Home
Cinque risposte sullo human hacking

25 Novembre 2019

Cinque risposte sullo human hacking

di

Il successo della nostra comunicazione, professionale e no, dipende in molta parte dalla nostra capacità di cogliere i feedback meno evidenti dagli interlocutori e sapere suscitare le reazioni più costruttive al messaggio che intendiamo trasmettere.

1) Lo human hacking è umano e positivo

Non è manipolazione, semmai convincimento. È conoscenza delle leve che muovono le reazioni e i pensieri delle persone. È sapere a che cosa dobbiamo stare attenti, prima ancora di pensare a come convincere qualcuno di una nostra idea. È lo human hacking e qui fornisco cinque risposte ad altrettante domande in merito.

A che minacce di ingegneria sociale dobbiamo stare attenti?

Quando parlo dell’ingegneria sociale intesa in senso malevolo, la suddivido nei seguenti quattro vettori.

  • SMiShing – Sì, esiste: è il phishing via SMS o tramite messaggi di testo. Quando Wells Fargo è stata violata nel 2016, ricevetti l’attacco SMiShing mostrato nella prossima figura.
    Quello che è pazzesco è che non uso nemmeno Wells Fargo, ma ho comunque ricevuto questo attacco (e no, non vi dirò che banca uso… per chi mi avete preso?).
    Con un semplice clic, questi attacchi erano finalizzati a sottrarre credenziali o a caricare malware sul dispositivo mobile e a volte a fare entrambe le cose.

SMiShing contro Wells Fargo

Un SMS che mira a fare danni ai clienti di una banca americana.

  • Vishing – Si tratta del phishing vocale. È aumentato drasticamente, come vettore, dal 2016. È facile, economico e molto redditizio per chi svolge l’attacco. È anche quasi impossibile localizzare e poi catturare un malvivente che impieghi numeri falsi e chiami dall’estero.
  • Phishing – L’argomento più discusso nel mondo dell’ingegneria sociale. In effetti, l’editor tecnico di Human Hacking, Michele, e io abbiamo scritto il libro Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails. Il phishing è stato utilizzato per chiudere stabilimenti produttivi, hackerare partiti, violare la Casa Bianca e decine di grandi aziende e rubare milioni di dollari in diverse truffe. Il phishing è di gran lunga il più pericoloso tra i quattro grandi vettori.
  • Impersonificazione – Lo so, dovrei trovare una qualche forma di ishing anche per questo, ma il meglio che posso fare è elencarlo per ultimo, perché è differente. Tuttavia dobbiamo preoccuparcene come e quanto per le altre voci. Negli ultimi dodici mesi, abbiamo raccolto centinaia di storie di persone che si spacciano per poliziotti, incaricati del gas e colleghi per commettere crimini davvero orribili.

2) Quanto è importante la comunicazione non verbale, nella comunicazione in generale?

È importante imparare a comunicare in modo efficace e parte di tale comunicazione si svolge su un piano non verbale. Alcuni ricercatori hanno sviluppato statistiche su quanto di quello che diciamo è non verbale. Ho letto che si tratta dell’80%, dell’85% e addirittura del 90%, ma una delle cose più importanti da sapere qui è che il metodo di comunicazione (parlato, scritto, di persona) influisce sul modo in cui viene utilizzata la comunicazione non verbale.

Quello che il nostro corpo e il nostro volto rivelano durante le normali comunicazioni può essere travolgente per coloro che sono in grado di riconoscere l’emozione che viene manifestata. Durante la normale comunicazione, il corpo e il viso di una persona possono manifestare una miriade di emozioni, e può essere davvero impegnativo cercare di interpretarle tutte. Per questo motivo, quando si inizia a lavorare come ingegneri sociali, è meglio concentrarsi sulle comunicazioni non verbali più facili da interpretare: il comfort e il disagio.

3) E se il mio target fosse troppo intelligente per l’utilizzo dell’ingegneria sociale a mio vantaggio?

I vettori dell’ingegneria sociale non sono tecniche efficaci solo sugli stupidi. Funzionano su tutti gli esseri umani. Con il giusto innesco emotivo, nella giusta situazione, con il giusto pretesto è possibile aver ragione di chiunque.

Spesso mi viene chiesto se io sia mai stato attaccato con successo da un ingegnere sociale. Sfortunatamente, la risposta è affermativa. La motivazione giusta al momento giusto mi fece cadere su una e-mail di phishing. Fortunatamente, oltre a un po’ di imbarazzo, non ebbi grosse perdite, perché sapevo come reagire rapidamente e che cosa fare per risolvere il problema; avevo un MAPP.

Non amo slogan come Non c’è rimedio contro la stupidità umana. Sì, riconosco che molti problemi di sicurezza sono il risultato della pigrizia o addirittura della stupidità, ma questo non significa che solo uno stupido possa cadere sotto uno di questi attacchi.

Ci fu un caso in cui un professore universitario subì una truffa 419 (chiamata anche truffa del principe nigeriano). Il professore vi cascò al 100%. Ci cascò così bene da rubare soldi dalla cassa dell’università dopo aver esaurito tutti i suoi risparmi di una vita. Anche dopo essere stato catturato dall’FBI, accusò gli agenti di averlo indagato col solo scopo di mettere le mani sui milioni che stavano per arrivare sui suoi conti bancari.

Non saprei dire quante volte un amministratore delegato o un’altra persona di alto livello mi ha detto che lui non sarebbe mai caduto nelle mie truffe, solo per scoprire con rabbia di essere proprio lui la fonte dell’accesso remoto per un pen-test. Chiunque può essere vittima di un attacco, indipendentemente dalla posizione che ricopre in un’organizzazione.

4) Che cos’è un MAPP? A che cosa serve? E un pen-test?

MAPP sta per Mitigation and Prevention Plan, piano di mitigazione e prevenzione.

Quando iniziai a guadagnare slancio con i miei clienti, mi resi conto di qualcosa di importante. Il mio scopo era veramente strano: essere così bravo da diventare disoccupato. Dovevo aiutare i miei clienti a imparare a difendersi dagli attacchi di ingegneria sociale al punto che alla fine non avrebbero più avuto bisogno di me.

Hai presente quelle società di pen-testing che pubblicizzano un tasso di successi del 100%? Beh, quanto è demoralizzante per un cliente staccarti l’assegno sapendo che non migliorerà mai. O che, per quanto possano migliorare, l’ingegnere sociale vincerà sempre? Il messaggio che si dà è che non ha alcuna speranza. Niente di quello che potrà fare riuscirà mai a coprire tutte le falle dei loro sistemi di sicurezza. Alla fine, è davvero logico che i clienti dicano: Perché, allora, dovremmo cercare di proteggerci?

Dovevo dunque aiutare i miei clienti ad avere un MAPP: a pianificare una mitigazione degli attacchi e a diventare così bravi a sventare questi miei attacchi che alla fine tutto ciò di cui avrebbero avuto bisogno era pura manutenzione. È così che si raggiunge il successo, aiutando il cliente a fare a meno di te.

Il pen-test

In un pen-test (test di penetrazione) un’azienda assume un professionista perché tenti di violare la sua rete. L’obiettivo finale è quello di evidenziare e poi correggere eventuali problemi prima che possano essere sfruttati da un malvivente.

Nel corso degli anni, il pen-test è diventato uno strumento di sicurezza standard e molte regole di conformità richiedono alle aziende di condurre pen-test almeno una volta l’anno. Al momento non ci sono molte leggi che obblighino le aziende a includere l’ingegneria sociale in questi test.

Del resto, un’azienda che voglia solo spuntare una casella per poter dire di aver svolto i test in modo da soddisfare i requisiti di conformità, di solito non è un buon cliente. Lo fanno perché sono costretti a farlo, non per convinzione. Pensala in questo modo: quando i figli puliscono la cucina perché vogliono sorprendervi, fanno un lavoro migliore rispetto a quando li hai costretti a farlo.

5) Come mai gli ingegneri sociali usano così tanto Google?

Google. La sola parola fa gongolare di felicità un ingegnere sociale. Ok, ok… un’immagine piuttosto inquietante, lo ammetto. Quindi mettiamo da parte l’idea del gongolare e pensiamo più a un silenzioso ghigno di felicità.

Perché? Google è come un oracolo onnisciente. Sa tutto quel che hai fatto, lo salva e lo mette da parte perfino se cerchi di cancellarlo (per sicurezza, per il non si sa mai).

Per consentire di trovare rapidamente le informazioni che cerchiamo, Google ha creato una serie di termini di ricerca denominati operatori che restringono le ricerche. Pensa alla differenza tra una lente di ingrandimento e un microscopio. Entrambi gli strumenti avvicinano un oggetto che desideriamo ispezionare, ma se si vuole davvero entrare nei dettagli, è meglio ricorrere a un microscopio. Questi operatori sono il microscopio della ricerca web.

In rete si trova facilmente l’elenco di tutti gli operatori offerti da Google (e anche alcuni di Yahoo! e Bing), nonché le sintassi per rifinire una ricerca. Per comodità, ecco anche qui un elenco degli operatori più utili.

  • intext: cerca quel che segue l’operatore, all’interno nel testo della pagina web o del documento in questione. Per esempio, se digitiamo intext:csitech, Google cercherà tutte le occorrenze di quella parola.
  • site: limita i termini di ricerca al sito indicato. Per esempio, se digitiamo site:csitech.co.uk, Google limita la ricerca solo a quel dominio, ignorando quanto si trova al suo esterno.
  • inurl: questo operatore può sembrare simile all’operatore site, ma limita la ricerca a qualsiasi URL contenente il termine di ricerca digitato. Se digitiamo inurl:csitech.co.uk, la ricerca includerà anche qualsiasi sito web che contenga il termine csistech.co.uk nel suo URL. Per esempio, se esistesse un sito chiamato forensicsmag.com/csitech.co.uk/interviews, verrebbe considerato da una ricerca con inurl ma non da una ricerca con site.
  • filetype: limita la ricerca al tipo di file indicato.
  • cache: cerca la versione memorizzata del dominio, del file o dell’oggetto elencato.
  • info: fornisce informazioni sul dominio indicato.

Hai altre domande o curiosità sullo human hacking? Puoi lasciare un commento qui sotto e risponderò al più presto.

Questo articolo richiama contenuti da Human Hacking.

unsplash-logoImmagine di Logan Miller

L'autore

  • Christopher Hadnagy
    Christopher Hadnagy è CEO e Chief Human Hacker di Social-Engineer, LLC, nonché principale sviluppatore del primo framework al mondo di ingegneria sociale disponibile su social-engineer.org. Ha ideato il format Social Engineering Village per le conferenze DEF CON e DerbyCon. Conferenziere e formatore molto richiesto, ha anche collaborato con il Pentagono prestando la sua esperienza sul tema dell'ingegneria sociale.

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.

Corsi che potrebbero interessarti

Tutti i corsi
facebook e instagram la pubblicita che funziona-home Corso Online

Facebook e Instagram: la pubblicità che funziona

con Enrico Marchetto

Non sei soddisfatto del rendimento delle tue campagne? Ti sembra di sprecare tempo e budget? Enrico Marchetto ti aiuta a cambiare prospettiva lavorando su dati e analisi per andare al cuore del funnel.

Mora-Agile_Sviluppo_e_Management-home2 Corso In aula

Agile, sviluppo e management: iniziare bene

con Fabio Mora

Non sei soddisfatto delle gestione dei tuoi progetti software? Vuoi scoprire come i metodi agili possono cambiare il tuo modo di lavorare? Il corso di Fabio Mora è quello che ti serve.

big-_data_executive-home Corso Online

Big Data Executive: business e strategie

con Andrea De Mauro

Vuoi capire se e come la tua azienda può ottenere un vantaggio di business investendo in una strategia di creazione e analisi di Big Data? Il corso di Andrea De Mauro è quello che ti serve.


Libri che potrebbero interessarti

Tutti i libri

Human Hacking

Influenzare e manipolare il comportamento umano con l'ingegneria sociale

34,90

49,89€ -30%

28,41

29,90€ -5%

19,99

di Christopher Hadnagy

Neuromarketing in pratica

100 modi per conquistare e convincere i consumatori

29,15

41,89€ -30%

23,66

24,90€ -5%

16,99

di Roger Dooley


Articoli che potrebbero interessarti

Tutti gli articoli