Il Social Engineering appartiene alla cosiddetta fase di discovery durante un penetration test. In pratica è la fase in cui si cerca di raccogliere quante più informazioni possibili sul bersaglio per capire i suoi punti deboli, le sue passioni ed i suoi interessi.

Security-Forge-adesivi-auto

Un esempio tipico è quello di leggere i nomi dei componenti della famiglia dietro il lunotto posteriore dell’automobile. Da questo solo dato ci sono diverse informazioni che si possono carpire: 

  1. Nome e pressappoco età dei figli
  2. Numero componenti del nucleo familiare
  3. Nome dei genitori

E da qui un attaccante comincia a studiare un possibile attacco. Per esempio, sapendo il nome di uno dei figli, l’attaccante può fingersi la scuola dicendo che c’è un’emergenza e che bisogna correre a scuola. In questi casi i genitori non pensano più molto a cosa stanno facendo e di conseguenza è più facile che siano impreparati.

 

Per ottenere dati ed informazioni di questo tipo gli attaccanti attingono a piene mani soprattutto dal web, dai social e anche dai nostri dispositivi IoT. 

Accade spesso infatti che i dati rubati da un’azienda produttrice di dispositivi IoT finiscano nel dark web e da lì vengono poi sfruttati dagli attaccanti. Inoltre spesso questi dispositivi non sono configurati correttamente o peggio ed è quindi relativamente semplice bypassare le loro misure di sicurezza. Un esempio in questo caso è rappresentato dalle webcam, collegate ad Internet e non adeguatamente protette se ne trovano migliaia, una volta che un attaccante può vedere cosa facciamo, chi incontriamo, arricchisce le sue conoscenze su di noi, e diventa quindi ancora più semplice studiare un attacco di un qualche tipo.