Hacknowledge
Ingegneria Sociale: manipolazione della naturale tendenza umana a “fidarsi”

In questo articolo vi mostrerò come un’informazione, apparentemente insignificante, di WhatsApp potrebbe essere utilizzata per un pericoloso attacco mirato.
Se aggiungiamo un numero di telefono a caso nella nostra rubrica, WhatsApp ci mostrerà l’immagine del profilo di quell’utente.
Tenuto conto che non sappiamo chi sia quella persona, non dovrebbero esserci rischi inerenti tale funzione… ho ragione?
Allora leggete la seguente storia:

Vendere un televisore usato

Stiamo navigando su un sito web di annunci, troviamo che un certo Bob ha messo in vendita una bella SMART TV da 52”, ottime condizioni, 400€.
L’annuncio comprende il numero di telefono di Bob, utile per ottenere ulteriori informazioni o concludere l’affare.
Abbiamo appena ottenuto informazioni molto interessanti sulla nostra vittima. Lui è Bob, sappiamo il suo numero di telefono, la zona in cui abita e che si aspetta di essere contattato riguardo alla sua TV usata.

Facebook Time

E ‘ora di sapere chi è Bob.

Il primo passo è quello di aggiungere il suo numero di telefono alla nostra lista di contatti di WhatsApp: in questo modo, avremo la sua bella immagine profilo.
Ora, con il nome, l’immagine e la città in cui vive, siamo in grado di trovare rapidamente il suo profilo Facebook eseguendo un paio di ricerche e filtrando i risultati.
Sì, lo abbiamo trovato.
Il profilo pubblico non ci dice molto di lui, ma aggiunge un dettaglio in più: dove ha studiato. Questo è più che sufficiente per ottenere l’accesso al suo profilo privato. Creiamo un profilo falso che sembri appartenere a qualcuno che ha studiato nella sua stessa università negli stessi anni.
Chi non accetta una richiesta di amicizia di un probabile vecchio compagno?
Bob accetta.

Conquistare la fiducia di Bob

Ora abbiamo accesso alla lista degli amici di Bob, il che significa che possiamo avere una buona conoscenza del suo ambiente sociale e professionale.
Subito scopriamo che lavora per una società come Assistant Manager nel reparto contabilità. Sembra interessante, ma lasciamo lì per ora.
Notate come, oltre ai dettagli professionali, la sua cerchia di fiducia diventa prontamente disponibile; e questo cerchio potrebbe includere migliori amici, parenti, colleghi e forse alcuni vecchi amici con i quali Bob non è in contatto da lungo tempo.
Noi siamo interessati a quest’ultimo gruppo. Come possiamo trovare quel particolare profilo?
Compito facile, basta sfogliare la news feed di Bob, e vedere con chi non è stato molto attivo in questi ultimi mesi.
Indovinate perché?
Il vecchio amico non sarà più tanto amichevole.

Impersonare un vecchio amico

Come potete immaginare, è il momento di impersonare John. Dobbiamo solo prendere alcuni dettagli casuali del suo rapporto con Bob al fine di costruire un messaggio credibile.
Quali sono le nostre armi? I riferimenti a eventi passati, altri amici, notizie che potrebbero essere rilevanti per Bob, temi cui è interessato, prodotti o marchi che Bob ama, e simili.
Notiamo che Bob ama montagne russe. Ecco il piano: gli manderemo un link ad un articolo che descrive un incidente avvenuto su una delle più famose montagne russe negli Stati Uniti.
L’obiettivo è di costruire un messaggio che Bob creda, essere proveniente da John.
Come possiamo riuscire a fare questo, allora?
Ok, John ha cambiato il suo numero di telefono dall’ultima volta che ha incontrato Bob. Tuttavia, Bob crede di parlare con John per tre ragioni: sappiamo cose che solo qualcuno nella sua cerchia di fiducia può sapere (ciò che gli piace), abbiamo il suo numero di telefono (dall’annuncio) e, ancora più importante, Bob vedrà l’immagine del profilo di John quando leggerà il nostro messaggio su WhatsApp.

Da dove abbiamo ottenuto quella foto profilo?
Sì, avete ragione, l’abbiamo scaricata dalla lista amici di Facebook.

Fase Finale

Bob riceve su WhatsApp, da una fonte attendibile, un messaggio contenente un link a una notizia rilevante.

Che cosa faresti nei panni di Bob? Sono pronto a scommettere che visiteresti il link.
Il collegamento attiverà un drive-by download che infetterà il telefono cellulare.
Il malware sarà progettato per questo particolare attacco e quindi passerà inosservato all’antivirus.

Ora abbiamo accesso alle sue e-mail, file e contatti, rendendo così le informazioni private prontamente disponibili.

Ma che valore ha questa informazione? Bob voleva solo vendere un televisore usato.

Ma Bob è molto più di tutto questo. Lui è un Assistant Manager nel reparto contabilità di una società, ottenere l’accesso al suo telefono cellulare ci dà l’accesso ai dati riservati che scambia con decine di colleghi ogni giorno.

E ora?

Che cosa fareste adesso? Leggereste le e-mail? Scarichereste gli allegati? Navighereste nella intranet aziendale?
Ti dirò ciò che avrei fatto.
Invierei un messaggio dal suo account ai suoi contatti più frequenti. Il messaggio includerebbe un collegamento dannoso che la maggior parte dei destinatari avrebbe visitato.

Indovinate perché? Ora sono diventato Bob.

E il gioco ricomincia.

Lezione appresa?

L’avventura di Bob sta diventando una storia frequente, come gli attacchi diventano più mirati, avanzati, persistenti e raffinati.

Questo è ciò che possiamo apprendere:

• Gli attacchi informatici non sono più un one-shot. I criminali informatici prendono tempo per compiere la missione con un determinato obiettivo, dividendo l’attacco in una serie di compiti che, visti da soli, non sembrano costituire un rischio significativo, o neanche un rischio.
• Gli attacchi informatici imitano i metodi utilizzati in passato, ma stanno diventando avanzati e sofisticati, combinando questi metodi con nuove tecniche, nonché organizzando campagne ricche di funzionalità che coinvolgono molteplici attori, aumentando le possibilità di successo.
• La popolarità degli smartphone e dei servizi di social media, tra cui instant messaging, rende più facile per i criminali informatici raggiungere i loro obiettivi in un tempo più breve e in modo furtivo.

Vi lascio come materiale aggiuntivo, per chiunque volesse approfondire il concetto di Ingegneria Sociale, l’interessante tesi di Marco Zilli (SSRI Online) | Ingegneria Sociale PDF

di VoidSec, crediti: Rafael San Miguel