(Da Wikipedia, l’Encicolpedia Libera)

Slides:



Advertisements
Presentazioni simili
DEDICATO AGLI AMMINISTRATORI DI SISTEMA
Advertisements

Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.
La riduzione dei privilegi in Windows
INTERNET: RISCHI E PERICOLI
QUELLE DUE.
Riflessioni finali sulla posta elettronica. Mailing-list La posta elettronica è oggi il mezzo più veloce ed economico per comunicare. Non solo con una.
La sicurezza nel mondo Social Network dei
IL GENIO DELLA PORTA ACCANTO.
Il genio della porta accanto
Stamattina mi hanno chiamato in portineria: c’era qualcuno che aveva chiesto di me... Scendo e lo raggiungo in sala: era un signore distinto, probabilmente.
Costruire una Home Page La homepage rappresenta la vostra faccia nel mondo. I vostri clienti prima di iniziare qualche affare con voi cercheranno la vostra.
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
IL COLLOQUIO DI SELEZIONE
"In Internet non siamo in grado di selezionare, almeno a colpo docchio, fra una fonte credibile e una folle. Abbiamo bisogno di una.
ASP Lezione 1 Concetti di base. Introduzione ad ASP ASP (che è la sigla di Active Server Pages) è un ambiente di programmazione per le pagine web. La.
( qualche riflessione )
Social network Internet. Eun sito web di reti sociali, ad accesso gratuito. È il secondo sito più visitato al mondo, preceduto solo da Google. Il.
Una nota per voi Abbiamo creato questa presentazione appositamente per voi che siete dipendenti sempre attenti al tema della sicurezza informatica. Vogliamo.
Modulo 7 – reti informatiche u.d. 3 (syllabus – )
Restituzione questionario
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Dialogando con il Padre nostro.
Primo accesso Dimenticato la password? Navigare in piattaforma Come accedere a un corso.
Parlare per farsi ascoltare
Scrivere per il web Consigli pratici per lo sviluppo di contenuti, a cura di Aliacom.it.
Pro Recruiting La piattaforma per la selezione
SICUREZZA DEI DATI Panaro Emilia IV A SIA.
Chiamata Telecom…….
Modulo 4 Diritti & Doveri Diritti & Doveri Art. 118 Impegno Civico Movimento Cittadinanzattiva Movimento Cittadinanzattiva Perché si diventa cittadini.
Chiamata Telecom.
Primo accesso Dimenticato la password? Navigare in piattaforma Come accedere a un corso.
Corso Rapido Sicurezza Web STELMILIT Ufficio TLC Sezione Reti TLC C° 1^ ETE Matteo Cannito.
LA COMUNICAZIONE a cura di adminSB. COMUNICARE Comunicare con la società è cosa completamente diversa dal comunicare allinterno della propria cerchia.
Domande rivolte: 1.Chi eravate nel 1998, quando avete fondato Google? 2.Qual era il vostro obiettivo? 3.Volevate diventare ricchi? 4.Qual è stata.
Lazienda SCInformatica si occupa della progettazione e della realizzazione di sistemi informatici dedicati alle farmacie. Fornisce inoltre un servizio.
12 domande per scoprirlo Con … Alfonso Capone
Presentazione Data Base Ovvero: il paradigma LAPM (Linux - Apache - PHP - mySQL) come supporto Open Source ad un piccolo progetto di Data Base relazionale,
INTERVISTA AL DIRIGENTE
Lavori di gruppo sulla Mesopotamia
- Cosa sono i Servizi di Emergenza e di Prevenzione ? Sono Servizi On line : Servizio di Emergenza (Prevenzione). Servizio Controllo Cartella Assistenziale.
Alla fine degli anni quaranta nasceva il mito del cervello elettronico, e tutte le attività connesse allutilizzo del computer venivano indicate tramite.
Armento Flavia matr
Lettera di un padre triste....
Intervista al genio della porta accanto: Daniele..
(Chi ha mai detto che ormai chiunque è capace di usarne uno…?)
La telefonata di verifica
Registrazione alle istanze on-line
LA POSTA ELETTRONICA
PER PACKAGING –ITALIA.
Caso risolto. Mia figlia Concetta é scomparsa lo scorso 11 Ottobre alle 4 del pomeriggio. La polizia è stata avvisata la sera stessa; l'abbiamo cercata.
Automatismi Scacchistici
1 Meeting Formativo n° 1. 2 Analisi delle Obbiezioni.
Lezione 2 PROTEGGERE IL PC.
Spiegazione di alcuni concetti
Comunicazioni. 5.1 POSTA ELETTRONICA 5.1 POSTA ELETTRONICA.
Caso Risolto Caso Risolto Carissimi amici, Vi prego di leggere Attentamente quanto Segue, è una storia vera e può.
GRUPPO TELECOM ITALIA La gioia di vendere Colloquio di vendita Parte 2.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
Come risolvere il cubo di RUBIK
Indice CORSO INTERNET PRATICO A CURA DI LEONARDO CERRI MAGALI’ BONGIOVANNI.
Presentazione Servizi. Di Cosa Ci Occupiamo Hera02 cura per le Aziende i seguenti tre assetti: 1 – I servizi di Telecomunicazioni: Connessione Dati verso.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10.
IL COLLOQUIO DI SELEZIONE INDIVIDUALE
I sistemi operativi Funzioni principali e caratteristiche.
Phishing Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire.
Dal problema al programma – ciclo di sviluppo del software La scrittura del programma è solo una delle fasi del processo di sviluppo di un'applicazione.
Quando si è in strada Percorrete strade frequentate e illuminate ; Camminate sul marciapiede nel senso contrario di marcia dei veicoli; Tenete la borsa.
Introduzione al caso Tecnoweb “La Alfa s.r.l. si rivolge a Tecnoweb perché realizzi il sito web della società. Tecnoweb realizza il sito raggiungibile.
Come vivere al meglio ER Gestione di gruppo. 1.VOLERE BENE A CRISTO 2.VOLERE BENE AI RAGAZZI  Volere bene non significa tanto fare «smancerie» o semplice.
Transcript della presentazione:

(Da Wikipedia, l’Encicolpedia Libera) Ingegneria Sociale Studio del comportamento di una persona al fine di capirne informazioni (Da Wikipedia, l’Encicolpedia Libera) In realtà questa definizione del tutto giusta, precisamente l’Ingegneria Sociale è: Ingegneria Sociale (dall’inglese Social Enginneering) significa l’uso del proprio ascendente e delle capacità di persuasione per estrapolare delle informazioni ad una persona. Solitamente l’ingegnerie sociale si finge un’altra persona per riuscire a reperire le informazioni.

Introduzione: Materiale Un Fax, fondamentale per l’invio di documenti, che con molte probabilità sono realizzati sul momento per fingersi un’altra persona. Un computer munito di stampante e un buon programma di fotomontaggio, utile per produrre carte intestate, loghi, firme e come cosa più importate i documenti falsi. Un ambiente consono: il che significa che se telefonate al call center della società dei telefoni dicendo loro che siete un tecnico in strada non potete farlo chiamando dallo studio di casa in perfetto silenzio, né tanto meno dire che siete un tecnico di un call center ad una nostra vittima chiamando dalla cucina mentre vostra madre sta preparando la cena. Questo può sembrare scontato, ma i particolari sono fondamentali quando si millantano credenziali altrui.

Introduzione al Social Enginnering Un Social Enginner è molto bravo a nascondere la propria identità, fingendosi un’altra persona: in tal modo egli riesce a ricavare informazioni che non potrebbe ottenere con la sua identità reale. Nel caso sia un Hacker o cracker, può ricavare informazioni attinenti ad un sistema informatico. Il Social Engineering è quindi una tecnica per ricavare informazioni molto usata dagli Hacker e cracker.

Tecniche di attacco: Fase 1, Footprinting Footprinting: ovvero il reperimento e la raccolta delle informazioni necessarie per l’attacco vero e proprio. Whois sul sito della vittima Trashing Intrusione

Footprinting: Tecnica 1, Whois Se la vittima possiede un sito Web basterà semplicemente effettuare un Whois sul sull’indirizzo Web, il quale riporterà in modo assolutamente legale: nome, cognome, via e città di residenza, numero di telefono, etc… Inoltre controllando attentamente le pagine del sito Web è possibile ricavare: * La lista dei partner della società * Tutti gli indirizzi email inseriti * Tutti i banner “Powered by” * Le note di copyright, così da capire se il sito è realizzato direttamente dalla società o da una ditta esterna

Footprinting: Tecnica 2, Tashing Il trashing consiste nell’andare a “rovistare” nella spazzatura della vittima. Questo perchè è possibile, come la maggior parte delle volte accade, che la vittima abbia buttato via dei foglietti appuntate delle password, numeri di teleono, indirizzi, etc…

Footprinting: Tecnica 3, Intrusione Intrusione nell’azienda, ovvero un periodo nel quale il cracker, se ci riferiamo all’informatica, si infiltra nell’azienda e impara i sistemi di comunicazione aziendali, come funziona la posta interna, giorni e orari di pulizia. Frequenta gli uffici aziendali, magari consegna buste, caffè, acqua. Conosce e dialoga con gli addetti alla sicurezza, segretarie, webmaster, sistemisti.

Footprinting: Come avanzare… A questo punto è il momento di correlare un po’ di informazioni che abbiamo già ottenuto. È un ottima cosa utilizzare un motore di ricerca per darli in “pasto” i nomi e i cognomi di tutte le persone che avete reputato interessanti, seguiti subito dopo dal loro indirizzo di e-mail. Molto probabilmente troverete una valanga di informazioni, tra cui: News: Controllate tutti i newsgroup nei quali queste persone scrivono. Potreste trovare una marea di informazioni rimaste nella memoria storica di Internet. Tra questi dati controllate con una certa cura i newsgroup tecnici, nei quali potreste trovare marca/modello/versione del firewall aziendale, nonché stralci di configurazione. Siti web personali: Bè che dire… se trovate il sito web personale di una vostra vittima avrete a disposizione una marea di informazioni. Potreste persino mettervi in contatto con la vostra vittima grazie al suo sito, fingendo di essere interessati a della pubblicità sul suo sito o qualcosa di simile.

Il momento dell’attacco Facciamo finta che abbiamo raccolto dati a sufficienza sulla nostra vittima e che adesso vogliamo scoprire la password della sua casella di posta elettronica: possiamo agire in diversi modi, ma sicuramente quello che ha più probabilità di riuscita è una telefonata dove ci fingeremo un operatore del provider che offre la posta alla nostra vittima, ovviamente per questo tipo di attacco nella fase di FootPrinting dovremmo aver trovato il numero di telefono. A questo punto quindi più o meno agiremo così:

Il momento dell’attacco: Conversazione al telefono Attaccante: Buonasera Sig. Rossi, sono Franco del servizio assistenza ****, a causa dell’aggiornamento dei nostri server molti dati sono andati persi, quindi chiedo gentilmente la sua collaborazione per ripristinare il suo account e inserire nuovamente i dati… mi potrebbe confermare che il suo indirizzo è: **** Vittima: Si certo è quello. Attaccante: Bene, conferma che i dati inseriti al momento della registrazione sono: 10/01/1960 come data di nascita? Vittima: Si, si, esatto. Attaccante: Adesso può confermare che la sua password è marioemaria ?? Vittima: No, non è quella, se non erro è repot100 Attaccante: Ok, allora un secondo che controllo… il sistema non l’accetta, è sicuro? Vittima: Si, si, sono sicuro, ho effettuato l’accesso anche qualche ora fa quindi è quella Attaccante: Si ha ragione mi scusa, è stato un errore mio di battiutura Vittima: Non si preoccupi può capitare… Attaccante: La ringrazio per la sua collaborazione, il suo indirizzo di posta funziona alla perfezione. Le auguro una buona serata Vittima: Grazie a lei, buonasera.

Analisi dell’attacco: Il tono di voce Come prima cosa è importantissimo il tono della voce: una sonora “faccia di bronzo” è un requisito fondamentale, dato che ovviamente non si ci può mettere a ridere in faccia al nostro interlocutore. Inoltre è bene ricordarsi che il nostro tono di voce ed il nostro atteggiamento devono essere adeguati alla circostanza. Può sembrare scontato, ma ovviamente non useremo un tono arrogante se pretendiamo di essere un neo assunto che chiede al responsabile di un reparto la password per collegarsi, né tantomeno, faremo gli umili se chiamiamo un impiegato pretendendo di essere l’amministratore di sistema alla ricerca di informazioni su un account. Adeguiamoci al contento e cerchiamo di avere chiara la struttura aziendale e di conoscere la posizione del nostro interlocutore in relazione alla figura che stiamo interpretando.

Analisi dell’attacco: Il gergo Il gergo è una delle armi migliori e nel contempo un grosso problema per l’attaccante. Un gergo tecnico molto criptico, intercalato dalle spiegazioni semplici è un ottimo metodo per intimidire un comune utente. Al contrario è necessario prestare particolare attenzione quando si parla con un responsabile fingendo di essere un neo assunto o un comune utente. Anni di esperienza possono aver radicato così profondamente un gergo molto tecnico all’interno del nostro linguaggio che potrebbe essere difficile esprimersi con termini non propri. Per fare un semplice esempio vi dirò adesso un paio di parole confrontandole con il loro significato comune: NT-1 ------- Scatola grigia sul muro Router ------- Scatola piena di luci per collegarsi alla rete Collegamento HDSL ------ Connessione ad Internet

Attenzione: Errori nella conversazione Inoltre bisogna resistere alla tentazione di spiegare eventuali errori che vi siete inventati per improvvisare la comunicazione. La frase odiata da qualunque reparto di assistenza tecnica è: “si è piantato tutto” o “non funziona niente”. La naturalezza è alla base di tutto, controllate quelle che combinate quando siete costretti a parlare con un po’ di nervosismo addosso. Niente fiumi di parole, niente pause eterne, niente balbettii o altro. Ma state pure attenti ad una eccessiva scorrevolezza, che da più una sensazione di nervosismo che di una persona normale. E se commettete un errore? E se non sapete cosa dire? Non vi preoccupate, andate avanti come nulla fosse, altrimenti non farete altro che rimarcare il problema, inoltre anche gli addetti della stessa azienda possono commettere errori, quindi non c’è di che preoccuparsi.

Rapporto di fiducia: Base comune Un buon ingegnerie sociale deve necessariamente avere una panoramica dettagliata dell’ambiente in cui lavora e si ritrova la sua vittima. Tutto questo è necessario per creare un rapporto di fiducia a far sì che si abbassino le difese personali inconsce. È infatti assolutamente scontato che, ad esempio, siamo molto più propensi a fornire informazioni, anche banali come può essere l’ora attuale, ad un nostro collega di lavoro appena assunto piuttosto che ad uno sconosciuto per strada. La differenza tra le due situazioni infatti è giustificabile da quella che si chiama “base comune”. Una “base comune” tra due individui è in grado di far sì che la diffidenza tra le due persone venga abbassata a livelli accettabili. La cosa interessante però è che la “base comune” non deve essere necessariamente qualcosa di concreto come un’amicizia o il rapporto di parentela, può essere qualcosa di assolutamente semplice, come una sensazione, un sorriso, una gentilezza. Se ci pensiamo bene siamo più propensi a parlare con una persona ben vestita ed educata piuttosto che con una persona sporca e maleducata.

Base comune: Come fondarla Per fondare questa “base comune” è importante quindi conoscere la nostra vittima. Poniamo quindi di voler estorcere delle informazioni dal Sig. Rossi che lavora in una filiale della “Elettronica Italia” (società inesistente). Prima di contattare la persona in questione dobbiamo almeno conoscere: Cosa fa e cosa produce la “Elettronica Italia” Dove ha le principali filiali Com’è organizzata La relazione che questa azienda ha con le altre Conoscere i principali fornitori della “Elettronica Italia” La posizione nell’azienda del Sig.Rossi A questo punto, a seconda delle informazioni in nostro possesso possiamo fingere di essere: Un neo assunto della stessa filiale Un dipendente di un’altra filiale Un fornitore in cerca di spiegazioni Un cliente Un rappresentate di un’azienda collaboratrice Un dipendente di un’azienda collaboratrice

Chi attaccare: Le vittime migliori La segretaria dell’amministrazione delegato. Solitamente questa figura legge e gestisce la posta, i contatti, etc… Il suo computer è un archivio enorme di informazioni importantissime per l’ingegnerie sociale. Inoltre il suo indirizzo e-mail è in grado di legittimare anche le comunicazioni più strane. Se riuscite a farvi mandare una mail avrete tra le mani un’ottima chiave di accesso per tutti i livelli dell’azienda. Perché? Perché è possibile camuffare la vostra e-mail con quella della segreteria… Le persone al centralino/portineria Questa figura ha la visibilità completa di chi entra e di chi esce dall’azienda, inoltre smistano tutto il giorno: visitatori, tecnici, trasportatori e inoltre sono degli esperti di dove si trovano: depositi, apparati, sale server, contatori e altro.

Secondo attacco: Eludere il antivirus/firewall Per fare un attacco del genere dobbiamo: Scoprire che software antivirus utilizza l’azienda Controllare che esista una segreteria nella quale si trovino i dati che ci servano A questo punto, facciamo finta di aver scoperto che il software antivirus che viene utilizzato è Norton. Realizziamo quindi una pagina web fasulla simile a quella ufficiale del software Norton. Inseriamo in questa pagina web un software precedentemente realizzato che permette di entrare nel computer della nostra vittima dopo che viene lanciato.

Secondo attacco: Conversazione Dopo aver preparato tutto ciò telefoniamo al centralino e facciamoci passare la segreteria. Gli spieghiamo che eravamo un sistemista di un altro ufficio collegato e che da un paio di giorni avevamo ricevuto una serie di e-mail contenenti un nuovo worm e proveniente specialmente da quel computer. La segreteria a questo punto molto probabilmente andrà in crisi, soprattutto se alimentiamo questa crisi dicendo che tutto ciò è pericolosissimo poiché un utente con pochi scrupoli potrebbe avere accesso a tutti i documenti riservati che si trovano in quel computer. La rassicuriamo però e la facciamo dirigere sul sito web fasullo che avevamo precedentemente preparato e le facciamo fare il download del trojan. Dopo averli fatto lanciare il programma gli diciamo che il computer deve rimanere acceso tutta la notte così che il software potesse verificare che il worm non reinfettasse nuovamente la macchina.

CONCLUSIONI: . Sia dagli Hacker sia dagli esperti di sicurezza è una tecnica che troppo spesso viene sottovalutata o dimenticata. Soprattutto per coloro che devono occuparsi della sicurezza in un sistema informativo, è una mancanza particolarmente grave dato che tramite questa è possibile ottenere informazioni vitali e ridurre drasticamente i tempi di un attacco informativo, eludendo tutti i sistemi di sicurezza che sono montanti. Insomma… potete installare sui vostri server i migliori programmi al mondo, ma è importante anche educare il personale che ci lavora, altrimenti è come avere una cassaforte con la combinazione riportata sopra di essa.

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.