Gli attacchi di social engineering e human hacking risultano pericolosi perché non tecnici. Indipendentemente dalle misure di sicurezza multilivello implementate su un certo perimetro organizzativo, è sempre possibile prendere di mira (e sfruttare efficacemente) alcune “tare” presenti nella natura umana: la fiducia negli altri e la reciprocità, la dissonanza cognitiva, l’ignoranza o la mancanza di conoscenza, l’istinto gregario (e il disagio nel contravvenire ad un ordine), l’utilitarismo.
I target più comuni risultano pertanto essere gli operatori posti ai “confini” del perimetro organizzativo, come receptionist e personale di help desk, clienti e fornitori dell’organizzazione, ma anche i profili con un accesso privilegiato, come gli amministratori di sistema, il supporto tecnico e via dicendo.
Una volta aperto il varco con tecniche di social engineering e human hacking, è possibile veicolare un qualsiasi vettore malevolo, generando impatti negativi generalizzati: perdite economiche, danni reputazionali, incapacità di garantire le proprietà CIA (Confidentiality, Integrity, Availability) del dato come informazione, potenziale perdita di continuità operativa, conseguenze sui diritti e le libertà delle persone.
Indice degli argomenti
Social engineering e human hacking: variabili intervenienti
Le variabili utili per determinare il grado di esposizione di un’organizzazione alla minaccia dell’ingegneria sociale potrebbero essere schematizzate (senza pretesa di esaustività) nelle seguenti:
- la dimensione dell’organizzazione: l’eventuale presenza di diverse unità operative collegate in una qualche fase di processo, aumenta la probabilità, per l’attaccante, di intromettersi nei flussi di comunicazione e di coordinamento;
- la presenza/assenza di policy documentate e di controlli organizzativi: lasciare un processo operativo alla discrezionalità dell’operatore umano aumenta il potenziale distruttivo di un attacco riuscito;
- un accesso al patrimonio informativo non regolato dal punto di vista tecnico e sistemistico: se il profilo di accesso della risorsa umana agli asset informativi aziendali non risulta minimizzato, cioè ispirato al principio del minimo privilegio, l’eventuale violazione avrà un impatto generalizzato e non circoscritto;
- la mancanza di sessioni/training di formazione: se il vertice organizzativo non fornisce alla risorsa umana gli strumenti per riconoscere i pattern di attacco e per rispondere di conseguenza, la probabilità di occorrenza della minaccia aumenta;
- la mancanza di sensibilità e di consapevolezza del vertice aziendale: spesso l’organizzazione si limita ad implementare misure tecniche di sicurezza e a dare istruzioni “in negativo” su azioni da non fare, senza considerare che gli asset di trattamento non sono solo meccanico-informatici ma anche umani, le cui strategie cognitive, che collegano ragionamento e comportamento, pensiero e azione, sono caratterizzate da una relazione non-lineare.
Social engineering e human hacking: schemi di classificazione
In un articolo del 2014 pubblicato sul Journal of Information Security and Application, Hobel, Weippl e Huber propongono una tassonomia degli attacchi di social engineering basata su tre variabili. La prima è rappresentata dal canale utilizzato (Channel) per compiere l’attacco. Questo potrebbe essere:
- e-mail (il Rapporto Clusit 2018 rileva un aumento delle mail di phishing e reverse social engineering del 34,21 % tra il 2016 e il 2017);
- chat e canali di messaggeria istantanea, utilizzati spesso e con facilità da profili fake, accuratamente costruiti nella fase di pretext e costruzione dello scenario;
- telefono, mezzo che, pur mantenendo la distanza (facilitando il camuffamento) dalla vittima, è in grado di approssimarsi maggiormente all’interazione fisica;
- social network, uno spazio veramente privilegiato per gli attaccanti: all’interno delle piattaforme social è possibile non solo accedere con facilità alle più svariate informazioni, anche dettagliate e in certi casi riservate, spontaneamente condivise dagli utenti, ma anche conoscere quali sono i collegamenti della vittima e, semplicemente osservando i commenti e l’interazione, dedurne il grado di affinità e di confidenzialità. È possibile quindi scegliere un profilo da emulare, costruirne uno fake identico e, attraverso il secondo, perpetrare l’attacco, senza passare per la fase di costruzione della relazione.
- servizi cloud: l’attaccante potrebbe simulare l’offerta di un servizio in cloud e rilasciare all’interno della risorsa, incautamente acquistata dalla vittima, un agente malevolo. Oppure potrebbe impersonificare un provider legittimo per gli stessi fini illeciti;
- siti e piattaforme web: caricare lo script malevolo su un sito web ed agganciare la vittima nel momento in cui atterra su quella particolare URL, è un classico metodo di delivery del vettore di attacco. Il sito potrebbe essere reale, esso stesso oggetto di defacement (compromissione), oppure potrebbe essere un sito clonato, apparentemente identico a quello legittimo, che in realtà comunica con un backend (server) di proprietà del criminale.
La seconda variabile utilizzata per la tassonomia proposta dagli autori citati è l’operatore (operator). È possibile infatti distinguere gli attacchi condotti da un soggetto:
- umano: le vittime adescabili sono quantitativamente circoscritte ma solitamente l’attacco, condotto da una persona ben addestrata, risulta essere più raffinato, efficace e, di conseguenza, dannoso;
- automatizzato (software). Esistono dei tool, ad esempio il SET (Social Engineering Toolkit) che vengono utilizzati per perpetrare attacchi di phishing su larga scala. L’attacco è meno raffinato, contiene alcune intrinseche “pecche” (ad esempio nella grammatica) che ne rendono più facile la detection ma, proprio come la grossolana rete usata dai pescatori (da cui il nome), conta sulla ragionevole probabilità statistica di un certo numero di successi, visto la larga scala dell’esca lanciata e rappresenta pertanto, sui grandi numeri, una minaccia di tutto rispetto;
La terza variabile considerata dagli autori è la tipologia dell’attacco (type). Si distinguono infatti attacchi:
- fisici, basati cioè sulla presenza e il contatto fisico dell’attaccante;
- tecnici, perpetrati attraverso Internet e il cyberspace;
- sociali, basati sulle dinamiche euristiche alla base dell’interazione umana analizzate precedentemente;
- socio-tecnici, i più pericolosi, che combinano il potenziale destabilizzante della conoscenza delle tecniche di persuasione con le skill informatiche sufficienti per camuffarsi con efficacia, sfruttando i confini sfumati del cyberspace.
Più nel dettaglio, l’ultima variabile di classificazione proposta dagli autori potrebbe essere raffinata[1] distinguendo gli attacchi:
- human based: basati sul contatto diretto:
- Impersonation
- Reverse Social Engineering
- Tailgaiting
- Vishing
- Dumpster Diving
- Eavesdropping
- Shoulder Surfing
- Piggybacking
- computer-based: perpetrati attraverso skill tecniche e strumenti informatici:
- Phishing
- Popup
- Spam
- Messaggeria Istantanea
- mobile based: perpetrati attraverso tecnologie mobile:
- app malevole
- false applicazioni antivirus
- clonazione di app legittime
- smishing (SMS phishing)
Identificazione delle fasi dell’attacco
Sempre a scopo analitico e descrittivo è possibile identificare, nelle dinamiche sottostanti ad un attacco di social engineering, una sequenza di fasi tendenzialmente regolari.
Information gathering
È lo step preliminare di acquisizione delle informazioni: il primo passo di un attacco è quello di tentare di conoscere quei dettagli che possano rendere una storia credibile, gli interessi condivisi, i tipi di contenuti scambiati dalle varie unità organizzative o con i partners commerciali, in modo da inserirsi in qualche modo nei flussi operativi.
Tali informazioni possono essere acquisite sia localmente (osservando, spiando da lontano, frugando nella spazzatura) sia da remoto, sfruttando le enormi potenzialità della rete e i contenuti (omni)presenti su Internet.
Un’importante fonte sorgente è il sito Web dell’azienda. Esso verrà probabilmente sottoposto ad un raffinato check (in parte manuale, in parte automatizzato), volto ad individuare informazioni di interesse, indirizzi, telefoni, nomi di persona, link, PDF o file Excel condivisi o nominati e via dicendo.
Anche i commenti al codice del sito (cioè contenuti appositamente “taggati” dallo sviluppatore per istruire l’interprete del codice ad ignorarli) non vengono tralasciati: spesso infatti contengono informazioni importanti sulla versione del software utilizzata, sul nome dello sviluppatore e sull’azienda partner che ha realizzato il sito.
Un altro canale preferenziale di acquisizione delle informazioni è quello relativo ai social network: oltre ai tool da riga di comando, in grado di individuare dati di impiegati nelle varie organizzazioni iscritti ai social (ad esempio LinkedIn), l’attaccante può liberamente accedere ai dati sulle preferenze, sugli interessi, sulle amicizie, se le impostazioni di privacy della vittima lo consentono.
Tutte queste informazioni, che in sé stesse sembrerebbero poco utili, se incrociate con quelle ottenute in maniera automatizzata (con tool come Maltego), consentono considerazioni aggiuntive molto potenti, in grado di discriminare, ad esempio, tra una relazione solo professionale e una relazione di amicizia, per poi scegliere l’una o l’altra a seconda dello scenario più utile per l’attaccante.
Una volta acquisito il footprint (l’impronta) dell’organizzazione scelta come vittima, l’attaccante si preoccupa di mappare gli eventuali fornitori di servizi, che potrebbero essere sfruttati nella fase di creazione dello scenario.
Con tool come Maltego, ad esempio, è possibile conoscere l’IP del Web server, il suo owner (proprietario), cioè la compagnia hosting provider, nonché i link alle organizzazioni in qualche modo coinvolte nei flussi operativi della vittima contenuti nei domini e nei sottodomini del sito.
Il social engineer ripeterà così sui fornitori tutta l’analisi sopra descritta, per ottenere una fotografia della realtà scansionata il più possibile accurata; a catena, il quadro di relazioni (e di informazioni) davanti ai suoi occhi sarà sempre più organico e accurato.
La costruzione del pretext
È la fase creativa, in cui l’attaccante utilizza le informazioni organiche acquisite durante lo step precedente, allo scopo di costruire uno scenario credibile, una falsa ambientazione, in grado di stimolare all’azione la vittima, sfruttando a regola d’arte le tare, le semplificazioni, le scorciatoie cognitive tipiche dell’essere umano.
Incrociando, ad esempio, le informazioni acquisite dai social e dall’analisi dei commenti al codice del sito, potrebbe scoprire che lo sviluppatore è anche amico di un impiegato; incrociando quelle sui file condivisi ottenute tramite Maltego e quelle sugli interessi di LinkedIn, potrebbe individuare, come un contenuto rilevante per le tre entità, l’organizzazione, l’impiegato, lo sviluppatore, la normativa sulla sicurezza aziendale.
Potrebbe decidere, quindi, di confezionare un trojan, camuffato da PDF, contenente una metodologia di sviluppo di codice sicuro; di impersonificare lo sviluppatore ed inviare una mail all’impiegato con l’allegato; nel testo della mail, con tono empatico, l’attaccante-sviluppatore suggerirà al suo amico di leggere il PDF perché sarebbe vantaggioso per il suo capo fare una formazione ai fornitori sul contenuto dell’articolo.
La costruzione del vettore di attacco
Rappresenta la fase in cui viene confezionato il mezzo scelto per procurare le informazioni.
Tale mezzo dipende infatti dal contesto: può essere una conversazione, fisica o telefonica, attraverso cui l’attaccante manipola la vittima che detiene le informazioni e le ottiene direttamente, oppure un oggetto, un contenuto, appositamente confezionato per apparire «innocuo» e legittimo (ad esempio un trojan, una mail, un link ecc.).
Il concetto importante su cui soffermarsi è quello della simulazione. L’attaccante agisce attivamente per far sembrare il vettore malevolo in tutto e per tutto appartenente ad una sfera legittima riconducibile alla quotidianità della vittima, non in grado di generare in essa un alert che attiverebbe difese razionali.
L’instaurazione della relazione
È il momento in cui l’attaccante prende contatto con la vittima e cerca di conquistare la sua fiducia.
Questa fase può essere più o meno lunga, a seconda della strategia scelta per la delivery del vettore malevolo.
La creazione della relationship è particolarmente importante negli scenari di reverse social engineering, in cui l’attaccante crea appositamente la situazione emergenziale e si propone come deus ex machina in grado di risolverla mentre, nei casi di impersonificazione di qualcuno con cui si abbia già una relazione, può essere ragionevolmente saltata, visto che si “cavalca” quella preesistente.
Con riferimento alle tecniche di persuasione analizzate nei paragrafi precedenti inoltre, la relazione può essere di qualsiasi tipo: di amicizia/empatia, professionale/di ruolo (sfruttante la variabile dipendenza/autorità) e via dicendo, a seconda dello scenario costruito.
L’exploit
È il momento in cui viene effettivamente rilasciato il vettore di attacco. Certo, può esserci un periodo finestra, una latenza, tra il momento di delivering (ad esempio l’invio della mail) e l’azione effettiva di attivazione del vettore (il doppio clic della vittima sul PDF e l’esecuzione del codice malevolo).
Tuttavia, più le fasi precedenti di acquisizione delle informazioni, costruzione dello scenario e instaurazione della relazione sono state accurate, più i due momenti tendono a coincidere e l’attacco di social engineering può dirsi andato a buon fine.
In caso contrario, se per qualche motivo la vittima è messa in grado, con opportune tecniche e contromisure, di porre in atto un’euristica alternativa, l’exploit vero e proprio non viene finalizzato e l’attacco si ferma alla (sotto)fase di delivering.
La fase di post-exploitation
Se il vettore di attacco (ad esempio una backdoor o uno spyware) lo richiede o lo consente, può esserci un’ulteriore fase successiva al vero e proprio exploit in cui:
- l’attaccante ha accesso attivo alla macchina della vittima e può eseguire comandi da remoto, con gli stessi privilegi assegnati alla macchina stessa;
- l’attaccante riceve passivamente (in genere via mail) le informazioni che rappresentano il suo obiettivo (ad esempio, tutte le password digitare dalla vittima sulla tastiera del computer).
Conclusioni
Da quanto visto finora emerge chiaramente la complessità «antropologica» delle dimensioni che rendono efficace un attacco di social engineering e human hacking.
La manipolazione umana, caratteristica della fattispecie, sfrutta conoscenze multidisciplinari, dalla psicologia cognitiva all’antropologia, dalla psicologia sociale alla sociologia dei gruppi, dalla gnoseologia della conoscenza all’informatica.
E di fronte al carattere umano e non meccanico dei target, sembra potersi affermare che non esistono misure di sicurezza tecniche valide in assoluto; l’unica contromisura realmente efficace, afferente alla dimensione organizzativa, coinvolge la formazione delle risorse umane, il tentativo di fornire loro gli strumenti per riconoscere un pattern di attacco e per rispondervi con un’euristica alternativa, non prevedibile dal criminale e, pertanto, consona agli obiettivi dell’organizzazione.
Infine, un’ultima riflessione che attiene alla materia in tema di trattamento dei dati personali e all’approccio basato sul rischio, architrave del quadro regolamentare europeo: in primo luogo, con riferimento al processo di analisi del rischio, le tecniche di social engineering, da un lato possono essere utilizzate insieme ai tradizionali vettori di attacco.
Dall’altro ne possono rappresentare una valida alternativa: interpretando l’evento di attacco in una chiave di lettura economico-materialistica, davanti ad un perimetro sicuro tecnicamente, che costerebbe al criminale un certo impiego di tempo e di risorse, l’ingegneria sociale potrebbe configurarsi ai suoi occhi come più conveniente.
In secondo luogo, le metodologie di social engineering e human hacking sono solo parzialmente arginabili con tecniche di security “tradizionali”: occorre, come si è visto, un approccio multidisciplinare, quella doppia competenza, umanistica e tecnica, su cui si fonda e si sostanzia il nuovo quadro normativo sulla protezione dei dati personali.
- Matt Walker, CEH Certified Ethical Hacker All-in-One Exam Guide, McGraw-Hill Education, Quarta edizione ↑