Post con tag Social Engineer

Ciao a tutti o vi spieghero il significato della parola Ingegneria sociale (Dall’inglese Social Engineering) e per spiegarvi in che modo viene sfruttata dagli Hackers, Crackers, ecc. iniziamo a spiegare cos’è:

Un ingegnere sociale (social engineer) è una persona che studia i comportamenti delle persone per i propri scopi, un ingegnere sociale per essere definito tale deve saper nascondere la propria identita e deve far sentire a proprio agio in modo da far uscir di bocca informazioni personali, senza però far capire qual’è il suo vero scopo. Ora che sapete cosa sono, e importate sapere però per quali scopi li usano gli informatici, le tecniche sono varie:
• Phishing: Spesso per scopi di cyber criminalità, l’ingegneria sociale viene abinata al phishing, solitamente infatti ci si spinge verso i social network, chat, e programmi di messaggistica instantanea, ecc. in questo caso possiamo fare un’esempio riferendoci al noto programma di messaggistica istantanea MSN, ora e nata la mania di rubare le password (una vera lamerata), vi faccio un esempio di conversazione:

Marco: Ciao amico come và?

Paolo: Ciao Marco, tutto bene grazie, tu?

Marco: Bene anche io, senti anche se ci conosciamo da poco, volevo rivelarti un segreto, perchè tu mi stai simpatico, però devi prometermi che non lo dirai a nessuno, ok?

Paolo: Certo! Sarò più muto di un pesce

Marco: Un hacker mio amico a creato un nuovo servizio online accessibile all’indirizzo http://www.nomesito.it/ visitalo metti i tuoi dati, e in un attimo saprai chi ti ha bloccato

In questo esempio il povero Paolo, e stato vittima dell’ingegnere sociale Marco, che con poche parole, e riuscito a convincere Mario a far inserire i suoi dati nel sito Phishing, che dopo naturalmente verranno salvati e utilizzati a proprio piacimento dai cyber criminali (NB. I Cyber Criminali non sono gli hackers ma ben sì chi usa le proprie capacità informatiche per danneggiare altre persone).

• Social Engineering per Deface & Evasione Sistemi di sicurezza: Molto spesso l’ingegneria sociale viene usate anche per effetura Deface e per evasione sistemi di sicurezza, iniziamo a fare un esempio di come si può far un Deface ad un sito (noi per comodità utilizzeremo come esempio un fatitico forum forumfree.net), ammettiamo di iniziare un conversazione con un qualsiasi utente di una chat che possiede un forum su forumfree.net:

Mario: Ciao amico, come ti và la vita?

Paolo: Ciao Mario non c’è male grazie, tu?

Mario: Bene, senti un pò sai io cerco scambi banners per il mio forum, mica tu ne hai uno?

Paolo: Si il mio forum è http://nomeforum.forumfree.net/ dammi il link del tuo!

Mario: http://nomeforumdimario.forumfree.net/, e bellissimo il tuo forum mi piacerebbe molto se potessimo stringere un scambio banner

Paolo: Ok scambio banner accettato o già messo il tuo banner!

Mario: Grazie messo anche il tuo! Noto che ti manca una Bacheca come vedo, perchè non la inserisci?

Paolo: Sapendo fare lo avrei pure fatto Tu lo sai fare?

Mario: Certo!

Paolo: Mi dici il codice che lo metto!

Mario: Beh ma non e solo un codice bisogna modificare l’intero forum, se mi metti amministratore 2 minuti lo rimetto apposto.

Paolo: Va bene Mario, ti ho messo amministratore

Mario: Bene un secondo ed è fatta! Guarda un pò come ti ho ridotto il forum!

Paolo: Nooooooooooooo il mio forum!

Con ingenuità, il povero Paolo (Vittima del giorno ), con ingenuità si e fidato di Mario (il criminale informatico), che gli ha Defacciato il forum mettendo delle varie scritte e un logo se che segnalava che era stato lui a Defacciare quel sito (Non ha creato molto danno ma immaginiamo che il sito abbia tante sezioni e lui le avesse rinominate tutte quante scrivendoci ad esempio “Hacked By Mario“.

Ora facciamo un’altro esempio riguardante l’evasione dei sistemi utilizzando il Social Engineering, ammettiamo che un Cracker, assunto da un azienda per fare un furto di un sorgente di un software commerciale (ammettimo per crearne un clone e magari migliorarlo), promettendo al cracker una sostanziosa ricompensa in denaro, il cracker disposto a far di tutto pur di guadagnare denaro, si da fare e scopre il nome della compagnia che si occupa della sicurezza informatica del sistema di sicurezza (che noi chiameremo per comodità Manai Security nome completamente inventato naturalmente) in cui e custodito il Sorgente del programma, il cracker preparatissimo utilizza le sue conoscenze di Phreaking per oscurare il proprio numero, e inizia a parlare con un dipendente dell’azienda in questione:

Mario: Buon Giorno Paolo sono Mario, lavoro alla Manai Security, e sono il responsabile del vostro sistema di sicurezza.

Paolo: Buon Giorno Mario, in cosa posso servirla?

Mario: Pultroppo siete stati appena attaccati da dei Criminali Informatici, siamo intervenuti subito per fortuna, però un’altro gruppo di complici che si è accorto della nostra presenza ci ha attaccato, ed a copiato il nostro database con tutte le password, e poi lo a cancellato, pultroppo adesso noi non sappiamo come fare, se gentilmente ci darebbe la password per entrare nel sistema cerchiamo di risolvere il problema.

Paolo: Nessun Problema, un secondo solo, ecco la password è *******

Mario: Ci vorrà un secondo, aspetti in linea..

Paolo: Ok..

Mario: Ecco fatto problema risolto!

Paolo: Ok, grazie Mario, alla prossima!

Il Cracker (Mario) in questo esempio è riuscito a spacciarsi per un responsabile di sicurezza a cui si affidava l’aziende, e a rubare il sorgente.

Queste sono le principali tipologie di Social Engineering (Ingegneria Sociale), poi negli ultimi tempi sono nati nuovi modi di usarlo noi vi abbiamo elencato i principali

Ciao By Giovanni Manai!