News

Impersonation: quando l’attacco informatico diventa fisico e relative contromisure

La tecnica di Social Engineering chiamata Impersonation viene utilizzata per accedere in modo illecito a un sistema, a una rete o a informazioni aziendali al fine di commettere frodi, spionaggio industriale o recare un danno d’immagine.

Si tratta di utilizzare una falsa identità con l’obiettivo di ingannare la propria vittima al punto di convincerla a consentire l’accesso in totale fiducia ad aree o locali riservati, ad informazioni private o a sistemi informativi aziendali.

La tecnica dell’Impersonation così come tutte le tattiche di Social Engineering hanno inizio da una ricerca approfondita della vittima (azienda o gruppo di persone). Mettendo insieme pazientemente tutte le info trovate nel web è possibile realizzare una perfetta combinazione di dettagli tale da rendere il più possibile convincente una falsa identità, una mail di Phishing o una chiavetta USB dal contenuto malevolo. Questa ricerca alla base di tutti gli attacchi informatici di tipo Social Engineering viene chiamata OSINT (Open Source INTellingence).

Nel progettare quindi una falsa identità, gli attaccanti dedicano molto tempo allo studio del loro obiettivo, cercando informazioni non solo sull’azienda stessa ma specialmente sul suo personale, sulle sue abitudini, interessi, ruoli, etc. Tutte informazioni facilmente reperibili dai Social Networks, dai siti web aziendali o semplicemente ascoltando le conversazioni dei dipendenti al telefono, in autobus o sul treno.

La tecnica di attacco dell’Impersonation può sfruttare molte tattiche di persuasione psicologica di natura antropologica, come il Tailgating o il Piggybacking. Il primo fa riferimento all’azione di cercare di entrare in un’area riservata, magari da un secondo accesso, seguendo e tallonando una persona autorizzata e dando così l’impressione ad eventuali persone presenti di essere legittimamente accompagnati, altresì unirsi ad un gruppo di dipendenti fingendo di esserne membro.

Il termine Tailgating implica quindi un accesso senza consenso mentre il Piggybacking, anche se molto simile, comporta un ingresso informalmente autorizzato poiché fa leva su un altro fattore di natura sociale: una persona non autorizzata tenta di accedere ad un’area off-limits presentandosi all’ingresso con un pacco o altro tra le mani dimostrandosi in difficoltà nel mostrare un’eventuale autorizzazione o badget.

L’obiettivo di ricreare questa situazione sociale è quello di far innescare ad una persona autorizzata un senso di dovere morale nell’aiutare una persona in difficoltà, tenendogli la porta aperta o utilizzando il proprio badge per consentirgli l’ingresso.

Una volta entrati in aree riservate potrebbe essere semplice accedere alla rete aziendale oppure ad informazioni sensibili passeggiando per i corridoi e facendo quello che in INTUITY abbiamo chiamato Anthropological Walk: un’attenta azione di osservazione e ascolto all’interno di un ambiente di lavoro per ottenere informazioni, password appuntate e appese in vista sui monitor, annotazioni di appuntamenti o altro che potrebbe servire per realizzare un attacco informatico ben studiato.

Altra tattica utilizzata nel Social Engineering è il Shoulder Surfing: spiare ciò che viene digitato su una tastiera o viene detto semplicemente mettendosi alle spalle di qualcuno.

Viene naturale chiedersi a questo punto che relazione ci possa essere tra attacco informatico e Impersonation: quali danni potrebbe realmente comportare all’azienda una tecnica di Social Engineering di questo tipo?

La risposta viene direttamente da Kevin Mitnik, hacker che con le sue capacità di Social Engineering ha messo a frutto innumerevoli attacchi informatici nei confronti di grandi multinazionali e del governo degli Stati Uniti.

Tratto dal documentario «Lo and Behold, Internet: il futuro è oggi» di Werner Herzog, USA 2016, il racconto di Kevin Mitnik e di come riuscì a portare a termine con successo un attacco informatico a Motorola grazie all’Impersonation.

Come possiamo proteggerci?

Seguendo alcune regole di buon senso e diffondendo in azienda un’appropriata Cultura della Sicurezza anche nei confronti di questi temi, è possibile difendersi da questi attacchi e proteggere meglio se stessi, la propria azienda e le informazioni dei propri clienti.

Qui di seguito alcuni suggerimenti:

  • Non comunicare mai le proprie password. Il personale di supporto tecnico non ha bisogno delle password o di altre informazioni relative all’accesso al proprio sistema.
  • Essere consapevoli di ciò che ci circonda. Assicurarsi di sapere chi è nel raggio di ascolto della propria conversazione o del proprio lavoro
  • Evitare di parlare di informazioni riservate in posti affollati o pubblici.
  • Garantire la sicurezza fisica dei locali aziendali chiedendosi sempre: “chi è quello e perché è qui?”.
  • Se non si è sicuri dell’autorizzazione o dell’autorizzazione di accesso di una persona, segnalare la situazione al personale appropriato.
  • Proteggere i documenti cartacei. Non lasciare documenti in giro. Utilizzare un trituratore per scartare i documenti indesiderati.
  • Adottare una buona dose di scetticismo per qualsiasi cosa fuori dall’ordinario, specialmente per gli estranei che si interessano a noi.
Impersonation: quando l’attacco informatico diventa fisico e relative contromisure