04
Dic2017

Ottenere informazioni: esempio pratico

Dopo tanta teoria, finalmente eccoci a un esempio pratico che riassume tutte le tecniche illustrate fino ad oggi, finalizzate ad ottenere informazioni. D’ora in avanti proporrò un attacco alla settimana e lo analizzeremo insieme.

Le storie che narrerò faranno comprendere come, con inventiva e ingegno, sia possibile ottenere qualsiasi informazione riservata.

La lettura di queste storie gioverà a qualsiasi imprenditore, poiché gli farà capire l’importanza di investire il proprio denaro non soltanto nell’acquisto di costosissimi sistemi di videosorveglianza, ma nella formazione del proprio personale dipendente con il fine di far fronte a questo genere di “attacchi”.

Sono attacchi perpetrati per lo più da truffatori, i quali si servono di tutto ciò che abbiamo illustrato nei precedenti articoli, dalla sicurezza in se stessi, all’approccio, al tono di voce, alla postura, per ottenere informazioni riservate.

Partiamo con il primo esempio.

La FARM ZETA-BI (nome inventato) è una ditta farmaceutica del nord Italia di grandi dimensioni, dotata di un sistema anti-intrusione di altissima sicurezza. Per difendersi, la società, tra porte blindate, sistemi anti-virus, grate anti-sfondamento, sistemi di videosorveglianza e controllo-accessi, ha speso qualcosa come due milioni di Euro. Non ha però investito un centesimo sulla formazione del proprio personale in materia di pericoli relativi ad attacchi di hacker sociali e truffatori.

Il nostro hacker (lo chiameremo ancora una volta Antonio) vuole penetrare nei sistemi della FARM ZETA-BI e ottenere la lista clienti con relativo listino prezzi, per poterli rivendere al primo offerente.

Ha poche informazioni sulla società in esame ma è consapevole dei propri mezzi. Sa che con poche telefonate potrà accedere al sistema informatico e “rubare” ciò che gli serve. Per far questo deve studiare molto attentamente la ditta e pianificare ogni cosa.

Gli esempi che farò danno un’idea precisa di come, con poche telefonate, sia possibile baipassare un sistema di sicurezza da due milioni di euro, se il personale non viene addestrato.

Ricordate che dietro ogni tecnologia c’è un essere umano, debole e pieno di emozioni su cui far leva.

Andiamo ad analizzare l’attacco.

Innnanzitutto Antonio cerca su internet il nominativo di un’altra ditta del settore farmaceutico, abbastanza distante da quella che deve “attaccare”, in modo da essere sicuro che nessun dipendente della ditta sotto attacco conosca personalmente un operatore della ditta cercata sul web.
Antonio scova su internet una società denominata “GRUPPO MEDICINA SRL” e grazie a una semplice visura estrae il nominativo dell’amministratore: Marco De Luigi.
A questo punto effettua una prima telefonata alla ditta sotto attacco.
E’ lunedì e la settimana è appena iniziata, perciò le persone saranno più disponibili al dialogo, soprattutto al mattino, dato che hanno avuto tutto il week-end per risposarsi.

Lunedì, ore 09.51

Silvia: “Buon giorno, FARM ZETA-BI, sono Silvia, in cosa posso esserle utile?
Antonio (con tono di voce tranquillo e rilassato): “Si, buongiorno Silvia, mi chiamo Marco De Luigi, sono il proprietario di una società simile alla vostra, si chiama GRUPPO MEDICINA. Senta, se non la disturbo vorrei chiederle una cosa. Stavo pensando di acquistare un nuovo sistema di fatturazione medica, con quello attuale ho sempre dei problemi. Voi ne avete uno efficace da consigliarmi, ne utilizzate uno completamente automatizzato attualmente?”. (notate: la domanda è apparentemente innocua, si tratta di un dottore esasperato dal cattivo funzionamento di un suo data-base che chiede consiglio ad un’altra ditta del settore).
Silvia: “Mah guardi, in questo momento noi utilizziamo un software chiamato Medical Database, siamo molto soddisfatti, è una ditta di Milano”.
Antonio: “Ah grazie, senta noi abbiamo sede nel Lazio. Loro, che lei sappia, offrono un supporto tecnico telefonico oppure on-line, in modo che possiamo anche noi appoggiarci a loro senza problemi di distanza?”.
Silvia: “Sì sì, il supporto tecnico funziona a meraviglia. Sono io per altro l’amministratore del software qui in azienda. Loro fanno tutto attraverso un modem connesso al sistema, pensi che non abbiamo mai avuto la necessità di farli venire da noi”.
Antonio: “Ok, grazie mille Silvia. Senta, prima di prendere una decisione così grossa mi piacerebbe parlare con qualcuno di Medical Database, sa per essere sicuro che siano proprio adatti a noi. Voi solitamente con chi parlate quando vi serve supporto tecnico da loro?”.
Silvia: “Mmm, allora si chiama Matteo Benetti”.
Antonio: “Guardi, mi dà il numero così lo chiamo direttamente?”
Silvia: “Certo, il numero è 800 945654”.
Antonio: “Grazie mille Silvia, è stata gentilissima, scusi se l’ho disturbata. Senta, nel caso avessi bisogno posso ricontattarla? Le prometto che non sarò asfissiante”.
Silvia: “Certo, ci mancherebbe, tenga conto che non potrò risponderle di venerdì pomeriggio, poichè non lavoro quel giorno”.
Antonio: “Ricevuto, grazie mille buona giornata”.
Silvia: “Si figuri, buona giornata a lei”.

Semplicemente con una telefonata, Antonio ha ottenuto informazioni apparentemente banali ed innocue, che potrà però utilizzare per sferrare l’attacco decisivo. E’ infatti venuto a conoscenza delle seguenti informazioni:
– La ditta FARM ZETA-BI utilizza un software di fatturazione chiamato “Medical Database”.
– L’amministratore del software in ditta è una certa Silvia (la donna con cui ha conversato al telefono).
– La persona che la FARM ZEA-BI chiama per il supporto tecnico si chiama Matteo Benetti, il numero è 800 945654.
– La “Medical Database” accede ai loro computer direttamente via modem.
– Silvia non c’è di venerdì pomeriggio.

Antonio chiama una seconda volta in azienda, proprio di venerdì, nel tardo pomeriggio. Antonio sa perfettamente che chiunque risponderà avrà la testa già rivolta al week-end, e vorrà sbrigare la cosa molto velocemente.

Venerdì, ore 17.45

Giovanni sente squillare il telefono. E’ venerdì pomeriggio e sta per staccare dal lavoro. Spera vivamente che quest’ultima telefonata non gli faccia prolungare l’orario di lavoro, poiché aveva in mente un week-end di assoluto riposo. Risponde svogliatamente.
Giovanni: “Buona sera, FARM ZETA-BI, sono Giovanni in cosa posso esserle utile?”.
Antonio: “Buona sera Giovanni, sono Maurizio Dergani della “Medical Database”, avrei bisogno di parlare con Silvia”.
Giovanni: “E’ venerdì, Silvia non c’è, la sostituisco io nella gestione del vostro data-base”.
Antonio: “Ah ok. So che solitamente lavorate con Matteo Benetti ma in questo momento è impegnato con un altro cliente e mi ha chiesto di intervenire”. (notate in questo caso il principio di familiarità. Questo Maurizio Dergani conosce Silvia e sa perfettamente che di solito lei viene contattata da Matteo Benetti. Perciò Giovanni non ha motivo di temere il peggio, secondo il suo punto di vista chi conosce certe informazioni non può che essere chi dice di essere, perciò non viene assalito dal minimo sospetto).
Antonio: “Senta c’è un problema, stiamo contattando tutti i nostri clienti perché purtroppo nell’ultimo aggiornamento era contenuto un virus che provoca l’alterazione di tutti i record degli account, ma ce ne siamo accorti soltanto questo pomeriggio. Tutto il nostro team di supporto tecnico è incaricato di contattare rapidamente tutti i clienti per risolvere il problema. Dovrei connettermi al vostro sistema per correggerlo, ma non ho le informazioni di Matteo qui davanti a me, sa il numero di modem, log-in e password. Lei può recuperarmele? Perché se dobbiamo aspettare il rientro di Silvia è un problema, il virus infatti avrebbe tutto il week-end per danneggiare il sistema”. (notate in questo caso la “paura” che Antonio ha trasmesso a Gianni. Gli sta facendo credere che se non gli darà le credenziali, per colpa SUA accadrà un danno irreparabile. Notate inoltre il principio di reciprocità: Antonio insinua nella testa di Gianni il fatto di stargli facendo un favore, risolvendo un problema che in realtà non esiste, e Gianni sarà meglio disposto a fornirgli le credenziali).
Gianni (terrorizzato): “Certo, allora aspetti. Il numero di modem è 505-567-094, la log-in è “Silvia-82” e la password è “medi_cina”.
Antonio: “Ottimo! Grazie Gianni è stato veramente di grande aiuto. Guardi posso correggere tutto da qui perciò abbiamo finito, può godersi pure il week-end, non è necessario che lei rimanga in ufficio”.
Gianni (notevolmente sollevato): “Ok grazie a voi, buon lavoro e buona serata”.
Antonio: “A lei Gianni, buon week-end”.
A questo punto Antonio possiede le credenziali per accedere al sistema di fatturazione di una grossa ditta del settore farmaceutico. Qui potrà estrarre nomi e listino prezzi di tutti i clienti della società: informazioni che valgono migliaia di euro, se vendute ad un concorrente. Il tutto con due telefonate da 5 minuti.

Leave your comment

Please enter your name.
Please enter comment.

Il Blog del Detective

Un blog che si rivolge a tutti gli appassionati di questo affascinante universo. Dedicato soprattutto a coloro che intendono seriamente intraprendere la professione di detective e farne uno stile di vita.

Leggi il nostro articolo di benvenuto
Clicca qui →

Ultimi articoli