Store
|
Contatti Norman
|
Informazioni su Norman
|
Selezionare il paese
Corporate
Norge
France
Deutschland
Sverige
Danmark
Suomi
Nederland
Schweiz
España
United States
United Kingdom
Italia
Sicurezza IT proattiva
Utenza domestica Aziende di piccole / medie dimensioni Imprese La tecnologia Norman Centro di sicurezza Norman come partner aziendale Supporto   Web Partner
Home
>
Centro di sicurezza
>
Articoli sulla sicurezza - archivio
>
2009
>
Una nuova interpretazione virtuale del social engineering
Norman SandBox center
Inviare file per l'analisi SandBox [EN]
Ricercare nel database di analisi del malware [EN]
Visualizzare le analisi SandBox più recenti [EN]
Statistiche sui malware[EN]
Descrizione dei virus [EN]
Articoli sulla sicurezza - archivio
Tipi di malware [EN]
Livello di pericolosità [EN]
Minacce attuali di virus
Blog sulla sicurezza [EN]
Statistiche sulla posta elettronica [EN]
Testi, white paper generici ed altro

Una nuova interpretazione virtuale del social engineering

2009-02-13 [Discussione sui malware, Meccanismi di diffusione, Social engineering]

Introduzione

Fin da quando è stata inventata la truffa (ai tempi del serpente nel Giardino dell'Eden descritto nella Bibbia) le tecniche di social engineering sono sempre state utilizzate per ingannare qualcuno. Le varie tecniche sono diventate sempre più ingegnose e sofisticate, sebbene continuino a basarsi su semplici variazioni delle buone vecchie tecniche.

Secondo Wikipedia, il social engineering in fatto di sicurezza consiste nell

atto di raggirare le persone per far loro eseguire determinate azioni o divulgare informazioni riservate. 

Il social engineering è stato discusso sotto vari aspetti in molti dei nostri articoli sulla sicurezza. Questa volta ne parleremo valutandolo da un'angolazione diversa: quella tradizionale, con una nuova interpretazione piuttosto ingegnosa.

Un intervento pubblicato sull'agenda del SANS Institute

Lo scorso 3 febbraio è stato pubblicato nell'agenda del SANS Institute un intervento su un'infezione da malware che ha avuto origine da semplici volantini. In breve, la tecnica utilizzata consisteva nel lasciare volantini sui parabrezza delle auto all'interno di un parcheggio. Il testo sui volantini incitava, in modo ingannevole, i proprietari delle auto a visitare un determinato sito Web dannoso, che avrebbe successivamente infettato i computer dei visitatori tramite software pericoloso.

Questo è un esempio interessante, che dimostra come sia possibile utilizzare tecniche di social engineering "manuali" (lasciando fisicamente i volantini sulle auto) per ingannare i propri bersagli in una particolare arena elettronica (uno speciale sito Web).

Quel particolare sito Web e il malware distribuito non ricoprono un ruolo di particolare interesse nella nostra discussione. Ciò su cui concentreremo la nostra attenzione sarà, invece, la tecnica utilizzata e le relative implicazioni, utilità e limiti.

Malware mirato

Le tecniche tradizionalmente utilizzate per la diffusione del malware consistono, ad esempio, nell'invio di massa di messaggi di posta elettronica, in infezioni Web istantanee e così via. L'unico punto che accomuna le varie tecniche è che la persona o l'organizzazione che dà inizio all'attacco generalmente non sa chi effettivamente verrà infettato. Pertanto, alcuni dei messaggi risulteranno spesso ridicoli per gran parte dei destinatari, in quanto è assolutamente palese che si tratta di tentativi che hanno lo scopo di ingannare persone con altre caratteristiche. D'altro canto, il vantaggio della distribuzione elettronica di massa è che i costi sono talmente bassi, che non è importante se la maggior parte dei messaggi non ottiene risultati; la cosa importante è che vi sia comunque una parte di successi.

Recentemente, è stato registrato un notevole aumento di attacchi più mirati, il cui intento è spesso quello dello spionaggio industriale. La posta elettronica è stata uno dei principali vettori di diffusione di questo genere di attacchi, il cui vantaggio è dato dalla possibilità di personalizzare il contenuto in base ai bersagli, rendendo il messaggio più allettante per i destinatari. Dall'altro lato, lo svantaggio è che il malintenzionato ha bisogno di più tempo e più risorse per raccogliere gli indirizzi dei propri bersagli e altre caratteristiche allo scopo di realizzare l'attacco.

Ovviamente il social engineering manuale, applicato a Internet, non può essere utilizzato per qualunque tipo di distribuzione di massa, in quanto i costi necessari per raggiungere molte persone sono decisamente troppo elevati.

Tuttavia, il potenziale di un attacco mirato è enorme!

Enigmi ingegnosi alla vecchia maniera (precedenti all'avvento di Internet), utilizzati allo scopo di incitare i dipendenti a visitare uno speciale sito Web (dannoso), offrono un potenziale molto buono per un sostanziale "hit rate". I sistemi per l'impostazione di siti Web illeciti non rientrano nell'ambito di questo articolo. Ci basterà dire che sono molti e possono includere minime variazioni del nome di dominio di un'organizzazione legittima (ad esempio, .net anziché .com), con continue modifiche degli indirizzi IP del server Web che ospita il sito Web illegittimo.

Lo scopo dell'attacco manuale iniziale è chiaramente quello di ingannare alcuni utenti incitandoli a visitare un sito Web con contenuto dannoso, preferibilmente dal computer dell'ufficio. Il computer può quindi essere infettato da malware speciale destinato a una determinata organizzazione. Il vero scopo dell'attacco può essere quello di ottenere informazioni riservate, di bloccare i sistemi di un'organizzazione e così via. Qualunque azione questo software possa eseguire è, in linea di principio, possibile.

Alcuni vettori di attacco

Solo l'immaginazione limita le variazioni delle tecniche di social engineering che è possibile utilizzare contro un'organizzazione. Di seguito sono riportati alcuni esempi:

  • Volantini, distribuiti ai dipendenti all'arrivo sul posto di lavoro, che li informano di avere ottime possibilità di vincere una lotteria tra le 9:00 e le 10:00 di quella stessa mattina, semplicemente visitando un sito Web e registrandosi.
  • L'opuscolo di un prodotto allettante informa i dipendenti che le prime 100 persone che si registreranno online per ricevere una versione di valutazione gratuita di un mese relativa a un particolare quotidiano o rivista vinceranno un abbonamento annuale.
  • Un depliant professionale informa chi lo legge delle ottime possibilità di vincere l'ultimo modello dell'irrinunciabile e notissimo dispositivo musicale del momento. Basta visitare il sito Web fornito e inserire il proprio numero di telefono. A ogni ventesimo numero di telefono inserito verrà offerto il premio...

Possibilità di danni collaterali

Questo articolo ha analizzato l'utilizzo di tecniche di attacchi mirati contro un'organizzazione. Poiché l'attacco stesso può comportare l'inserimento di informazioni personali su un sito Web (per rendere l'attacco ancora più convincente), il malintenzionato può ovviamente utilizzare tali informazioni personali del dipendente per altre attività, non necessariamente correlate alla diffusione di codici dannosi, come, ad esempio, il furto d'identità.

Nuove tecniche di distribuzione riducono le difese dei bersagli  

Negli articoli sulla sicurezza precedenti, ad esempio l'articolo sul malware di Facebook, si è discusso del fatto che quando un nuovo mezzo di comunicazione viene utilizzato come veicolo di diffusione del malware, il potenziale dei nostri meccanismi di difesa viene istantaneamente ridotto. Questa tecnica di social engineering, in combinazione con una passeggiata nel mondo virtuale, ne è un altro esempio. Non abbiamo l'abitudine di temere il malware proveniente da un collegamento scritto, pertanto non siamo molto meticolosi a tale riguardo. È strano, ma disgraziatamente vero.

Per concludere esattamente nello stesso modo dell'articolo sul malware di Facebook al quale abbiamo accennato in precedenza:

Dobbiamo imparare a fare una migliore distinzione tra messaggi legittimi e illegittimi, indipendentemente dallo strumento di comunicazione utilizzato per visualizzarli.

Questa è la regola generale da applicare!

Articoli sulla sicurezza correlati

Number of vulnerabilities on the rise [en]
A plethora of malware for mobile phones to be expected soon (?) [en]
Self-protection from malware - part II [en]
Self-protection from malware - part I [en]
Exploits for .LNK vulnerability are growing fast (UPDATED 3 August) [en]
RSS FEEDS
Latest Security articles
Latest Blog items
Latest News
Latest Support issues
Current Virus treats
Privacy di Norman
|
Contratto di licenza [EN]
|
Marchi
|
Mappa del sito
FacebookTwitterYouTubeLinkedIn