Nascondersi nell'evidenza

Come rubare una password, penetrare in una rete protetta, e sottrarre dati sensibili per commettere crimini informatici? Non serve essere degli hacker professionisti, a volte basta un pizzico di ingegneria sociale.

Avatar di Tom's Hardware

a cura di Tom's Hardware

Nascondersi nell'evidenza

Supponiamo che mi venga chiesto da una azienda di configurare alcuni server per applicazioni Internet. Questo è un obiettivo per hacker ad alto livello: una società finanziaria online.

Sono stato assunto per lavorare in una server farm. Dopo essermi presentato ai miei nuovi collaboratori e aver tenuto le riunioni iniziali, comincio a lavorare dalla console che mi è stata fornita per poter accedere ai server dalla mia postazione. Tiro fuori il mio portatile e, dopo averlo configurato in DHCP, lo connetto al sistema. Per abitudine, eseguo una scansione veloce sul sistema, alla ricerca di altri dispositivi funzionanti in modalità promiscua (sniffing); questo potrebbe indicarmi visitatori precedenti e attuali o software dell'azienda dedicati alla ricerca di attività illegali sulla rete.

La stanza dei server si trova diversi piani più su nell'edificio e tutti gli ingressi, così come gli ascensori, sono accessibili solo tramite schede di identificazione, non diversa dalle comuni carte di credito. Io, per poter accedere a quell'area, dovrei chiedere a qualcuno di accompagnarmi e di permettermi l'ingresso utilizzando la sua scheda. Devo seguire questa procedura un paio di volte al giorno, appena se ne presenta la necessità.

Dopo aver lavorato in quell'ambiente per un breve periodo, tutti sono ormai stanchi di viaggiare nei corridoi dell'edificio utilizzando le proprie schede di sicurezza per aprire le porte e utilizzare gli ascensori su mia richiesta. Pian piano la fiducia aumenta, l'eccessiva familiarità fa perdere il rispetto. In due settimane sono riuscito a farmi prestare i pass degli altri impiegati e dopo poco tempo ho già in mano il mio pass personale temporaneo.