sotto attacco e come rimediare, ma, per far questo, è necessario, da parte dell’azienda, implementare ed aggiornare le policy in modo che possano aiutare l’utente a non commettere errori.

Per fare leva sulla cliente, l’ingegnere sociale farà uso di tecniche psicologiche al fine di oltrepassare la sottile linea rossa che lo divide dalla stessa cliente: il suo obiettivo di base, cioè, è quello di arrivare, quanto prima possibile, ad un rapporto confidenziale con la persona, in modo tale da facilitare il processo di estrapolazione delle informazioni di cui ha bisogno. Come si approfondirà in seguito, l’anello debole della catena è l’uomo.

Sarò ben lieto di darti dei consigli sulla tua attività. Scrivimi!!!

tre_frecce_rosse_animate

Cliccando su INVIA si autorizza il consenso alla privacy:

Ho letto l’infomativa alla privacy e acconsento al trattamento dei dati personali ai sensi dell´art. 13 D. lgs. 30 giugno 2003, n. 196. I tuoi dati sono al sicuro e sono trattati in piena conformità alla Legge sulla Privacy n.196/2003. Potrai cancellarti in qualsiasi momento con un semplice click.

 

 

Annunci

Un pensiero su “INGEGNERIA SOCIALE: I PRIMI PASSI

  1. Pingback: CAPIRE UN CLIENTE? NON POTETE! | DIEGO CANALI

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...