Che ci piaccia o meno, le nostre informazioni sono facilmente reperibili su internet. Quest’ultimo ci ha permesso, in quanto popolo propenso alla condivisione e alla socializzazione, di essere globalmente vicini. Sui social network condividiamo la nostra vita personale, basta pensare alla miriade di post creati ogni giorno su piattaforme come Facebook e Instagram.
Internet ci ha donato un grande potere, quello della condivisione di informazioni. Se da un lato questo potere comporta una grande serie di vantaggi, dall’altro questo tipo di esposizione ci rende vulnerabili ad attacchi di ingegneria sociale.
Cos’è l’ingegneria sociale? è un insieme di tecniche psicologiche atte alla manipolazione di un individuo allo scopo di carpire informazioni riservate ma senza che la vittima si accorga dello scopo malevolo.
Un ingegnere sociale potrebbe fingersi un amico o un collega e contattarti per telefono, e-mail, finti siti web. Quindi innanzitutto non si viola un sistema informatico, si manipola una persona. Lo scopo del social engineering è ottenere informazioni senza che tu possa rendertene conto.
Un ingegnere sociale può scegliere un obiettivo, come per esempio una grossa azienda, raccogliere informazioni personali su un dipendente di quest’ultima e utilizzare queste informazioni per manipolarlo in modo da ottenere ulteriori informazioni che siano utili per ottenere l’accesso ai sistemi di quell’azienda.
Prendiamo come esempio concreto il caso di Twitter.
Negli ultimi anni, i più importanti attacchi informatici sono stati portati a compimento tramite delle tecniche disocial engineering. L’ingegneria sociale proprio per questo motivo è diventata oggetto di studio e di grande considerazione nel campo della sicurezza informatica e aumentano sempre di più le campagne atte ad aumentare la consapevolezza del singolo individuo per proteggersi da questo tipo di inganni.
Il 15 luglio 2020, è avvenuto il più grande attacco hacker della storia di Twitter. E questo attacco è stato compiuto con successo proprio grazie a tecniche di social engineering. Cosa è successo: il 15 luglio, diversi account con milioni di follower, sono stati violati per promuovere una truffa basata su Bitcoin. Inizialmente si erano prese di mira soltanto personalità o aziende del mondo delle criptovalute stesso, ma successivamente il target è stato ampliato fino a raggiungere persone note in ambito tecnologico, come Bill Gates e Jeff Bezos, o celebrità come Kanye West. Gli account violati sono stati 130.
Come ci sono riusciti? Proprio tramite il social engineering. Gli attaccanti avranno probabilmente cercato informazioni sui dipendenti di twitter tramite linkedin e manipolato questi ultimi riuscendo ad ottenere l’accesso a un account gestionale che poteva disabilitare l’autenticazione a due fattori degli utenti twitter e resettare la loro password. L’attacco ha seguito le seguenti fasi:
FASE 1 – Ricognizione
Gli aggressori probabilmente hanno cercato i profili dei social media dei dipendenti di Twitter per individuare gli amministratori di
sistema che probabilmente avevano accesso alla piattaforma interna.
FASE 2 – Manipolazione dipendenti di Twitter
Utilizzando le informazioni personali raccolte da questo lavoro di ricognizione, gli aggressori hanno impersonificato un dipendente di twitter e manipolato un collega per ottenere le credenziali
FASE 3 – Acquisizione accesso ai sistemi
Utilizzando queste credenziali, gli aggressori sono stati in grado di accedere direttamente alla piattaforma di amministrazione interna
FASE 4 – Compromissione account di Twitter
Con l’accesso e il controllo della piattaforma interna, gli aggressori hanno preso di mira 130 account e ne hanno compromessi 45 disabilitando l’autenticazione a due fattori e/o resettando la password.
Se cerchi il miglior avvocato penalista per reati informatici, lo Studio Legale Del Monte, con l’esperienza maturata negli anni, è all’avanguardia nella difesa tecnica nell’ambito dei Cybercrime grazie a consulenti tecnici sempre presenti all’interno dello studio.Per maggiori informazioni clicca al seguente link: https://delmontestudiolegale.it/aree-di-competenza/avvocato-reati-informatici/