2) Social Engineering (ingegneria sociale)


’Ingegneria sociale significa l’uso del proprio ascendente e delle capacità di persuasione per ingannare gli altri, convincendoli che l’ingegnere sociale sia quello che non è oppure manovrandoli.

Di conseguenza l’ingegnere sociale può usare la gente per strapparle informazioni con o senza l’ausilio di strumenti tecnologici ’’ 

<<kevin d. Mitnick , l’arte dell’inganno>>


Ingegneria sociale

Il termine definisce un vero e proprio modo di intrusione di tipo non tecnico, finalizzato ad imbrogliare le persone, per carpire le informazioni necessarie a superare le barriere di sicurezza. Un esempio classico a livello di azienda è la persona che spacciandosi per un tecnico informatico telefona ad un impiegato, e dopo aver descritto una situazione di pericolo sul suo computer, propone una soluzione urgente in cui l’impiegato deve fornire una serie di informazioni che possono arrivare fino alla password.

In sostanza l’ingegnere sociale può avere successo se le persone sono poco attente, o nella stragrande maggioranza dei casi, se sono ignoranti delle pratiche di sicurezza.

Questo metodo non richiede tecnologie complicate o spese per strumenti, richiede solo il costo di una telefonata e una buona parlantina e inoltre comporta rischi minimi.

Come attacca un ingegnere sociale?

Ci sono svariati metodi di attacco.L'ingegneria si basa su due principi fondamentali:

1-le persone sono esseri molto fiduciosi nel prossimo e tendono a credere a quello che gli si dice; 

2-se un computer è decisamente meglio di una persona a memorizzare i dati, quest’ultimo è indubbiamente il soggetto migliore per fornirli agli altri;

Le cose da tenere in considerazione sono:

_attenzione alla voce;

_gentilezza;

_gli accenti;

_i toni;

_il gergo;

_la naturalezza;

Il social engineering deve conoscere la psicologia umana di base, e oltre a questo deve anche conoscere l’ambiente di lavoro della vittima.

Per proteggersi da questi attacchi un’impresa deve fare dei corsi di formazione per i dipendenti in cui vengono spiegati i metodi usati da un ingegnere sociale e dovete essere sicuri che tutti capiscano il senso di ogni strategia in modo da non aggirare le regole per pura comodità.

Molti di questi attacchi possono essere sventati se il dipendente preso di mira segue semplicemente due criteri: 

_Verificare l'identità del richiedente. La persona che fa la richiesta è davvero chi sostiene di essere? 

_Verificare se la persona è autorizzata. Ha diritto a sapere? È autorizzata ad avanzare questa richiesta?


Qui di seguito riporterò alcuni segni che possono fare pensare a un ingegnere sociale: 

_Rifiuto di dare un numero cui richiamare. 

_Richieste fuori dall'ordinario. 

_Pretese di posizione dirigenziale. 

_Urgenza. 

_Minacce di conseguenze spiacevoli in caso di non obbedienza. 

_Segni di nervosismo quando interrogato. 

_Citazione di nomi importanti. 

_Lusinghe o piaggeria. 

_Corteggiamento.



Comments