La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

(Da Wikipedia, l’Encicolpedia Libera)

PubblicatoPalmiro Chiari Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "(Da Wikipedia, l’Encicolpedia Libera)"— Transcript della presentazione:

1 (Da Wikipedia, l’Encicolpedia Libera)
Ingegneria Sociale Studio del comportamento di una persona al fine di capirne informazioni (Da Wikipedia, l’Encicolpedia Libera) In realtà questa definizione del tutto giusta, precisamente l’Ingegneria Sociale è: Ingegneria Sociale (dall’inglese Social Enginneering) significa l’uso del proprio ascendente e delle capacità di persuasione per estrapolare delle informazioni ad una persona. Solitamente l’ingegnerie sociale si finge un’altra persona per riuscire a reperire le informazioni.

2 Introduzione: Materiale
Un Fax, fondamentale per l’invio di documenti, che con molte probabilità sono realizzati sul momento per fingersi un’altra persona. Un computer munito di stampante e un buon programma di fotomontaggio, utile per produrre carte intestate, loghi, firme e come cosa più importate i documenti falsi. Un ambiente consono: il che significa che se telefonate al call center della società dei telefoni dicendo loro che siete un tecnico in strada non potete farlo chiamando dallo studio di casa in perfetto silenzio, né tanto meno dire che siete un tecnico di un call center ad una nostra vittima chiamando dalla cucina mentre vostra madre sta preparando la cena. Questo può sembrare scontato, ma i particolari sono fondamentali quando si millantano credenziali altrui.

3 Introduzione al Social Enginnering
Un Social Enginner è molto bravo a nascondere la propria identità, fingendosi un’altra persona: in tal modo egli riesce a ricavare informazioni che non potrebbe ottenere con la sua identità reale. Nel caso sia un Hacker o cracker, può ricavare informazioni attinenti ad un sistema informatico. Il Social Engineering è quindi una tecnica per ricavare informazioni molto usata dagli Hacker e cracker.

4 Tecniche di attacco: Fase 1, Footprinting
Footprinting: ovvero il reperimento e la raccolta delle informazioni necessarie per l’attacco vero e proprio. Whois sul sito della vittima Trashing Intrusione

5 Footprinting: Tecnica 1, Whois
Se la vittima possiede un sito Web basterà semplicemente effettuare un Whois sul sull’indirizzo Web, il quale riporterà in modo assolutamente legale: nome, cognome, via e città di residenza, numero di telefono, etc… Inoltre controllando attentamente le pagine del sito Web è possibile ricavare: * La lista dei partner della società * Tutti gli indirizzi inseriti * Tutti i banner “Powered by” * Le note di copyright, così da capire se il sito è realizzato direttamente dalla società o da una ditta esterna

6 Footprinting: Tecnica 2, Tashing
Il trashing consiste nell’andare a “rovistare” nella spazzatura della vittima. Questo perchè è possibile, come la maggior parte delle volte accade, che la vittima abbia buttato via dei foglietti appuntate delle password, numeri di teleono, indirizzi, etc…

7 Footprinting: Tecnica 3, Intrusione
Intrusione nell’azienda, ovvero un periodo nel quale il cracker, se ci riferiamo all’informatica, si infiltra nell’azienda e impara i sistemi di comunicazione aziendali, come funziona la posta interna, giorni e orari di pulizia. Frequenta gli uffici aziendali, magari consegna buste, caffè, acqua. Conosce e dialoga con gli addetti alla sicurezza, segretarie, webmaster, sistemisti.

8 Footprinting: Come avanzare…
A questo punto è il momento di correlare un po’ di informazioni che abbiamo già ottenuto. È un ottima cosa utilizzare un motore di ricerca per darli in “pasto” i nomi e i cognomi di tutte le persone che avete reputato interessanti, seguiti subito dopo dal loro indirizzo di . Molto probabilmente troverete una valanga di informazioni, tra cui: News: Controllate tutti i newsgroup nei quali queste persone scrivono. Potreste trovare una marea di informazioni rimaste nella memoria storica di Internet. Tra questi dati controllate con una certa cura i newsgroup tecnici, nei quali potreste trovare marca/modello/versione del firewall aziendale, nonché stralci di configurazione. Siti web personali: Bè che dire… se trovate il sito web personale di una vostra vittima avrete a disposizione una marea di informazioni. Potreste persino mettervi in contatto con la vostra vittima grazie al suo sito, fingendo di essere interessati a della pubblicità sul suo sito o qualcosa di simile.

9 Il momento dell’attacco
Facciamo finta che abbiamo raccolto dati a sufficienza sulla nostra vittima e che adesso vogliamo scoprire la password della sua casella di posta elettronica: possiamo agire in diversi modi, ma sicuramente quello che ha più probabilità di riuscita è una telefonata dove ci fingeremo un operatore del provider che offre la posta alla nostra vittima, ovviamente per questo tipo di attacco nella fase di FootPrinting dovremmo aver trovato il numero di telefono. A questo punto quindi più o meno agiremo così:

10 Il momento dell’attacco: Conversazione al telefono
Attaccante: Buonasera Sig. Rossi, sono Franco del servizio assistenza ****, a causa dell’aggiornamento dei nostri server molti dati sono andati persi, quindi chiedo gentilmente la sua collaborazione per ripristinare il suo account e inserire nuovamente i dati… mi potrebbe confermare che il suo indirizzo è: **** Vittima: Si certo è quello. Attaccante: Bene, conferma che i dati inseriti al momento della registrazione sono: 10/01/1960 come data di nascita? Vittima: Si, si, esatto. Attaccante: Adesso può confermare che la sua password è marioemaria ?? Vittima: No, non è quella, se non erro è repot100 Attaccante: Ok, allora un secondo che controllo… il sistema non l’accetta, è sicuro? Vittima: Si, si, sono sicuro, ho effettuato l’accesso anche qualche ora fa quindi è quella Attaccante: Si ha ragione mi scusa, è stato un errore mio di battiutura Vittima: Non si preoccupi può capitare… Attaccante: La ringrazio per la sua collaborazione, il suo indirizzo di posta funziona alla perfezione. Le auguro una buona serata Vittima: Grazie a lei, buonasera.

11 Analisi dell’attacco: Il tono di voce
Come prima cosa è importantissimo il tono della voce: una sonora “faccia di bronzo” è un requisito fondamentale, dato che ovviamente non si ci può mettere a ridere in faccia al nostro interlocutore. Inoltre è bene ricordarsi che il nostro tono di voce ed il nostro atteggiamento devono essere adeguati alla circostanza. Può sembrare scontato, ma ovviamente non useremo un tono arrogante se pretendiamo di essere un neo assunto che chiede al responsabile di un reparto la password per collegarsi, né tantomeno, faremo gli umili se chiamiamo un impiegato pretendendo di essere l’amministratore di sistema alla ricerca di informazioni su un account. Adeguiamoci al contento e cerchiamo di avere chiara la struttura aziendale e di conoscere la posizione del nostro interlocutore in relazione alla figura che stiamo interpretando.

12 Analisi dell’attacco: Il gergo
Il gergo è una delle armi migliori e nel contempo un grosso problema per l’attaccante. Un gergo tecnico molto criptico, intercalato dalle spiegazioni semplici è un ottimo metodo per intimidire un comune utente. Al contrario è necessario prestare particolare attenzione quando si parla con un responsabile fingendo di essere un neo assunto o un comune utente. Anni di esperienza possono aver radicato così profondamente un gergo molto tecnico all’interno del nostro linguaggio che potrebbe essere difficile esprimersi con termini non propri. Per fare un semplice esempio vi dirò adesso un paio di parole confrontandole con il loro significato comune: NT  Scatola grigia sul muro Router  Scatola piena di luci per collegarsi alla rete Collegamento HDSL  Connessione ad Internet

13 Attenzione: Errori nella conversazione
Inoltre bisogna resistere alla tentazione di spiegare eventuali errori che vi siete inventati per improvvisare la comunicazione. La frase odiata da qualunque reparto di assistenza tecnica è: “si è piantato tutto” o “non funziona niente”. La naturalezza è alla base di tutto, controllate quelle che combinate quando siete costretti a parlare con un po’ di nervosismo addosso. Niente fiumi di parole, niente pause eterne, niente balbettii o altro. Ma state pure attenti ad una eccessiva scorrevolezza, che da più una sensazione di nervosismo che di una persona normale. E se commettete un errore? E se non sapete cosa dire? Non vi preoccupate, andate avanti come nulla fosse, altrimenti non farete altro che rimarcare il problema, inoltre anche gli addetti della stessa azienda possono commettere errori, quindi non c’è di che preoccuparsi.

14 Rapporto di fiducia: Base comune
Un buon ingegnerie sociale deve necessariamente avere una panoramica dettagliata dell’ambiente in cui lavora e si ritrova la sua vittima. Tutto questo è necessario per creare un rapporto di fiducia a far sì che si abbassino le difese personali inconsce. È infatti assolutamente scontato che, ad esempio, siamo molto più propensi a fornire informazioni, anche banali come può essere l’ora attuale, ad un nostro collega di lavoro appena assunto piuttosto che ad uno sconosciuto per strada. La differenza tra le due situazioni infatti è giustificabile da quella che si chiama “base comune”. Una “base comune” tra due individui è in grado di far sì che la diffidenza tra le due persone venga abbassata a livelli accettabili. La cosa interessante però è che la “base comune” non deve essere necessariamente qualcosa di concreto come un’amicizia o il rapporto di parentela, può essere qualcosa di assolutamente semplice, come una sensazione, un sorriso, una gentilezza. Se ci pensiamo bene siamo più propensi a parlare con una persona ben vestita ed educata piuttosto che con una persona sporca e maleducata.

15 Base comune: Come fondarla
Per fondare questa “base comune” è importante quindi conoscere la nostra vittima. Poniamo quindi di voler estorcere delle informazioni dal Sig. Rossi che lavora in una filiale della “Elettronica Italia” (società inesistente). Prima di contattare la persona in questione dobbiamo almeno conoscere: Cosa fa e cosa produce la “Elettronica Italia” Dove ha le principali filiali Com’è organizzata La relazione che questa azienda ha con le altre Conoscere i principali fornitori della “Elettronica Italia” La posizione nell’azienda del Sig.Rossi A questo punto, a seconda delle informazioni in nostro possesso possiamo fingere di essere: Un neo assunto della stessa filiale Un dipendente di un’altra filiale Un fornitore in cerca di spiegazioni Un cliente Un rappresentate di un’azienda collaboratrice Un dipendente di un’azienda collaboratrice

16 Chi attaccare: Le vittime migliori
La segretaria dell’amministrazione delegato. Solitamente questa figura legge e gestisce la posta, i contatti, etc… Il suo computer è un archivio enorme di informazioni importantissime per l’ingegnerie sociale. Inoltre il suo indirizzo è in grado di legittimare anche le comunicazioni più strane. Se riuscite a farvi mandare una mail avrete tra le mani un’ottima chiave di accesso per tutti i livelli dell’azienda. Perché? Perché è possibile camuffare la vostra con quella della segreteria… Le persone al centralino/portineria Questa figura ha la visibilità completa di chi entra e di chi esce dall’azienda, inoltre smistano tutto il giorno: visitatori, tecnici, trasportatori e inoltre sono degli esperti di dove si trovano: depositi, apparati, sale server, contatori e altro.

17 Secondo attacco: Eludere il antivirus/firewall
Per fare un attacco del genere dobbiamo: Scoprire che software antivirus utilizza l’azienda Controllare che esista una segreteria nella quale si trovino i dati che ci servano A questo punto, facciamo finta di aver scoperto che il software antivirus che viene utilizzato è Norton. Realizziamo quindi una pagina web fasulla simile a quella ufficiale del software Norton. Inseriamo in questa pagina web un software precedentemente realizzato che permette di entrare nel computer della nostra vittima dopo che viene lanciato.

18 Secondo attacco: Conversazione
Dopo aver preparato tutto ciò telefoniamo al centralino e facciamoci passare la segreteria. Gli spieghiamo che eravamo un sistemista di un altro ufficio collegato e che da un paio di giorni avevamo ricevuto una serie di contenenti un nuovo worm e proveniente specialmente da quel computer. La segreteria a questo punto molto probabilmente andrà in crisi, soprattutto se alimentiamo questa crisi dicendo che tutto ciò è pericolosissimo poiché un utente con pochi scrupoli potrebbe avere accesso a tutti i documenti riservati che si trovano in quel computer. La rassicuriamo però e la facciamo dirigere sul sito web fasullo che avevamo precedentemente preparato e le facciamo fare il download del trojan. Dopo averli fatto lanciare il programma gli diciamo che il computer deve rimanere acceso tutta la notte così che il software potesse verificare che il worm non reinfettasse nuovamente la macchina.

19 CONCLUSIONI: . Sia dagli Hacker sia dagli esperti di sicurezza è una tecnica che troppo spesso viene sottovalutata o dimenticata. Soprattutto per coloro che devono occuparsi della sicurezza in un sistema informativo, è una mancanza particolarmente grave dato che tramite questa è possibile ottenere informazioni vitali e ridurre drasticamente i tempi di un attacco informativo, eludendo tutti i sistemi di sicurezza che sono montanti. Insomma… potete installare sui vostri server i migliori programmi al mondo, ma è importante anche educare il personale che ci lavora, altrimenti è come avere una cassaforte con la combinazione riportata sopra di essa.

Scaricare ppt "(Da Wikipedia, l’Encicolpedia Libera)"

Presentazioni simili

DEDICATO AGLI AMMINISTRATORI DI SISTEMA

DEDICATO AGLI AMMINISTRATORI DI SISTEMA
Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.

Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.
La riduzione dei privilegi in Windows

La riduzione dei privilegi in Windows
INTERNET: RISCHI E PERICOLI

INTERNET: RISCHI E PERICOLI
QUELLE DUE.

QUELLE DUE.
Riflessioni finali sulla posta elettronica. Mailing-list La posta elettronica è oggi il mezzo più veloce ed economico per comunicare. Non solo con una.

Riflessioni finali sulla posta elettronica. Mailing-list La posta elettronica è oggi il mezzo più veloce ed economico per comunicare. Non solo con una.
La sicurezza nel mondo Social Network dei

La sicurezza nel mondo Social Network dei
IL GENIO DELLA PORTA ACCANTO.

IL GENIO DELLA PORTA ACCANTO.
Il genio della porta accanto

Il genio della porta accanto
Stamattina mi hanno chiamato in portineria: c’era qualcuno che aveva chiesto di me... Scendo e lo raggiungo in sala: era un signore distinto, probabilmente.

Stamattina mi hanno chiamato in portineria: c’era qualcuno che aveva chiesto di me... Scendo e lo raggiungo in sala: era un signore distinto, probabilmente.
Costruire una Home Page La homepage rappresenta la vostra faccia nel mondo. I vostri clienti prima di iniziare qualche affare con voi cercheranno la vostra.

Costruire una Home Page La homepage rappresenta la vostra faccia nel mondo. I vostri clienti prima di iniziare qualche affare con voi cercheranno la vostra.
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.

Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
IL COLLOQUIO DI SELEZIONE

IL COLLOQUIO DI SELEZIONE
Www.maddalenad.it. In Internet non siamo in grado di selezionare, almeno a colpo docchio, fra una fonte credibile e una folle. Abbiamo bisogno di una.

"In Internet non siamo in grado di selezionare, almeno a colpo docchio, fra una fonte credibile e una folle. Abbiamo bisogno di una.
ASP Lezione 1 Concetti di base. Introduzione ad ASP ASP (che è la sigla di Active Server Pages) è un ambiente di programmazione per le pagine web. La.

ASP Lezione 1 Concetti di base. Introduzione ad ASP ASP (che è la sigla di Active Server Pages) è un ambiente di programmazione per le pagine web. La.
( qualche riflessione )

( qualche riflessione )
Social network Internet. Eun sito web di reti sociali, ad accesso gratuito. È il secondo sito più visitato al mondo, preceduto solo da Google. Il.

Social network Internet. Eun sito web di reti sociali, ad accesso gratuito. È il secondo sito più visitato al mondo, preceduto solo da Google. Il.
Una nota per voi Abbiamo creato questa presentazione appositamente per voi che siete dipendenti sempre attenti al tema della sicurezza informatica. Vogliamo.

Una nota per voi Abbiamo creato questa presentazione appositamente per voi che siete dipendenti sempre attenti al tema della sicurezza informatica. Vogliamo.
Modulo 7 – reti informatiche u.d. 3 (syllabus – )

Modulo 7 – reti informatiche u.d. 3 (syllabus – )
Restituzione questionario

Restituzione questionario

Presentazioni simili

Annunci Google