Scopri la nostra proposta di corsi sulla sicurezza informatica di Dgroove: corsi specialistici sulle tecnologie e la cultura della sicurezza informatica, dal secure coding alla certificazione per Ethical Hacker.
Come il Social Engineering Toolkit supporta attività di Ingegneria Sociale?
L’Ingegneria Sociale, chiamata più comunemente Social Engineering, rappresenta la manipolazione psicologica delle persone affinché esse eseguano azioni non realmente volute, o comunque non nei loro interessi, e divulghino informazioni confidenziali.
Essa può avere un impatto molto critico sulla sicurezza complessiva di un’organizzazione ed è per questo motivo che è bene conoscere tale pratica nel dettaglio e il relativo tool comunemente utilizzato per lo scopo, ovvero il Social Engineering Toolkit.
Indice degli argomenti
- Quali sono i principali tipi di attacco di Ingegneria Sociale?
- Che cos’è il Social Engineering Toolkit?
Avete mai ricevuto una mail di phishing? In caso affermativo vuol dire che avete già sperimentato un attacco di ingegneria sociale.
Infatti, secondo alcuni report di Verizon e Symantec, nel 2019 il 33% dei data breach ha incluso attacchi di Social Engineering tramite phishing e circa il 94% dei malware è stato inviato tramite e-mail ingannevoli. Inoltre, nell’ultimo periodo, sono numerose le casistiche di attacchi di Social Engineering che cavalcano il tema del Coronavirus per attirare le vittime in attacchi cyber.
Ciò dimostra quanto questo tipo di attacco sia diffuso tanto da essere tipicamente la prima mossa tentata dagli attaccanti per attaccare un’azienda.
Quali sono i principali tipi di attacco di Ingegneria Sociale?
Esistono diverse tattiche di ingegneria sociale a seconda del mezzo utilizzato per la loro esecuzione. È possibile infatti utilizzare l’email, un sito web, il telefono, chiavette USB, o altro ancora.
Di seguito vengono quindi elencati i principali tipi di attacco.
- Phishing
Il phishing è il tipo più comune di attacco di ingegneria sociale. L’attaccante ricrea il sito web o il portale di supporto di un’azienda famosa e invia il link alle vittime via e-mail o piattaforme di social media. La vittima, ignara dell’attacco in corso, finirà per compromettere le proprie informazioni personali, come dati della propria carta di credito, consegnandole involontariamente all’attaccante.
- Spear Phishing
La tecnica di Spear Phishing è un sottoinsieme del phishing. Sebbene infatti l’attacco sia simile, esso richiede uno sforzo aggiuntivo dal punto di vista dell’attaccante in quanto egli dovrà adattare al meglio il proprio attacco verso il numero limitato di vittime prescelto, al contrario del caso precedente in cui era indiscriminato. Infatti lo Spear Phishing è un tipo di phishing fortemente indirizzato verso un ristretto gruppo di persone specifiche. Questo tipo di attacco viene infatti specialmente rivolto verso persone influenti all’interno di un’azienda.
- Vishing
La tecnica di Vishing si avvale invece dell’uso del telefono. L’attaccante ricrea il sistema IVR (Interactive Voice Response) di un’azienda e invita le vittime a chiamare quel numero invece di quello ufficiale. A quel punto la vittima potrebbe essere indotta a comunicare i propri dati ad un finto call center.
- Pretexting
Questa tecnica, comunemente mostrata nei film, si basa sull’attaccante che impersonifica un’altra persona in modo da accedere a uffici che sarebbero altrimenti inaccessibili, oppure per estrarre informazioni da altre persone. Si noti che questo tipo di attacco, oltre ad avvenire di persona, potrebbe anche sfruttare le e-mail.
- Baiting
La tecnica di Baiting consiste invece nella classica chiavetta USB abbandonata e, spesso, avente un’etichetta particolarmente accattivante. Questa tecnica si basa sul fatto che le persone sono tipicamente curiose e sarà quindi probabile che almeno qualcuna di esse raccolga tale dispositivo e lo inserisca nel proprio computer, personale o aziendale.
Che cos’è il Social Engineering Toolkit (SET)?
Lo strumento più potente e maggiormente utilizzato dai criminali per attacchi di Ingegneria Sociale è sicuramente il Social Engineering Toolkit (S.E.T.). Scritto in Python da David Kennedy, fondatore dell’azienda TrustedSec, è continuamente aggiornato ed è stato presentato in occasione delle più importanti conferenze sulla Cyber Security tra cui Blackhat, DerbyCon, Defcon e ShmooCon.
S.E.T. è installabile su piattaforme Linux e Mac OS X ed è preinstallato sulla famosa distribuzione Linux chiamata Kali.
Su quest’ultimo sistema operativo è possibile avviare S.E.T. digitando nel terminale il comando “setoolkit”.
La schermata che si avvia è la seguente.
Digitando quindi il carattere “1”, che rappresenta la prima scelta, ovvero “Social-Engineering Attacks”, vengono elencate le varie modalità di attacco che è possibile eseguire, tra cui quelle discusse in precedenza.
A questo punto è possibile proseguire con la scelta desiderata in modo da portare a termine la tipologia di attacco di ingegneria sociale scelta.
Conclusioni
Uno dei principali concetti di sicurezza è quello chiamato “Securing the Weakest Link”, ovvero che è importante mettere in sicurezza la parte meno sicura di un sistema, che è tipicamente rappresentata dalle persone.
Per questo motivo l’Ingegneria Sociale rappresenta una categoria di attacchi molto presente ed impattante in ambito cybersecurity e il Social Engineering Toolkit il tool maggiormente utilizzato per lo scopo.
