Un famoso caso di attacco, tratto da una storia vera:
“”””””Lavorava per una ditta che doveva approntare un sistema di back-up dei dati della sala nel caso in cui il computer centrale fosse saltato, perciò era informatissimo sulle procedure di trasferimento.
Gli impiegati di quell’ufficio, per evitare di memorizzare ogni giorno il nuovo codice, lo riportavano su un foglietto che appiccicavano in un punto visibile.
Arrivato nella sala prese nota delle procedure, in teoria perché il suo sistema di backup si ingranasse a puntino con quello normale, e nel frattempo ne approfittò per sbirciare il codice di sicurezza scritto sui foglietti e memorizzarlo.
Uscì qualche minuto dopo.
Quando uscì alle tre del pomeriggio puntò dritto verso la cabina del telefono, dove infilò la monetina e fece il numero della sala, poi si riciclò da Stanley Rifkin, consulente bancario, a Mike Hansen, dipendente dell’ufficio estero della banca.
Secondo una fonte affidabile, la conversazione andò più o meno così.
“Ciao, sono Mike Hansen dell’ufficio estero,” disse alla giovane che rispose.
Lei gli domandò il suo numero di interno.
Essendo informato della procedura standard, Stanley rispose subito: “286”.
“Bene, e il codice?”
Rispose imperturbabile: “4789”, poi diede istruzioni per trasferire “10.200.000 dollari esatti” tramite la Irving Trust Company di New York alla Wozchod Handels Bank di Zurigo dove aveva già aperto un conto.
Allora la giovane disse che andava bene, e che le serviva solo il numero di transazione tra un ufficio e l’altro.
Rifkin iniziò a sudare. Non aveva previsto quella domanda durante le sue ricerche, ma riuscì a non farsi travolgere dal panico, si comportò come se fosse tutto normale e rispose al volo: “Aspetta che controllo e ti richiamo subito”.
Dopodiché cambiò di nuovo personaggio per telefonare a un altro ufficio della banca, stavolta sostenendo di essere un impiegato della sala telex, ottenne il numero e richiamò la ragazza.
La quale lo ringraziò. Qualche giorno dopo Rifkin volò in Svizzera, prelevò i soldi e consegnò 8 milioni a un’agenzia russa in cambio di un sacchetto di diamanti, poi tornò in patria, passando attraverso la dogana con le pietre nascoste nella cintura portamonete. Aveva fatto la più grossa rapina in banca della storia, e senza pistole, addirittura senza computer.
Da L’arte dell’inganno di Kevin D. Mitnick.”””””””
L’ingegneria sociale può esser definita come l’arte di persuadere e convincere le persone a rivelare informazioni sensibili. Un’azienda può dotarsi di tutti i firewall più moderni e sicuri del mondo, ma se non istruisce i propri dipendenti sulle regole basilari di un qualsiasi attacco di ingegneria sociale, non potrà mai definirsi sicura.
