Social Engineering Human Security

Social Engineering
Human Security
Samuele Baisi
Cos’è?
●
●
●
●
“Psychological manipulation of people into performing actions or
divulging confidential information.”
- Wikipedia
“Using manipulation, influence and deception to get a person, a
trusted insider within an organization, to comply with a request, and
the request is usually to release information or to perform some sort
of action item that benefits that attacker.”
- Kevin Mitnick
“It may help to think about human security as the missing link
between IT security and physical security.”
- Ian Mann - “Hacking
the Human”
“Any act that influences a person to take an action that may or may
not be in their best interest.”
- Cristopher Hadnagy –
social-engineer.org
Cos’è (2)
●
●
●
●
Low tech / no tech hacking
Attacca l’elemento umano per ottenere
informazioni o accesso
Può essere di supporto per altre tecniche e
tattiche o essere l’elemento centrale dell’attacco
Cost effective, spesso sottovalutato
Ma funziona davvero?
Perché funziona
●
●
●
●
●
Il processo decisionale umano è manipolabile.
Le persone sono naturalmente portate (e
condizionate) a fidarsi e ad aiutare.
Le moderne tecnologie di sicurezza hanno ristretto
la superficie per un attacco diretto.
Anche attacchi tecnicamente avanzati hanno spesso
bisogno di un’azione della vittima.
L’elemento umano è spesso l’anello debole della
sicurezza.
Principi base
●
Ingegnerizzazione e “weaponization” delle basi di
psicologia sociale:
●
(Instant) Rapport Building
●
Persuasione: Influenza / Manipolazione
●
Classiche leve:
- Curiosità
- Avidità
- Necessità di affermazione e approvazione
- Desiderio di apparire coerenti a se stessi
Rapport Building
●
●
●
Punto chiave per ogni “operazione” in prima persona, ma
utile anche su mezzi di comunicazione impersonale.
Mira a mettere l’obiettivo a suo agio, ben disposto e aperto
nei confronti dell’attaccante.
“the fundamental outcome of rapport is the perception of
credibility, which in turn will lead to mutual trust”
Nicholas Boothman – How to make people like you in 90
seconds or less
●
Small talk on steroids.
Elicitation (Secondo l’NSA)
“In the spy trade, elicitation is the term applied to subtle extraction
of information during an apparently normal and innocent
conversation.”
“it is a very low risk activity. It is hard for the target to recognize as
an intelligence collection technique and easy to deny any
intentional wrongdoing. It is just a pleasant conversation among
colleagues or friends.”
“it often works. Through elicitation, intelligence collectors may
confirm or expand their knowledge of a sensitive program or may
gain clearer insight into a person’s potential susceptibility to
recruitment.”
Elicitation (Secondo l’NSA)
http://social-engineer.org/wiki/archives/Elicitation/Definition_of_Elicitation.htm
Pretexting
●
●
●
●
Creazione di una storia e di un personaggio
credibili da utilizzare nell’attacco.
Coerenza con livello e tipologia di accesso (o
informazioni) richiesto.
Più informazioni si sono raccolte in precedenza
maggiore è la probabilità di successo.
“The pretext is not just a lie, you need to
become your pretext”
Pretexting (2)
●
●
●
●
“Sono il tecnico, il capo ha chiesto un intervento
urgente, sembrava piuttosto irritato...”
“Sono qui per un colloquio, purtroppo ho strappato
il mio CV, me ne stamperebbe una copia da questa
chiavetta per favore?”
“La mia azienda vorrebbe aggiornare il sistema di
sicurezza fisico, voi cosa usate? Come vi trovate?”
“Sono un oligarca nigeriano, mi servirebbe aiuto a
far uscire una somma importante dal paese...”
Fasi attacco
Information Gathering
Preparazione
Pretext
Elicitation
Impersonazione / Intrusione ( + attacco
informatico )
Attacco
Attacchi fisici
●
●
Infiltrazione (tailgating, impersonazione)
Shoulder surfing, sorveglianza (escalate and
mantain access)
●
Baiting (anche con infiltrazione parziale)
●
Dumpster Diving
●
Furto, sabotaggio?
Attacchi informatici e telefonici
●
Phishing (Spear Phishing, Whaling)
●
Vishing, Phone Elicitation
●
Smishing
●
Watering Hole
Conseguenze
●
Furto identità
●
Truffe bancarie
●
Zombiefication
●
Danni immagine
Contromisure
●
Informatiche / tecnologiche:
→ Spam filtering
→ Caller ID
→ [H|N]IDS/IPS, antivirus, SIEM
→ Data mining e NLP?
What could possibly go wrong?
What could possibly go wrong? (2)
What could possibly go wrong?(3)
Contromisure (2)
●
Umane:
→ Security Awareness
→ Policy chiare e semplice
●
Testing e Red Teaming
●
Compartimentazione, Least Privilege principle
●
Controllo informazioni condivise
Fonti:
- Social-Engineer.org
- Framework: http://www.social-engineer.org/framework/general-discussion/
- Newsletter: http://www.social-engineer.org/category/newsletter/
- FBI: Common Fraud Schemes: https://www.fbi.gov/scams-safety/fraud
- “Social Engineering: The Art of Human Hacking” - Chris Hadnagy
- “Influence: The Psychology of Persuasion” - Robert B. Cialdini PhD
- “Unauthorised Access: Physical Penetration Testing For IT Security Teams” - Wil Allsopp
- “No Tech Hacking: A Guide to Social Engineering, Dumpster Diving, and Shoulder
Surfing” - Johnny Long
Approfondimenti:
- Rapport:
- “It's Not All About "Me": The Top Ten Techniques for Building Quick Rapport with
Anyone” - Robin Dreeke
- “How to Make People Like You in 90 Seconds or Less” - Nicholas Boothman
- Nonverbals:
- “What Every BODY is Saying: An Ex-FBI Agent’s Guide to Speed-Reading People”
- Joe Navarro
- Phishing avanzato e difese:
- “Phishing Dark Waters: The Offensive and Defensive Sides of Malicious E-mails ” Hadnagy, Fincher, Dreeke
Social Engineering in generale:
- “The art of Deception” - Kevin Mitnick
- “Hacking the Human” - Ian Mann
- The SEORG Book List - http://www.social-engineer.org/resources/seorg-book-list/
Video:
- Social Engineering Awareness - Valerie Thomas - https://vimeo.com/108102906
- DEF CON 22 - Michele Fincher - https://youtu.be/A0_NL1YBvK4
- Dec0ding Humans Live - Chris Hadnagy - https://youtu.be/DoDWBe9atIo
- What Happens When You Dare Expert Hackers To Hack You https://youtu.be/bjYhmX_OUQQ
- Social Engineering: The Gentleman Thief – Hadnagy, Apollo Robbins https://youtu.be/1kkOKvPrdZ4
- SE Video Archive - http://www.social-engineer.org/resource-category/se-videos/