Le Fasi dell’attacco Informatico : Information Gathering

Fresco di certificazione sul “Fundamental Vulnerability Management” voglio iniziare a condividere con voi (se mai ci fosse qualche lettore in “ascolto”) alcuni aspetti interessanti di questo mio percorso formativo in ambito IT security.

Innanzitutto un breve excursus, sto studiando approfonditamente tutti gli aspetti legati alla Sicurezza Informatica, cercando di focalizzarmi soprattutto nell’ambito della Sicurezza Informatica in Azienda. Sto sfruttando una piattaforma di formazione/certificazione molto valida ed interamente in lingua inglese, fattore non irrilevante dato che oltre a skillarmi negli argomenti specifici mi aiuta ad allenare il mai perfetto “Techincal English“.

Prima di addentrarmi in post di carattere specialistico faccio un passo indietro nella time-line del processo dell’attacco informatico.
Tutti noi siamo abituati a immaginare l’attacker come uno pseudo criminal-nerd che dall’oscurità della sua sedia roteante, gobbo su se stesso e armato di tastiera, mira alle parti più recondite dei nostri sistemi informatici eludendo qualsivoglia forma di sicurezza perimetrale si possa immaginare.

Lo stereotipo dell’hacker non è poi così diverso dall’immaginario, diverse sono le modalità di approccio all’attacco.

Ebbene Sì, la prima fase dell’offesa non sempre avviene in forma digitale.

Siamo nell’ambito di quella che in gergo viene chiamata “Social Engineering” e ricade nella fase di attacco relativa all’Information Gathering (Raccolta di Informazioni).

E’ un vero e proprio tipo di attacco diretto gli umani con il quale i malintenzionati provano a carpire, manipolare ed ottenere informazioni utili per il loro attacco, spesso  ottenendo l’informazione dalle vittime stesse senza che queste si rendano conto di cosa stanno facendo o a volte proprio alle loro spalle.

Ci sono svariate tipologie di attacco , ne vediamo alcune.

La più banale e frequente delle azioni di raccolta informazioni è ovviamente lo spionaggio, non trattandosi di ambiente militare la denominazione di questo attacco è ” Shoulder Surfing ” ovvero una azione di strategica raccolta di informazioni “alle spalle” della vittima: questo attacco si configura quando l’attaccante osserva lo schermo o la tastiera del suo obiettivo cercando di carpire credenziali o altre informazioni utili e delle quali non è autorizzata la divulgazione. Ovviamente posizionandosi alle sue spalle.

Può capitare anche che l’azione avvenga dinamicamente, ossia mentre l’obiettivo circola per l’azienda, dove magari gli accessi sono regolati da codici di sicurezza, ecco quindi che l’attaccante segue in modo ravvicinato la sua vittima in modo da spiare eventuali credenziali di sicurezza od accedere a locali in cui non è autorizzato sfruttando la vittima che a sua insaputa diventerà quindi complice, questo tipo di  situazione è chiamata “tail-gating”

Diverso negli intenti ma sempre della stessa tipologia di “offesa” è il c.d. hoaxing (o stratagemma della bufala) dove l’attaccante inventa una storia non vera per indurre eventuali colleghi/vittime ad eseguire delle azioni che altrimenti non avrebbero voluto/dovuto eseguire.
Quando l’attacco è rivolto a VIP o a membri dirigenziali l’offesa prende il nome di warring.

Un po’ ripugnante ma a volte molto efficace e sicuramente avvincente è la cd. dumpster diving (immersione nella spazzatura) ossia la ricerca di informazioni utili e riservate che la vittima possa aver più o meno inavvertitamente cestinato e gettato nell’immondizia.

In questo caso l’attaccante setaccia il cestino della spazzatura nel senso stretto del termine andando a ricercare tutto quanto possa essergli utile ad un eventuale attacco.

Strettamente collegato a quest’ultimo (anzi molto spesso diretta conseguenza) è il tipo di attacco detto “impersonation” dove l’attaccante a seguito di dati e informazioni personali, rinvenute ad esempio mediate Dumpster Diving, si finge la sua vittima verso terzi cercando di carpire ulteriori informazioni o dare direttive fingendosi altra persona.

In questo tipo di attacco l’utente si cala nelle vesti della sua vittima.

Come vedete al di là degli accorgimenti tecnologici che si possono attuare, l’accortezza nella vita di tutti i giorni e l’attenzione a chi ci circondano restano sempre dei must nella prevenzione di qualsiasi offesa.

A presto con la continuazione del percorso.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *