• If you are citizen of an European Union member nation, you may not use this service unless you are at least 16 years old.

View
 

Il furto dell'identità digitale  tramite social engineering

Page history last edited by Roberto Marmo 14 years, 11 months ago

Il Social Engineering (“S.E.” da qui in avanti) è tipicamente alla base di ogni azione (attacco) che abbia come scopo il furto di identità e di credenziali di accesso. Le motivazioni sono da ricercare sia nella storia propria dell’hacking che nella psicologi

 

Sicuramente il fenomeno dei Social Network e la continua espansione degli stessi facilita il furto di identità, anche tramite azioni di SE: dal phishing “classico” (bancario) sino a derivazioni sugli stessi temi, dove l’obiettivo – indipendentemente dal Social Network per cui l’attaccante “si spaccia” – è il furto delle credenziali di accesso ai Social Network (Facebook, Linkedin, etc..) e conseguentemente della c.d. “identità digitale” di un individuo.

 

E’ poi importante distinguere gli stessi Social Network: se Facebook ha un profilo di utenza molto generico, che include dai teenager ai dipendenti di aziende, Linkedin ha invece un profilo di utenza professionale. La differenza è ovvia: un attaccante avrebbe molta facilità nell’attaccare ad esempio utenti di Facebook, in quanto – teoricamente – il know-how presente tra l’utenza e gli strumenti di difesa dovrebbero essere sensibilmente inferiori rispetto a quelli di un’utenza professionale, quale Linkedin.

 

Infine, vi è un’ultima distinzione, così come riportato dall’ENISA ([1] ENISA Position Paper n.° 1: Security Issues and Recommendations for Online Social Networks, October 2007) nel loro paper sui Social Network : la tipologia di utenza in funziona della geografia mondiale. E’ infatti emerso come alcuni Social Network (, praticamente sconosciuti in Italia e/o in Europa, siano invece di enorme diffusione in alcune parti del mondo, e viceversa. A titolo di esempio ricordiamo Orkut ed Ecademy.

 

Come pericoli “classificabili” per gli utenti dei Social Network, in questi ultimi tempi si è assistito ad un preoccupante aumento dei casi c.d. di “Stalking”, così come di Bullismo (Bullying) e, non ultimo, Spionaggio Industriale (Industrial Espionage). A contorno, azioni di Spam, Phishing, company reputation.

 

 

 

Un esempio di pericolo per l'idendità digitale nei business social network: il whaling

 

Il furto di identità digitale viene messo in atto per rubare dati con cui falsificare un documento di identità cartaceo e fare truffe e debiti, oppure viene attuato per creare falsi profili con cui fare acquisti su internet, diffamare altre persone, generare equivoci e brutte figure tra la vera persona ed i suoi amici. I casi criminali ormai sono tantissimi e molti personaggi pubblici ne sono stati vittima.

Il whaling è l’attacco condotto con l’informatica per far cadere nella rete dei truffatori i grossi profili aziendali, come l'amministratore delegato e i dirigenti. Si tratta, purtroppo, di una vera e propria caccia alla balena molto redditizia per i cybercriminali, un attacco con alte probabilità di successo perché costruito in maniera molto personalizzata per ogni singolo obiettivo professionale di alto profilo, infatti vengono usate le informazioni rese pubbliche dai dipendenti stessi.

Il modus operandi dei criminali informatici è il seguente. Dopo aver cercato le informazioni sulle vittime nei business social network o nei siti web aziendali, il criminale invia email in cui consiglia di cliccare su allegati o indirizzi in realtà molto pericolosi. La vittima cade facilmente nel tranello perché la email inviata non ha le sembianze dello spam, sembra proveniente da una società collegata in qualche modo a quella della vittima, viene fatto riferimento a un interesse o un hobby del malcapitato. L’obiettivo è infettare il computer della vittima con programmi in grado di intercettare tutto quello che viene digitato su una tastiera, quindi anche informazioni importanti come username e password, documenti riservati e coordinate bancarie.

Il caso finora più clamoroso si è verificato nell'aprile 2008 e ha coinvolto 20.000 dirigenti di aziende statunitensi. L’email conteneva un falso ordine di comparizione in tribunale con i nomi completi ed accanto i nomi ed i contatti telefonici delle rispettive aziende. Le persone cliccavano subito su per leggere i dettagli sulla presunta causa legale, venivano rimandati a un falso sito della Corte americana dove venivano invitati a scaricare ed installare un software aggiuntivo obbligatorio per visualizzare correttamente tutti i documenti legali. In realtà, si scaricava un software pirata in grado di copiare le credenziali di log-in utilizzate sui siti web delle banche e rispedirle subito ai criminali per derubare il denaro.

 

 

Inserisci il tuo nuovo contributo qui! 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Comments (0)

You don't have permission to comment on this page.