Simple, Free Image and File Hosting at MediaFire

La natura umana è debole. E su questo si basa il social hacking che sarebbe, comunque, più opportuno chiamare social cracking. S tratta dell’attività maligna di individui o di organizzazioni che per carpire segreti informati (come password e credenziali di accesso a password ed altri dati riservati) utilizzano, anzichè mezzi informatici, azioni di caeattere sociale e/o personale. Tanto per inquadrare meglio la questione e facendo un esempio banale immaginiamo che un nostro vicino di casa che riteniamo affidabile ci chieda la paswoied per accedere al nostro router adducendo la scusa che il suo è guasto e che sarà riparato nei prossimi giorni. Una volta ottenuta la passwond la userà poi per fini truffaldini (ricordiamoci che si tratta di un semplice esempio). In questo caso tale persona ha compiuto un attacco di social hacking. Ovviamente gli strumenti manipolatori di chi usa aggressioni di questo tipo possono essere molto sofisticati e complessi e possomo, inoltre, comportare una forte maniopolazione della vittima

Gli strumenti maggiormente utilizzati per questo tipo di attacco , secondo Wikipedia sono:

Effettuare un attacco di hacking sociale comporta la ricerca di punti deboli nel comportamento degli utenti che possono essere sfruttati attraverso mezzi apparentemente legittimi. [3] Tre metodi di attacco popolari includono l’immersione con cassonetti, giochi di ruolo e spear-phishing.

Dumpster Diving

Spulciando tra i rifiuti è una tattica popolare per gli hacker sociali recuperare informazioni sulle abitudini, le attività e le interazioni di organizzazioni e individui. Le informazioni recuperate dalla proprietà scartata consentono agli hacker sociali di creare profili efficaci dei loro obiettivi. Le informazioni di contatto personali come i titoli dei dipendenti e i numeri di telefono possono essere acquisite da rubriche o elenchi telefonici eliminati e utilizzate per ottenere ulteriori informazioni tecniche quali dati di accesso e password di sicurezza. Un’altra scoperta vantaggiosa per gli hacker sociali è l’hardware scartato, in particolare i dischi rigidi che non sono stati puliti correttamente e contengono ancora informazioni private e accurate su aziende o individui. [1] Dal momento che navigare attraverso la spazzatura della gente non è un crimine e non richiede un mandato, è una risorsa ricca per gli hacker sociali, così come uno accessibile dalla legge. Le immersioni con cassonetto possono produrre risultati fruttuosi, anche se puzzolenti, per i cercatori di informazioni come investigatori privati , stalker, ficcanaso vicini e la polizia.

Gioco di ruolo

Stabilire fiducia ingannando le persone a credere nella legittimità di un falso personaggio è uno dei principi principali dell’hacking sociale. Adottare una personalità falsa o impersonare una figura conosciuta per ingannare le vittime nella condivisione dei dettagli personali può essere fatto di persona o tramite una conversazione telefonica.

Di persona

Proponendosi come manutentori di terze parti in un edificio per uffici, medici in un ospedale o in molte altre forme, gli hacker sociali possono superare inosservati il ​​personale della sicurezza e altri dipendenti. In entrambi gli esempi, l’abbigliamento uniforme è associato a specifiche funzioni lavorative, dando alle persone ragione per fidarsi degli imitatori. Una manovra più complicata comporterebbe un ciclo di pianificazione più lungo, come l’assunzione di posti di lavoro all’interno di un’organizzazione bersaglio di un attacco.

Nel film Ocean’s Eleven , un sofisticato equipaggio di truffatori trama un furto elaborato per derubare tre famosi casinò di Las Vegas assimilandosi alle attività quotidiane delle operazioni dei casinò. Sebbene la rapina sia eseguita in meno di un giorno, il ciclo di pianificazione è lungo e particolarmente fastidioso. Una funzione imperativa dell’attacco è quella di presentare la credibilità nei ruoli che vengono impersonati, a cui è inevitabilmente richiesta attenzione per i dettagli.

Tailgating

Tailgating è l’atto di seguire qualcuno in uno spazio ristretto, come un edificio per uffici o un’istituzione accademica. Gli addetti alla manutenzione di terzi o il personale medico, come menzionato sopra, spesso hanno una causa limitata per giustificare la loro credibilità a causa delle loro apparenze. Simile al gioco di ruolo, funzioni tailgating attorno all’assunzione di familiarità e fiducia. [4] Le persone hanno meno probabilità di reagire in modo sospetto a tutti coloro che sembrano adattarsi all’ambiente circostante, e saranno ancora meno soggetti a mettere in discussione individui che non richiamano l’attenzione su se stessi. Seguire dietro qualcuno in modo discreto può persino eliminare la necessità di stabilire un rapporto con il personale autorizzato.

Spear Phishing

Gli hacker informatici online includono ” spear phishing ” in cui gli hacker truffano le loro vittime per rilasciare informazioni sensibili su se stessi o sulla loro organizzazione. Gli hacker punteranno le persone all’interno di organizzazioni specifiche inviando email che sembrano provenire da fonti attendibili compresi gli alti funzionari all’interno dell’organizzazione che detengono posizioni di autorità. Per apparire convincente, il messaggio di posta elettronica di un hacker sociale deve stabilire un tono di familiarità che smentisce ogni sospetto dal suo destinatario. L’e-mail è progettata per presentare una richiesta di informazioni che si collega logicamente alla persona che la invia. [5] Spesso i dipendenti dell’azienda cadono preda di queste e-mail e condividono informazioni personali come numeri di telefono o password, pensando che il trasferimento di informazioni avvenga in un ambiente sicuro. In scenari più sinistri, le e-mail degli hacker possono essere incorporate con malware che infetta i computer delle vittime a loro insaputa e trasferisce segretamente i dati privati ​​direttamente agli hacker. [6]

Un esempio di successo dello spear phishing è stato ampiamente pubblicizzato sui media nel gennaio 2014, quando Target , un rivenditore con sede negli Stati Uniti, ha subito una violazione della sicurezza che ha consentito agli hacker di rubare le informazioni relative alla carta di credito e ai dati personali dei clienti . [7] Successivamente, è stato rivelato che i criminali informatici sono stati in grado di accedere ai file di dati personali e finanziari di Target rivolgendosi a una società meccanica di terze parti che aveva accesso alle credenziali della rete di Target. Le implicazioni sociali di un attacco sociale di così alto profilo influenzano la popolarità di Target come rivenditore, ma anche la fiducia e la lealtà dei consumatori nei confronti del marchio.