By Andrea Frighi
Dopo tanta teoria, finalmente eccoci a un esempio pratico che
riassume tutte le tecniche illustrate fino ad oggi. D’ora in avanti proporrò un
attacco alla settimana e lo analizzeremo insieme.
Le storie che
narrerò faranno comprendere come, con inventiva e ingegno, sia possibile
ottenere qualsiasi informazione riservata.
La lettura di queste storie gioverà a qualsiasi imprenditore,
poiché gli farà capire l’importanza di investire il proprio denaro non soltanto
nell’acquisto di costosissimi sistemi di videosorveglianza, ma nella formazione
del proprio personale dipendente con il fine di far fronte a questo genere di
“attacchi”.
Sono attacchi
perpetrati per lo più da truffatori, i quali si servono di tutto ciò che
abbiamo illustrato nei precedenti articoli, dalla sicurezza in se stessi,
all’approccio, al tono di voce, alla postura, per ottenere informazioni
riservate.
Partiamo con
il primo esempio.
La FARM
ZETA-BI (nome inventato) è una ditta farmaceutica del nord Italia di grandi
dimensioni, dotata di un sistema anti-intrusione di altissima sicurezza. Per
difendersi, la società, tra porte blindate, sistemi anti-virus, grate
anti-sfondamento, sistemi di videosorveglianza e controllo-accessi, ha speso
qualcosa come due milioni di Euro. Non ha però investito un centesimo sulla
formazione del proprio personale in materia di pericoli relativi ad attacchi di
hacker sociali e truffatori.
Il nostro
hacker (lo chiameremo ancora una volta Antonio) vuole penetrare nei sistemi
della FARM ZETA-BI e ottenere la lista clienti con relativo listino prezzi, per
poterli rivendere al primo offerente.
Ha poche
informazioni sulla società in esame ma è consapevole dei propri mezzi. Sa che
con poche telefonate potrà accedere al sistema informatico e “rubare” ciò che
gli serve. Per far questo deve studiare molto attentamente la ditta e
pianificare ogni cosa.
Gli esempi
che farò danno un’idea precisa di come, con poche telefonate, sia possibile
baipassare un sistema di sicurezza da due milioni di euro, se il personale non
viene addestrato.
Ricordate che
dietro ogni tecnologia c’è un essere umano, debole e pieno di emozioni su cui
far leva.
Andiamo ad analizzare l’attacco.
Innnanzitutto Antonio cerca su internet il nominativo di un’altra ditta del settore farmaceutico, abbastanza distante da quella che deve “attaccare”, in modo da essere sicuro che nessun dipendente della ditta sotto attacco conosca personalmente un operatore della ditta cercata sul web.
Antonio scova su internet una società denominata “GRUPPO MEDICINA SRL” e grazie a una semplice visura estrae il nominativo dell’amministratore: Marco De Luigi.
A questo punto effettua una prima telefonata alla ditta sotto attacco.
E’ lunedì e la settimana è appena iniziata, perciò le persone saranno più disponibili al dialogo, soprattutto al mattino, dato che hanno avuto tutto il week-end per risposarsi.
Antonio scova su internet una società denominata “GRUPPO MEDICINA SRL” e grazie a una semplice visura estrae il nominativo dell’amministratore: Marco De Luigi.
A questo punto effettua una prima telefonata alla ditta sotto attacco.
E’ lunedì e la settimana è appena iniziata, perciò le persone saranno più disponibili al dialogo, soprattutto al mattino, dato che hanno avuto tutto il week-end per risposarsi.
Lunedì, ore
09.51
Silvia: “Buon giorno, FARM ZETA-BI, sono Silvia, in cosa posso
esserle utile?
Antonio (con tono di voce tranquillo e rilassato): “Si, buongiorno Silvia, mi chiamo Marco De Luigi, sono il proprietario di una società simile alla vostra, si chiama GRUPPO MEDICINA. Senta, se non la disturbo vorrei chiederle una cosa. Stavo pensando di acquistare un nuovo sistema di fatturazione medica, con quello attuale ho sempre dei problemi. Voi ne avete uno efficace da consigliarmi, ne utilizzate uno completamente automatizzato attualmente?”. (notate: la domanda è apparentemente innocua, si tratta di un dottore esasperato dal cattivo funzionamento di un suo data-base che chiede consiglio ad un’altra ditta del settore).
Silvia: “Mah guardi, in questo momento noi utilizziamo un software chiamato Medical Database, siamo molto soddisfatti, è una ditta di Milano”.
Antonio: “Ah grazie, senta noi abbiamo sede nel Lazio. Loro, che lei sappia, offrono un supporto tecnico telefonico oppure on-line, in modo che possiamo anche noi appoggiarci a loro senza problemi di distanza?”.
Silvia: “Sì sì, il supporto tecnico funziona a meraviglia. Sono io per altro l’amministratore del software qui in azienda. Loro fanno tutto attraverso un modem connesso al sistema, pensi che non abbiamo mai avuto la necessità di farli venire da noi”.
Antonio: “Ok, grazie mille Silvia. Senta, prima di prendere una decisione così grossa mi piacerebbe parlare con qualcuno di Medical Database, sa per essere sicuro che siano proprio adatti a noi. Voi solitamente con chi parlate quando vi serve supporto tecnico da loro?”.
Silvia: “Mmm, allora si chiama Matteo Benetti”.
Antonio: “Guardi, mi dà il numero così lo chiamo direttamente?”
Silvia: “Certo, il numero è 800 945654”.
Antonio: “Grazie mille Silvia, è stata gentilissima, scusi se l’ho disturbata. Senta, nel caso avessi bisogno posso ricontattarla? Le prometto che non sarò asfissiante”.
Silvia: “Certo, ci mancherebbe, tenga conto che non potrò risponderle di venerdì pomeriggio, poichè non lavoro quel giorno”.
Antonio: “Ricevuto, grazie mille buona giornata”.
Silvia: “Si figuri, buona giornata a lei”.
Antonio (con tono di voce tranquillo e rilassato): “Si, buongiorno Silvia, mi chiamo Marco De Luigi, sono il proprietario di una società simile alla vostra, si chiama GRUPPO MEDICINA. Senta, se non la disturbo vorrei chiederle una cosa. Stavo pensando di acquistare un nuovo sistema di fatturazione medica, con quello attuale ho sempre dei problemi. Voi ne avete uno efficace da consigliarmi, ne utilizzate uno completamente automatizzato attualmente?”. (notate: la domanda è apparentemente innocua, si tratta di un dottore esasperato dal cattivo funzionamento di un suo data-base che chiede consiglio ad un’altra ditta del settore).
Silvia: “Mah guardi, in questo momento noi utilizziamo un software chiamato Medical Database, siamo molto soddisfatti, è una ditta di Milano”.
Antonio: “Ah grazie, senta noi abbiamo sede nel Lazio. Loro, che lei sappia, offrono un supporto tecnico telefonico oppure on-line, in modo che possiamo anche noi appoggiarci a loro senza problemi di distanza?”.
Silvia: “Sì sì, il supporto tecnico funziona a meraviglia. Sono io per altro l’amministratore del software qui in azienda. Loro fanno tutto attraverso un modem connesso al sistema, pensi che non abbiamo mai avuto la necessità di farli venire da noi”.
Antonio: “Ok, grazie mille Silvia. Senta, prima di prendere una decisione così grossa mi piacerebbe parlare con qualcuno di Medical Database, sa per essere sicuro che siano proprio adatti a noi. Voi solitamente con chi parlate quando vi serve supporto tecnico da loro?”.
Silvia: “Mmm, allora si chiama Matteo Benetti”.
Antonio: “Guardi, mi dà il numero così lo chiamo direttamente?”
Silvia: “Certo, il numero è 800 945654”.
Antonio: “Grazie mille Silvia, è stata gentilissima, scusi se l’ho disturbata. Senta, nel caso avessi bisogno posso ricontattarla? Le prometto che non sarò asfissiante”.
Silvia: “Certo, ci mancherebbe, tenga conto che non potrò risponderle di venerdì pomeriggio, poichè non lavoro quel giorno”.
Antonio: “Ricevuto, grazie mille buona giornata”.
Silvia: “Si figuri, buona giornata a lei”.
Semplicemente con una telefonata, Antonio ha ottenuto
informazioni apparentemente banali ed innocue, che potrà però utilizzare per
sferrare l’attacco decisivo. E’ infatti venuto a conoscenza delle seguenti
informazioni:
– La ditta FARM ZETA-BI utilizza un software di fatturazione chiamato “Medical Database”.
– L’amministratore del software in ditta è una certa Silvia (la donna con cui ha conversato al telefono).
– La persona che la FARM ZEA-BI chiama per il supporto tecnico si chiama Matteo Benetti, il numero è 800 945654.
– La “Medical Database” accede ai loro computer direttamente via modem.
– Silvia non c’è di venerdì pomeriggio.
– La ditta FARM ZETA-BI utilizza un software di fatturazione chiamato “Medical Database”.
– L’amministratore del software in ditta è una certa Silvia (la donna con cui ha conversato al telefono).
– La persona che la FARM ZEA-BI chiama per il supporto tecnico si chiama Matteo Benetti, il numero è 800 945654.
– La “Medical Database” accede ai loro computer direttamente via modem.
– Silvia non c’è di venerdì pomeriggio.
Antonio
chiama una seconda volta in azienda, proprio di venerdì, nel tardo pomeriggio.
Antonio sa perfettamente che chiunque risponderà avrà la testa già rivolta al
week-end, e vorrà sbrigare la cosa molto velocemente.
Venerdì, ore
17.45
Giovanni sente squillare il telefono. E’ venerdì pomeriggio e
sta per staccare dal lavoro. Spera vivamente che quest’ultima telefonata non
gli faccia prolungare l’orario di lavoro, poiché aveva in mente un week-end di
assoluto riposo. Risponde svogliatamente.
Giovanni: “Buona sera, FARM ZETA-BI, sono Giovanni in cosa posso esserle utile?”.
Antonio: “Buona sera Giovanni, sono Maurizio Dergani della “Medical Database”, avrei bisogno di parlare con Silvia”.
Giovanni: “E’ venerdì, Silvia non c’è, la sostituisco io nella gestione del vostro data-base”.
Antonio: “Ah ok. So che solitamente lavorate con Matteo Benetti ma in questo momento è impegnato con un altro cliente e mi ha chiesto di intervenire”. (notate in questo caso il principio di familiarità. Questo Maurizio Dergani conosce Silvia e sa perfettamente che di solito lei viene contattata da Matteo Benetti. Perciò Giovanni non ha motivo di temere il peggio, secondo il suo punto di vista chi conosce certe informazioni non può che essere chi dice di essere, perciò non viene assalito dal minimo sospetto).
Antonio: “Senta c’è un problema, stiamo contattando tutti i nostri clienti perché purtroppo nell’ultimo aggiornamento era contenuto un virus che provoca l’alterazione di tutti i record degli account, ma ce ne siamo accorti soltanto questo pomeriggio. Tutto il nostro team di supporto tecnico è incaricato di contattare rapidamente tutti i clienti per risolvere il problema. Dovrei connettermi al vostro sistema per correggerlo, ma non ho le informazioni di Matteo qui davanti a me, sa il numero di modem, log-in e password. Lei può recuperarmele? Perché se dobbiamo aspettare il rientro di Silvia è un problema, il virus infatti avrebbe tutto il week-end per danneggiare il sistema”. (notate in questo caso la “paura” che Antonio ha trasmesso a Gianni. Gli sta facendo credere che se non gli darà le credenziali, per colpa SUA accadrà un danno irreparabile. Notate inoltre il principio di reciprocità: Antonio insinua nella testa di Gianni il fatto di stargli facendo un favore, risolvendo un problema che in realtà non esiste, e Gianni sarà meglio disposto a fornirgli le credenziali).
Gianni (terrorizzato): “Certo, allora aspetti. Il numero di modem è 505-567-094, la log-in è “Silvia-82” e la password è “medi_cina”.
Antonio: “Ottimo! Grazie Gianni è stato veramente di grande aiuto. Guardi posso correggere tutto da qui perciò abbiamo finito, può godersi pure il week-end, non è necessario che lei rimanga in ufficio”.
Gianni (notevolmente sollevato): “Ok grazie a voi, buon lavoro e buona serata”.
Antonio: “A lei Gianni, buon week-end”.
A questo punto Antonio possiede le credenziali per accedere al sistema di fatturazione di una grossa ditta del settore farmaceutico. Qui potrà estrarre nomi e listino prezzi di tutti i clienti della società: informazioni che valgono migliaia di euro, se vendute ad un concorrente. Il tutto con due telefonate da 5 minuti.
Giovanni: “Buona sera, FARM ZETA-BI, sono Giovanni in cosa posso esserle utile?”.
Antonio: “Buona sera Giovanni, sono Maurizio Dergani della “Medical Database”, avrei bisogno di parlare con Silvia”.
Giovanni: “E’ venerdì, Silvia non c’è, la sostituisco io nella gestione del vostro data-base”.
Antonio: “Ah ok. So che solitamente lavorate con Matteo Benetti ma in questo momento è impegnato con un altro cliente e mi ha chiesto di intervenire”. (notate in questo caso il principio di familiarità. Questo Maurizio Dergani conosce Silvia e sa perfettamente che di solito lei viene contattata da Matteo Benetti. Perciò Giovanni non ha motivo di temere il peggio, secondo il suo punto di vista chi conosce certe informazioni non può che essere chi dice di essere, perciò non viene assalito dal minimo sospetto).
Antonio: “Senta c’è un problema, stiamo contattando tutti i nostri clienti perché purtroppo nell’ultimo aggiornamento era contenuto un virus che provoca l’alterazione di tutti i record degli account, ma ce ne siamo accorti soltanto questo pomeriggio. Tutto il nostro team di supporto tecnico è incaricato di contattare rapidamente tutti i clienti per risolvere il problema. Dovrei connettermi al vostro sistema per correggerlo, ma non ho le informazioni di Matteo qui davanti a me, sa il numero di modem, log-in e password. Lei può recuperarmele? Perché se dobbiamo aspettare il rientro di Silvia è un problema, il virus infatti avrebbe tutto il week-end per danneggiare il sistema”. (notate in questo caso la “paura” che Antonio ha trasmesso a Gianni. Gli sta facendo credere che se non gli darà le credenziali, per colpa SUA accadrà un danno irreparabile. Notate inoltre il principio di reciprocità: Antonio insinua nella testa di Gianni il fatto di stargli facendo un favore, risolvendo un problema che in realtà non esiste, e Gianni sarà meglio disposto a fornirgli le credenziali).
Gianni (terrorizzato): “Certo, allora aspetti. Il numero di modem è 505-567-094, la log-in è “Silvia-82” e la password è “medi_cina”.
Antonio: “Ottimo! Grazie Gianni è stato veramente di grande aiuto. Guardi posso correggere tutto da qui perciò abbiamo finito, può godersi pure il week-end, non è necessario che lei rimanga in ufficio”.
Gianni (notevolmente sollevato): “Ok grazie a voi, buon lavoro e buona serata”.
Antonio: “A lei Gianni, buon week-end”.
A questo punto Antonio possiede le credenziali per accedere al sistema di fatturazione di una grossa ditta del settore farmaceutico. Qui potrà estrarre nomi e listino prezzi di tutti i clienti della società: informazioni che valgono migliaia di euro, se vendute ad un concorrente. Il tutto con due telefonate da 5 minuti.
Nessun commento:
Posta un commento