Skype Social Engineering
Premetto che la tecnica spiegata successivamente non è un hack ma piuttosto, un “difetto” facilmente sfruttabile.
Inauguro questa sezione, in cui troverete le nostre pubblicazioni ufficiali e le nostre ricerche, con una sessione di ingegneria sociale fatta al supporto online di Skype.
Nel campo della sicurezza delle informazioni, l’ingegneria sociale (dall’inglese social engineering) è lo studio del comportamento individuale di una persona al fine di carpire informazioni utili.
Ogni giorno, le aziende spendono migliaia di dollari in difese di sicurezza, ma sottovalutano le semplici tecniche di ingegneria sociale, in grado di avere ragione anche delle tecnologie di sicurezza più costose.
L’idea di questo paper nasce per verificare quanto le grandi aziende abbiano “formato” il proprio personale a rilevare e contrastare pratiche simili.
Questo approccio non tecnologico all’hacking permette di aggirare le più costose e sofisticate tecnologie di sicurezza, che talvolta rappresentano l’unica forma di difesa di dati e beni.
Perchè sprecare tempo su elaborate strategie tecniche, quando basta fare una chiamata per acquisire informazioni apparentemente innocue da persone assolutamente ignare e sfruttarle per aprire la porta?
In media per questo ‘hack’ abbiamo impiegato: 15-20 minuti
Table of Contents
STEP 1: Information Gathering
Prendiamo un contatto a caso dalla nostra lista su Skype, dobbiamo recuperare le seguenti informazioni:
- Username skype (lo si trova guardando il profilo)
- Data di nascita (in pochi nascondono la data, in ogni caso possiamo utilizzare i social network)
- Indirizzo email (molti utilizzano lo stesso indirizzo per tutti i servizi e nuovamente, i social network ci daranno una mano)
- Stato (lo si trova guardando il profilo)
- Almeno 5 contatti
Per l’indirizzo mail possiamo inoltre collegare il nostro account Skype con Facebook
I 5 contatti sono la cosa più difficile da ottenere, ma se è nella vostra lista contatti probabilmente ne conoscete altri e con voi sono solo più 4 (Facebook)
STEP 2: Supporto Online
A questo punto possiamo procedere a contattare il supporto online di Skype, utilizziamo username e email del nostro target:entrati nella stanza il personale inizierà a parlarvi, ora dobbiamo utilizzare una delle tecniche del social engineering: suscitare pena nell’interlocutore.
Possiamo quindi iniziare la conversazione nei seguenti modi:
- Ho perso l’accesso a Skype e alla mia mail, puoi provvedere a resettare la mia password?
- Oppure: Hey, mi hanno rubato la password di Skype che era la stessa che usavo per la mia email e quindi non posso più accedere.
Puoi resettarmi la password? Su skype ho tutti i contatti di lavoro…
Ora il supporto ci richiede i dati che abbiamo raccolto precedentemente, inoltre chiede con quale metodo abbiamo pagato (al 90% potete dire che non avete mai pagato per usufruire di Skype)
A questo punto l’operatore vi invierà alla nuova email indicata un link per il reset della password.
Fine – Social Complete! :)
A questo punto direi che è necessario implementare nuovi metodi di verifica dell’identità dell’account di Skype oppure formare i dipendenti perchè sappiano capire e discernere una vera richiesta di supporto da una di ingegneria sociale.
There is no patch for human stupidity!
di VoidSec