Notice: unserialize() [function.unserialize]: Error at offset 5517 of 5649 bytes in /web/htdocs/www.secret0.com/home/index.php on line 61
Carpire i segreti

Carpire i segreti

 

Lo studio approfondito del “bersaglio” serve anche a prepararsi le risposte ad eventuali domande di controllo da parte del personale preposto.

 

L’APPROCCIO

Supponiamo di voler accedere ad un’area riservata condivisa su web di un’azienda, l’ingegnere sociale, potrebbe tentare, con appunti alla mano del precedente footprinting, un approccio telefonico, spacciandosi per un sistema di una sede distaccata, lamentando l’impossibilitò di accedere all’area riservata e chiedendo cortesemente la password o il numero di telefono di un responsabile.

Nel fare tutto questo bisogna cercare di rimanere il più possibile “invisibili2, il che significa non lasciare tracce nella memoria dell’interlocutore, come, ad esempio,  accenti marcati, toni vocali particolari, insomma diventare “l’uomo qualunque”. Con la stessa tecnica, ci si può spacciare per l’impiegato, utente, fornitore, cliente, imbranato e/o incompetente, come un tecnico dell’azienda che fornisce l’ hosting, in questo caso si può “rimbambire” una persona NON tecnica dell’azienda, usando un frasario stregonesco-informatico, in modo da acquisire la sua fiducia e farsi rivelare ulteriori informazioni.

 

I SISTEMI PIU’ USATI

 

Il telefono – conversazioni telefoniche dalle quali trarre informazioni. Quante volte si forniscono fati a chissà chi pensando che sia un cliente o un fornitore? UN esempio può essere quello di dettare una password ad una fantomatico cliente che lamenta lo smarrimento della stessa.

 

Online – Il meccanismo è lo stesso di quello telefonico, solo che il mezzo cambia. Questo tipo di attacca può essere sferrato tramite e-mail, chat, VoiP, ecc. Un esempio può essere quello di “sforgiare” un finta e-mail, che riporta un mittente  fidato (come accade per il famigerato phishing ), quindi l’operatore in tutta tranquillità risponde alla mail fornendo le informazioni richieste.

 

La spazzatura (Dumpster diving) – Uno dei sistemi più classici”, cercare appunti, post-it e quant’altro sia utile a ricavare nomi, indirizzi, numeri, password, ecc. Nel cestino della spazzatura.

 

Shoulder surfing – Questa è una tecnica che può far sorridere, a a volte funziona! Mettersi alle spalle di qualcuno e spiare ciò che scrive sul PC.

 

Reverse social Engeneering – E’ una tecnica che può far sorridere, ma o volte funziona! Mettersi alle spalle di qualcuno e spiare ciò che scrive sul PC.

 

Reverse social Engineering – E’ una tecnica raffinata poiché grazie ad una relazione, precedentemente instaurata, l’attaccante riesce a farsi contattare dalla propria vittima, che è in completa balia del truffatore. Si possono fare vari esempi, come quello di spacciarsi per un servizio tecnico relativo alla connettività, di lasciare un recapito (e-mail, telefono, ecc.) per farsi contattare nel momento del bisogno, Poi effettuare un “sabotaggio” alla connettività della vittima, in modo tale da farsi chiamare, con la scusa dell’assistenza remota, ci si po’ far dare username, passwords, indirizzi IP, ecc. ecc.

 

La persuasione – Questo è un tipo d’attacco basato tutto sulla capacità recitativa dell’attaccante, lo vediamo spesso nella cronaca e nella vita. In parecchie città sono stati segnalati degli individui che riuscivano a spacciarsi per amici di un familiare della vittima e a farsi


Powered by XNETUS.net
Secret0 © 2016