Cari lettori di Tecnogalaxy, oggi parleremo di alcune tecniche che se utilizzate contemporaneamente da un malintenzionato possono essere molto pericolose, mi riferisco a tecniche per effettuare attacchi di Phishing, Ingegneria sociale, spoofing delle e-mail etc…

Andiamo un po’ nel dettaglio!

Cos’è l’ingegneria sociale?

L’ingegneria sociale è la capacità di persuasione utilizzata per ingannare gli altri o per strappare informazioni con o senza l’utilizzo di strumenti per forza tecnologici.

Leggete il bellissimo libro de “L’arte dell’inganno” scritto nel 2002 da Kevin D. Mitnick, considerato l’hacker più abile del mondo, scoprirete moltissime tecniche utilizzate proprio da lui.

Le tecnologie di sicurezza dei sistemi informatici, migliorano sempre di più giorno dopo giorno, prendiamo come esempio gli anti-malware evoluti, gli IPS / IDS, le tecnologie su cloud etc. Un malintenzionato che volesse attaccare un sistema informatico di un’azienda non è detto che trovi delle vulnerabilità da sfruttare.

E’ proprio a questo punto che entra in gioco la tecnica di Ingegneria Sociale, che sfrutterà le vulnerabilità dei comportamenti umani errati.

Un malintenzionato professionista tenterà qualsiasi strada pur di riuscire nei suoi intenti criminosi, una delle strade spesso sfruttare è proprio la debolezza degli utenti, gli basterà attender e avere pazienza, perseveranza, ma sicuramente ci riuscirà.

Tipologia di attacco non tecnologico

Supponiamo che un amministratore di rete di una  grande azienda gettasse nei rifiuti senza distruggerli, dei documenti contenente dei dati tecnici e le password del sistema informatico, oppure un impiegato dell’amministrazione gettasse documenti finanziari ed economici senza distruggerli, l’azienda potrebbe essere esposta a gravi pericoli.

Un malintenzionato queste cose le conosce molto bene nel dettaglio, infatti nel caso di un attacco su commissione per recuperare delle informazioni la prima cosa che potrebbe fare sicuramente è proprio quella di rovistare nei cassonetti dell’immondizia esterni all’azienda, questa tecnica si chiamata “Dumpster Diving”.

Un’altra tecnica utilizzata è il “Shoulder Surfing”, in questo casol’attaccante si posiziona dietro le spalle del malcapitato e spia quello che fa, quello che digita sulla tastiera e quello che legge, come codici, password, numeri di telefono, indirizzi e-mail etc.

Un’altra tipologia di attacco molto utilizzata è la “Tailgating”, il malintenzionato segue la vittima/utente per entrare in un ambiente riservato.

Provate fare mente locale, state entrando in un’area dove la porta è chiusa e dietro di voi c’è una persona con una scatola abbastanza ingombrante in mano o un badge della nostra azienda in vista , cosa fate? Lasciate la porta aperta e lo aiutate ad entrare.

Ovviamente con l’evoluzione della tecnologia, il Social Engineering ha assunto un aspetto tecnologico molto avanzato, nel tempo sono state sviluppate soluzioni informatiche che permettono e semplificano gli attacchi di Ingegneria Sociale.

Adesso che sappiamo alcune di queste tecniche utilizzate, passiamo alla parte più divertente, quella software parlando del Social Engineering Toolkit (S.E.T.)

Tra i tanti strumenti per effettuare questi test, il più potente e quello più utilizzato dai malintenzionati per effettuare attacchi di Ingegneria Sociale è il Social Engineering Toolkit (S.E.T.).

Ovviamente non è utilizzato solo da loro, è utilizzato anche per effettuare il Penetration Testing.

Il Social Engineering Toolkit (S.E.T.) è uno strumento scritto in Python dal fondatore di TrustedSec, si parla di circa due milioni di downloads, è stato anche presentato durante grandi conferenze sulla Cyber Security.

Avviamo il Social Engineering Toolkit digitando da terminale il comando setoolkit , ovviamente useremo come sempre il nostro caro amico Kali Linux.

Questo sarà il nostro menù di navigazione con le varie opzioni, per il nostro test sceglieremo l’opzione 1.

Phishing con Social Engineering Toolkit

Selezioniamo l’opzione 5 e poi l’opzione 1.

Phishing con Social Engineering Toolkit

Selezioniamo l’opzione 5 e poi l’opzione 1.

In sequenza dovremo rispondere e compilare alcune parti per portare a termine il nostro test, come ad esempio, l’indirizzo del destinatario, l’oggetto, il form della mail, e in questo caso la nostra mail di gmail per effettuare l’invio.

Ovviamente lo strumento Social Engineering Toolkit, non si ferma solo a questo, ci sono diverse opzioni da testare quando si utilizza questo strumento, come ad esempio la creazione di modelli, payload dannosi, dati falsi, traffico di rete, invio mail etc. Come abbiamo visto non bisogna essere un utente molto avanzato per eseguire un attacco dannoso contro ad esempio una organizzazione.

È importante sapere quante informazioni stiamo esponendo sulla nostra infrastruttura, tutto questo per ridurre la superficie di attacco e per prevenire attacchi di ingegneria.

Per essere avanti ai malintenzionati bisogna conoscere come ragionano, quali tecniche utilizzano etc…

Iniziamo il nostro test utilizzando lo script MaskPhis.

Attiviamo lo script Zphisher.

Phishing con Social Engineering Toolkit

Selezioniamo l’opzione 4 Microsoft.

Adesso l’opzione 2 Ngrok.io A (per craere il tunneling senza dover fare port forwarding sul proprio router.

Copiamo il link appena creato, torniamo allo script MaskPhis ed incolliamo.

Dopo aver confermato con invio, scriviamo https://microsoft.com e confermiamo con invio.

Phishing con Social Engineering Toolkit

Adesso scriviamo microsoft-login e confermiamo.

Phishing con Social Engineering Toolkit

Lo script creerà il link malevolo all’apparenza simile a quello originale, infatti se il malcapitato si fermasse a leggere il link solo all’inizio senza analizzarlo tutto, ci cascherebbe al 100%.

A questo punto copiamo il link e torniamo allo strumento Social Engineering Toolkit.

Scriviamo il testo della mail e incolliamo il link. Inviamo la mail!

Quando il malcapitato aprirà la mail e cliccherà sul link si troverà davanti la pagina di login di Microsoft:

Inserite le credenziali, userID e Password, lo script in ascolto riceverà le info.

Come difendersi da un attacco di Phishing

Abbiamo 3 diverse opzioni per cercare di difenderci da un attacco Phishing:

  1. Best practice
  2. Online tools
  3. Rispondere nella maniera corretta

Best practice

Nel 99% dei casi, la tecnica utilizzata nel phishing è la clonazione del sito originale, che sia delle poste, della vostra banca, di Microsoft, di Facebook non cambia, la tecnica è sempre la stessa.

Online tools

Utilizzare i tool gratuiti reperibili in rete, come ad esempio Virustotal:

https://www.virustotal.com/gui/home per verificare link ed allegati potenzialmente pericolosi.

Rispondere nella maniera corretta

In caso di ricevimento di una mail strana, ad esempio dalla propria banca dove vi vengono chieste le credenziali di accesso, contattare subito telefonicamente la propria banca per chiedere chiarimenti.

Modifica subito le password e avvia subito una scansione dell’antivirus sul proprio pc/device.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo!

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.