La nuova frontiera del Social Engineering, dopo la barretta di cioccolato e le telefonate spacciandosi per belle ragazze sembra essere diventata quello status symbol del Geek moderno che è la chiavetta USB.
Come testare, infatti, la sicurezza di una nota società di credito? Beh, gli auditor incaricati da un noto nome americano hanno pensato di utilizzare un trucco semplice ma al tempo stesso geniale; durante la notte hanno** disseminato nei dintorni dell’edificio** principale della struttura da sottoporre a auditing una serie di vecchie chiavette USB appositamente preparate.
Le chiavette contenevano interessanti documenti, oltre a immagini, testi ed ovviamente un troyan appositamente preparato per spedire password ed informazioni riservate agli Auditor stessi.
Il risultato è stato a dir poco “strepitoso” se si pensa che delle 20 chiavette disseminate ben 15 sono state utilizzate sui computer aziendali, iniziando pochi minuti dopo l’inizio della giornata lavorativa a spedire agli esterrefatti Auditor (sorpresi soprattutto della immediatezza dell’azione) dati e informazioni classificate come confidenziali.
La manovra ha tutte le carte in regola per essere una ottima strategia di Social Engineering: ha una pericolosità percepita molto bassa, una altissima attrattiva percepita e soprattutto stimola la curiosità insita in qualunque persona di andare a “rovistare” nelle più private informazioni di un utente, magari sognando dati compromettenti, buffi o scabrosi.
La questione rimane però aperta sia per quanto riguarda le politiche di sicurezza delle aziende (mai introdurre media sconosciuti nel sistema) sia soprattutto per quanto riguarda la sempre** maggiore ingerenza di questo tipo di tecnologie** nella vita societaria.
E’ infatti sempre più semplice ottenere dispositivi che memorizzino informazioni e che possano sottrarle all’azienda. Si pensino, a titolo di esempio, lettori MP3 di svariati giga, cellulari con memory card spesso superiori ad un giga e tutte le amenità tascabili e da polso di periferiche di memorizzazione USB…
Sempre più mi accorgo quanto siano importanti, in ambito Corporate, le Policy di Sicurezza e mi ritrovo ad aspettare con impazienza di passare l’esame di aggiornamento ad Auditor 27001 di metà Luglio…
via [DarkReading]
» Matteo Flora al TG3 (parte seconda)
Articoli (probabilmente) correlati
- La farnesina 'bucata' dagli hacker del 04/2013
- Ma da dove vengono le email di Grillo? del 04/2013
- Ma quale attacco acher a Grillo? del 04/2013
- Attacco a Twitter, cosa è successo davvero? del 02/2013
- Me ne vado negli USA (aka IVLP) del 04/2012
- In difesa di Riccardo Luna: da SilkRoad a TOR del 04/2012
- Come derubare una banca, raccontata dal ladro del 12/2011
- Un'idea per un Access Point VERAMENTE cattivo del 10/2011
- Ci vediamo al Chaos Communication Camp del 08/2011
- Dove finisce Anonymous ed inizia LulzSec del 08/2011