La raccolta delle informazioni non è così impegnativa come qualche anno fa quando si otterrebbero solo dettagli su un obiettivo direttamente dal target o dal chiedere in giro. Internet, più specificamente l’uso dei social media, ha semplificato questa fase con tecniche più recenti e più veloci di raccolta dei dati. Nel processo di raccolta dei dati, nessun pezzo di dati è detto di essere irrilevante. Solo un piccolo po ‘ di informazioni, come il comune preferito di un bersaglio, potrebbe essere sufficiente per consentire all’ingegnere sociale di riuscire a convincere il bersaglio ad agire in un certo modo. È importante per un ingegnere sociale sapere che tipo di informazioni cercare. C’è un sovraccarico di informazioni e molte informazioni irrilevanti possono essere raccolte. È anche bene conoscere le fonti in cui è possibile trovare questo tipo di informazioni. Avere informazioni non è sufficiente, è importante sapere come utilizzare le informazioni raccolte per profilare un obiettivo e renderli più prevedibili

La raccolta di informazioni può essere effettuata in due grandi categorie di metodi: metodi tecnici e non tecnici. Come suggerisce il nome, i metodi tecnici dipendono da tecniche di raccolta di informazioni assistite dal computer. Tuttavia, non vi è alcuna garanzia che un particolare strumento o pezzo di apparecchiatura elettronica possa ottenere informazioni sufficienti su un obiettivo. Pertanto, un mix dei seguenti strumenti e dispositivi potrebbe essere utilizzato per raccogliere informazioni sugli obiettivi. Gli ingegneri sociali utilizzeranno più strumenti/tecniche di raccolta delle informazioni e uniranno le informazioni che ottengono per costruire un profilo per i loro obiettivi.

Metodi di raccolta di informazioni tecniche

Ci sono molti strumenti in fase di sviluppo oggi appositamente per la raccolta di informazioni durante gli attacchi di ingegneria sociale. Probabilmente lo strumento di maggior successo per questo è una distribuzione Linux chiamata Kali. Contiene una suite di oltre 300 strumenti specificamente progettati per raccogliere informazioni su un target. Dal 300, restringiamoli ai due strumenti più popolari che si distinguono dall’elenco in quanto non raccolgono i dati, ma aiutano nella memorizzazione e nel recupero di essi. Questi sono i seguenti:

La figura seguente è uno screenshot dal www.kali.org sito web dove è possibile scaricare Kali Linux e utilizzare i seguenti strumenti:

 Nessun testo alt fornito per questa immagine

BasKet

BasKet è un programma Linux gratuito e open-source che funziona più come uno strumento di archiviazione dati avanzato per aiutare un ingegnere sociale nel processo di raccolta dei dati. Ha l’aspetto familiare di blocco note, ma viene fornito con un sacco di funzionalità. Serve come repository per informazioni testuali e grafiche che un ingegnere sociale raccoglie su un particolare target. Può sembrare semplice o addirittura inutile durante un attacco di ingegneria sociale, ma in realtà serve uno scopo che è difficile da replicare in word processor come Microsoft Word. BasKet utilizza un layout simile a una scheda per consentire al social engineer di posizionare ogni tipo di informazione su un target in modo ordinato e facile da leggere o recuperare. Ad esempio, le immagini potrebbero essere in una scheda, le informazioni di contatto in un’altra, le informazioni sui social media su una terza e i dettagli della posizione fisica in una separata. Un ingegnere sociale continuerà ad aggiornare queste schede ogni volta che si imbattono in ulteriori informazioni. Alla fine del processo, BasKet consente all’ingegnere sociale di esportare queste informazioni come una pagina HTML in cui comprime tutte le informazioni insieme rendendole più portabili, accessibili e condivisibili.

Dradis

Dradis (https://dradisframework.com/ce/) è un libero e open source Linux, Windows e macOS applicazione che viene utilizzato nella memorizzazione di informazioni. Ha un aspetto più avanzato che ha il blocco note di BasKet come l’aspetto. Dradis è anche più avanzato nelle sue funzionalità in quanto agisce come un repository centralizzato e utilizza un’interfaccia utente basata sul Web per consentire agli utenti di interagire con esso. Invece di schede (come cestino), Dradis utilizza rami che consentono a un utente di aggiungere diversi tipi di informazioni insieme. Dradis può gestire enormi quantità di dati che altrimenti sarebbero problematici per BasKet. È, quindi, comunemente usato quando ci sono molte informazioni che devono essere ordinate in base alla destinazione.

Dopo aver fatto con i due principali strumenti di archiviazione dei dati, è giunto il momento di esaminare i modi attraverso i quali gli ingegneri sociali raccolgono le informazioni. Quanto segue è una discussione di questi:

Siti Web

Uno degli alveari contenenti informazioni sugli obiettivi è siti web aziendali e personali. I siti web aziendali possono contenere informazioni sul personale e sui clienti. I siti web personali, d’altra parte, contengono informazioni puramente sugli individui. Con abbastanza scavare intorno, siti web possono essere in grado di rivelare un sacco di informazioni. I siti Web personali possono indicare gli impegni di un individuo in termini di lavoro, posizione fisica, informazioni di contatto e alcune parole speciali che possono essere utilizzate nella profilazione delle password.

Per quanto riguarda l’ultimo punto, è noto che per motivi di familiarità, le persone tendono a includere alcune frasi o parole a loro familiari come la data di nascita, il nome del partner, il nome dell’animale o il proprio nome. I siti web aziendali sono in grado di fornire biografie del loro personale, in particolare quelli di alto rango e le loro informazioni di contatto di lavoro. Se si desidera indirizzare l’organizzazione con un allegato e-mail dannoso, inviarlo agli indirizzi e-mail forniti su un sito Web aziendale ha maggiori possibilità di consegnare il payload direttamente all’interno dell’organizzazione.

Motori di ricerca

Si dice che internet non dimentichi mai. Se volete sapere qualcosa, conoscere il modo giusto per chiedere potrebbe ottenere quasi tutte le informazioni desiderate. Google, il motore di ricerca dominante, è uno strumento chiave per un ingegnere sociale che viene utilizzato per dissotterrare informazioni sugli obiettivi su Internet. Andremo oltre alcune delle frasi di ricerca che gli ingegneri sociali utilizzano per la caccia di informazioni sugli obiettivi utilizzando Google:

  1. Per cercare le informazioni di un target all’interno di un dominio specifico, ad esempio un sito aziendale, è possibile utilizzare la seguente query:
Site: www.websitename.com "John Doe"

Se qualcosa su John Doe è contenuto nel sito web, Google lo indicizzerà nei risultati di ricerca della query.

  1. Per cercare le informazioni di un target nel titolo di qualsiasi sito web indicizzato da Google, viene utilizzata la seguente query
Intitle:John Doe

È importante capire che la spaziatura tra le due parole indica a Google di cercare anche i titoli che hanno John e sono seguiti da testo contenente la parola Doe. Questa è una query molto utile poiché catturerà le informazioni di un target contenute nei titoli di più siti web. Questa query produrrà informazioni dai siti aziendali alle piattaforme di social media perché spesso utilizzeranno il nome di una persona come titolo in alcune pagine.

  1. Per cercare le informazioni di un target nell’URL di qualsiasi sito web, è possibile fornire a Google la seguente query:
Inurl:john doe

Si tratta di una pratica comune in molte organizzazioni di utilizzare le parole in titoli web in URL per scopi SEO. Questa query identifica il nome di una persona dagli URL indicizzati da Google. È importante notare che la query cercherà gli URL johnin e doe in modo simile a quello discusso in precedenza. Se un ingegnere sociale desidera cercare tutti i nomi del target nell’URL piuttosto che uno nell’URL e un altro nel testo, è possibile utilizzare la seguente query:

Allinurl:John Doe

La query limiterà i risultati a quelli in cui l’URL include sia il nome John che Doe.

  1. In molti più casi, una destinazione avrà applicato per i lavori utilizzando schede di lavoro. Alcune schede di lavoro mantengono il curriculum vitae del target sui loro siti web. Inoltre, alcune organizzazioni mantengono il curriculum vitae dei loro candidati di lavoro sui loro siti. Un curriculum vitae contiene dettagli altamente sensibili su una persona. Esso contiene il vero nome della persona, numero di telefono reale, indirizzo e-mail reale, background educativo, e la storia del lavoro. Ha una ricchezza di informazioni che è molto utile per un attacco di ingegneria sociale. Per cercare i dettagli privati di un target, il social engineer può utilizzare la seguente query:
"John Doe" intitle:"curriculum vitae" "phone" "address" "email"

È una query molto potente che setaccerà l’intera Internet per informazioni su John Doe che ha titoli con informazioni come curriculum vitae, numero di telefono, e-mail e indirizzo postale.

  1. La seguente query viene utilizzata per raccogliere informazioni, non su una determinata persona, ma piuttosto su un’organizzazione. Si rivolge a rilasci riservati di informazioni all’interno dell’organizzazione che possono essere pubblicati su siti web:
intitle:"not for distribution" "confidential" site:websitename.com

La query cercherà qualsiasi cosa pubblicata con il titolo non per la distribuzione o confidenziale in un sito web. Questa ricerca potrebbe portare alla luce informazioni di cui alcuni dipendenti dell’organizzazione potrebbero non essere nemmeno a conoscenza. È una query molto utile in un attacco di ingegneria sociale quando un ingegnere sociale vuole apparire informato su questioni interne di un’organizzazione a un determinato target.

  1. Uno dei pretesti comunemente usati per entrare nei locali custoditi è quello di una persona di riparazione IT o di rete contattata urgentemente dall’azienda. Le guardie saranno pronte a far entrare una persona del genere e saranno in grado di eseguire un attacco in mezzo ad altri dipendenti senza sollevare allarmi. Per essere in grado di prendere un tale pretesto, un ingegnere sociale deve essere informato sulla rete interna o sull’infrastruttura dell’organizzazione. Di seguito è riportato un gruppo di query di ricerca che potrebbero fornire queste informazioni a un ingegnere sociale:
Intitle:"Network Vulnerability Assessment Report"Intitle:"Host Vulnerability summary report"

Queste informazioni possono essere utilizzate anche in alcune parti dell’attacco poiché rivelano anche punti deboli che possono essere sfruttati nella rete del bersaglio o negli host collegati alla rete.

  1. Per cercare le password utilizzate dagli utenti in una rete organizzativa, un backup di queste password potrebbe essere un luogo utile per iniziare a cercare. Come tale, la seguente query potrebbe tornare utile:
Site:websitename.com filetype:SQL ("password values" || "passwd" || "old passwords" || "passwords" "user password")

Questa query cerca i file SQL memorizzati nel dominio di un sito Web che hanno i valori nome password, password, vecchie password, password o password utente. Questi file, anche se potrebbero non avere le password correnti dell’utente, potrebbero fornire informazioni sufficienti a un utente malintenzionato per profilare le password correnti degli utenti. Ad esempio, c’è un’alta probabilità che la vecchia password e-mail di un dipendente cambi in una nuova password.

Ci sono molte altre query di ricerca dei dati che possono essere utilizzate in Google e in altri motori di ricerca. Quelli discussi sono solo i più comunemente usati. Una parola di cautela è che Internet non dimentica mai e anche quando alcune informazioni vengono eliminate, ci sono altri siti che memorizzano i file memorizzati nella cache sul sito web. Pertanto, è meglio che le organizzazioni non pubblichino pubblicamente le loro informazioni sensibili.

Pipl

Un altro strumento comunemente usato per raccogliere informazioni su un target è Pipl (https://pipl.com). Pipl archivia le informazioni sulle persone e le offre gratuitamente a chiunque desideri accedervi. Memorizza informazioni come i nomi reali di una persona, indirizzo email, numero di telefono, indirizzo fisico e account di social media. Accanto a questo, offre un’opzione a pagamento per raccogliere informazioni sui parenti di una persona a partire dai loro fratelli e genitori. È una miniera d’oro per gli ingegneri sociali poiché con pochissimo sforzo, sono in grado di accedere a una tonnellata di informazioni sui loro obiettivi. Prendiamo un esempio di vita reale invece del John Doe comunemente usato, che può avere molti risultati. Usiamo uno non comune come Erdal Ozkaya:

Nessun testo alt previsto per questa immagine

Il sito indicizza una serie di risultati per i nomi che abbiamo cercato, cerchiamo di esplorare il primo risultato. È di un Erdal Ozkaya, un maschio di 40 anni di Sydney, Australia. Il sito ci offre link sponsorizzati per trovare record vitali, dettagli di contatto, e rapporti nome utente. Andiamo avanti e fare clic sul nome e vedere che cosa il sito ha circa Erdal Ozkaya che è disponibile gratuitamente:

Nessun testo alt previsto per questa immagine

Il sito è in grado di estrarre ulteriori informazioni su questo nome. Ora sappiamo che lui (in questo caso me) sta lavorando come architetto di sicurezza informatica presso Microsoft, ha un dottorato in sicurezza informatica e un master in sicurezza presso la Charles Sturt University ed è associato o correlato con alcune persone, che ho offuscato per motivi di privacy, che potrebbero essere i suoi genitori e fratelli. Da un perfetto sconosciuto, ora sappiamo molto su di lui e abbiamo informazioni che possiamo usare per raccogliere di più su di lui.

Da qui, è facile cercare ulteriori informazioni utilizzando le query speciali di Google di cui abbiamo discusso in precedenza. Si può andare avanti per trovare il suo CV, che conterrà più informazioni di contatto.

Dal nostro esempio, abbiamo esplorato alcune delle capacità di Pipl quando si tratta di cercare informazioni sugli obiettivi. Con tali siti a disposizione di chiunque, è chiaro che la privacy non è altro che un’illusione. Siti come questi ottengono le loro informazioni da piattaforme di social media, siti Web aziendali, dati venduti da terzi, dati rilasciati da hacker, dati rubati da altri siti Web e persino dati detenuti da agenzie governative. Questo particolare sito è in grado di ottenere precedenti penali su un bersaglio, il che significa che ha accesso ad alcuni record di crimine. Ciò che è preoccupante è che questi siti non sono illegali e continueranno ad aggiungere dati sulle persone per molto tempo a venire. È una buona notizia per un ingegnere sociale, ma una cattiva notizia per chiunque altro possa essere un bersaglio. I proprietari del sito non possono essere costretti a rimuovere i dati che contengono e quindi una volta che i tuoi dati arrivano a loro, non c’è modo che tu possa nasconderti. Il sito può solo diventare più forte con più informazioni.

Whoi.net

Ancora sui siti che archiviano le informazioni, Whois.net è ancora un altro che serve quasi lo stesso scopo di Pipl. Whois.net elenca informazioni come gli indirizzi e-mail, i numeri di telefono e gli indirizzi IP delle destinazioni su cui si cercano informazioni. Whois.net ha anche accesso alle informazioni sui domini. Se un target ha un sito web personale, Whois.net è in grado di scoprire dettagli precisi sul registrante e registrar del nome di dominio, la sua registrazione e la data di scadenza, e le informazioni di contatto del proprietario del sito. Proprio come Pipl, le informazioni ottenute qui potrebbero essere utilizzate per ottenere maggiori informazioni su un bersaglio e quindi essere in grado di lanciare un attacco riuscito.

Social media

Miliardi di persone hanno abbracciato i social media finora. Utilizzando queste piattaforme, gli ingegneri sociali possono trovare un sacco di informazioni sulla maggior parte dei loro obiettivi. La maggior parte degli obiettivi avrà account Facebook, Twitter, Instagram o LinkedIn. La bellezza dei social media è che incoraggia gli utenti a condividere i dettagli personali della loro vita su Internet. Gli utenti dei social media sono convenientemente disattenti e finiscono per dare anche pezzi sensibili di informazioni al mondo intero senza pensare alle conseguenze. È chiaro da queste affermazioni che i social media non stanno facendo altro che aggravare il problema. Sta creando un ricco pool di informazioni da cui gli ingegneri sociali possono pescare dettagli sugli obiettivi senza destare sospetti.

Di seguito è riportato uno screenshot di Facebook, che fornisce molte informazioni pubblicamente:

No alt testo fornito per questa immagine

Entro un paio di minuti di ricerca su più piattaforme di social media, un ingegnere sociale è in grado di raccogliere il target hobby, luogo di lavoro, simpatie e antipatie, familiari, e più informazioni private. Gli utenti dei social media sono pronti a vantarsi di essere fuori per le vacanze, lavorano in determinati luoghi, fanno determinati lavori nei loro luoghi di lavoro, le loro nuove auto e le scuole in cui portano i loro figli. Non hanno paura di mostrare i loro badge di lavoro su questi siti di social media, badge che gli ingegneri sociali potrebbero duplicare e utilizzare per entrare in organizzazioni con. Gli utenti dei social media potranno anche fare amicizia o seguire estranei a condizione che corrispondano hobby e interessi. Si tratta di un mondo pazzo lì che mette potenziali obiettivi in svantaggio dal momento che questi siti sono progettati per rendere le persone si aprono a sconosciuti su Internet. Informazioni che è stato tradizionalmente memorizzato per le conversazioni faccia a faccia è ora messo fuori per il mondo a vedere. La cosa brutta è che sia le persone ben motivate che quelle mal motivate vi accedono.

Queste informazioni potrebbero essere utilizzate da un ingegnere sociale per profilare un target. Queste informazioni possono tornare utili quando convincono un bersaglio a intraprendere alcune azioni o divulgare alcune informazioni. Prendiamo un esempio ipotetico che siamo ingegneri sociali e vogliamo ottenere progetti e specifiche top secret da un appaltatore militare degli Stati Uniti in modo che possiamo imparare a compromettere le loro attrezzature. Possiamo iniziare entrando in una piattaforma di social media come LinkedIn e cercando il nome di quella società. Se la società è su LinkedIn, ci verrà mostrato il profilo aziendale e un elenco di persone che hanno elencato su LinkedIn che lavorano lì. Successivamente, identifichiamo un dipendente che lavora nel dipartimento di ricerca e progettazione o anche nel reparto marketing. Ci concentriamo quindi sull’ottenere informazioni su questo obiettivo che potrebbero aiutarci a metterli in una posizione in cui possano divulgare le informazioni segrete che stiamo cercando. Iniziamo cercando il profilo Facebook del dipendente per trovare hobby, interessi e altri dettagli personali. Procediamo su Instagram e diamo un’occhiata al tipo di foto che il dipendente pubblica. Iniziamo a geolocalizzare l’obiettivo, associando le informazioni che otteniamo su tutti gli account dei social media a suo nome. Arriviamo a un punto in cui scopriamo il suo indirizzo fisico e i luoghi in cui gli piace passare il tempo. A quel punto ci avviciniamo a lui e usiamo una delle tattiche apprese in precedenza nei capitoli mind tricks and persuasion per convincerlo a inserire un’unità USB caricata da malware nel suo computer. Da lì, il malware inizierà la raccolta per noi le informazioni che vogliamo. È facile come quello.

Di seguito sono riportate alcune informazioni pubbliche su di me in LinkedIn:

Nessun testo alt previsto per questa immagine

Le organizzazioni vengono prese di mira in modo simile. All’inizio del 2017, 10.000 dipendenti statunitensi sono stati spear phished utilizzando i social media da parte di hacker russi che hanno piantato malware su post e messaggi sui social media. A metà del 2017, un falso personaggio di una ragazza di nome Mia Ash è stato creato e utilizzato per attaccare una società di networking prendendo di mira un dipendente di sesso maschile con ampi diritti nell’organizzazione. L’attacco è stato sventato solo perché l’organizzazione aveva forti controlli per proteggersi dal malware. Il dipendente di sesso maschile era già caduto per la truffa di cui utilizzando falso account Facebook della ragazza.

Nell’agosto 2016, è stato scoperto che c’era una frode finanziaria su vasta scala mirata ai clienti che avevano seguito una certa banca sui social media. Si ritiene che gli aggressori siano stati in grado di prendere il controllo degli account di social media della banca e inviare offerte fraudolente ai follower che hanno solo perso denaro. Ci sono molti altri social media mediati attacchi di ingegneria sociale che sono accaduti. Tutto ciò che è da biasimare è la rapida disponibilità di informazioni private sui social media.

La Top 10 peggiori Social Media Cyber-attacchi, da S. Wolfe, Infosecurity Magazine, 2017 disponibile a https://www.infosecurity-magazine.com/blogs/top-10-worst-social-media-cyber/. .

 Nessun testo alt fornito per questa immagine

Questo articolo è stato tratto dal mio libro Imparare Ingegneria sociale. Per saperne di più sui Social Engineering è in grado di leggere il mio premiato Saperne di Ingegneria Sociale Prenotare

Si può ottenere tramite

Amazon: https://www.amazon.com/Learn-Social-Engineering-internationally-renowned-ebook/dp/B079HYPC27

Packt: https://www.packtpub.com/networking-and-servers/learn-social-engineering

Google: https://play.google.com/store/books/details/Erdal_Ozkaya_Learn_Social_Engineering?id=e_RZDwAAQBAJ

O’Reilly: https://www.oreilly.com/library/view/learn-social-engineering/9781788837927/

È anche possibile ottenere altri miei libri 🙂 SE pensi di non avere bisogno di più conoscenza di Ingegneria Sociale,

No alt testo fornito per questa immagine