Tag: ingegneria sociale

Formazione
23 Novembre 20200

Rubrica “Impara con Enjoy”: un cellulare gratis con l’inganno

Il cellulare da un centesimo

In una delle nostre precedenti rubriche, che potete rileggere qui, vi avevamo promesso quanto segue, cioè una semplice tecnica senza particolari rischi per aggirare il venditore e ricevere un cellulare senza spendere nulla.

A volte un’azienda lancia una campagna promozionale talmente buona che abboccano tutti, mentre l’ingegnere sociale esamina sempre l’offerta chiedendosi come approfittare ulteriormente della situazione.

Rubrica Impara con Enjoy

Tempo fa una compagnia nazionale degli Stati Uniti di telefonia cellulare lanciò una grande promozione in cui offriva un telefonino nuovo di zecca per un centesimo a chiunque firmava uno dei loro contratti.

Poche persone sanno quali domande dovrebbe fare un acquirente assennato prima di firmare uno di questi piani per i cellulari: se il servizio è analogico, digitale o misto, il numero di minuti a tutte le ore che puoi sfruttare in un mese, se sono comprese le spese di roaming… ecc ecc.
È soprattutto importante capire subito i termini del contratto, per quanti mesi o anni sarete vincolati.

Immaginatevi un ingegnere sociale di Filadelfia interessato a un telefonino a basso prezzo offerto alla firma da un’azienda di telefonia cellulare, però non gli garba il contratto accluso. Non c’è problema. Ecco come può gestire la situazione.

La prima telefonata: Ted

Per cominciare l’ingegnere sociale chiama un negozio di una catena di elettrodomestici sulla West Girard.
“Electron City. Sono Ted.”
“Buongiorno, Ted, sono Adam. Senta, qualche sera fa ho par lato con un commesso per un cellulare. Ho detto che avrei richiamato appena deciso il genere di contratto, ma mi sono dimenticato come si chiama. Chi è quello che fa il turno serale in quel reparto?” “Sono in parecchi. Era William?”
“Non ne sono sicuro. Che tipo è?”
“Alto. Abbastanza magro.”
“Direi che è lui. E come fa di cognome?”
“Hadley. H-A-D-L-E-Y.”
“Sì, mi sembra lui. Quando lo trovo?”
“Non so i suoi orari questa settimana, però quelli della sera arrivano verso le cinque.”
“Perfetto. Allora provo stasera. Grazie, Ted.”

La seconda telefonata: Katie

La seconda chiamata è a un negozio della stessa catena sulla North Broad Street.
“Pronto, Electron City. Sono Katie. Posso esserle utile?”
“Ciao, Katie. Sono William Hadley, del negozio sulla West Girard. Come va oggi?”
“Un po’ a rilento. Che mi dici?”
“Ho un cliente qui per quel contratto con il telefono a un cent. Hai capito quale?”
“Certo. Ne ho venduti un paio la settimana scorsa.”
“Hai ancora qualcuno di quegli apparecchi?”
“Un sacco.”
“Perfetto. Perché ne ho appena venduto uno a un cliente che ha firmato il contratto. Però quando ho controllato in magazzino ho visto che non me ne sono rimasti, e adesso sono in imbarazzo. Puoi farmi un favore? Lo mando da te a ritirarne uno. Puoi venderglielo per un cent e fargli la ricevuta? Dovrebbe richiamarmi quando ha il telefono così gli dico come programmarlo.”
“Certo. Mandamelo pure.”
“Bene. Si chiama Ted, Ted Yancy.”
Quando il tale che si fa chiamare Ted Yancy si fa vivo al negozio della North Broad , Katie gli compila la ricevuta e gli vende il telefonino per un centesimo, come le ha chiesto di fare il “collega”. Ha abboccato all’amo, lenza e tutto.

Quando è ora di pagare il cliente non ha spiccioli in tasca, così pesca nella ciotola dei penny presso la cassa, ne prende uno e lo dà alla ragazza al banco. In quel modo ottiene il telefono senza nemmeno sganciare il centesimo.
Adesso è libero di rivolgersi a un’altra compagnia che usi lo stesso modello per scegliere il contratto che preferisce, possibilmente mensile e senza impegni.

Analizziamo l’attacco

E’ naturale che le persone siano più malleabili con chi sostiene di essere un collega e conosca le procedure e il gergo dell’azienda. L’ingegnere sociale del precedente esempio se n’è approfittato scoprendo i dettagli di una promozione, spacciandosi per un dipendente della catena e chiedendo un favore a un’altra filiale. Succede spesso tra le varie sedi delle catene di negozi e tra i vari uffici di un’azienda, laddove le persone sono fisicamente separate e trattano con colleghi che di regola non conoscono direttamente.

Questa breve storia veramente accaduta vi dovrebbe far riflettere e mettervi in guardia e restare sempre all’erta a costo di risultare un collega “scomodo”, ma con questo tutelerai la tua azienda e anche te stesso.

Grazie per averci dedicato un pò del vostro tempo , speriamo che questa rubrica sia di vostro gradimento.

contattaci
Formazione
18 Settembre 20200

Rubrica “Impara con Enjoy”: L’ingegnere sociale

Questa è la novità di Enjoy, una rubrica che porteremo avanti nel tempo, che racconta fatti accaduti, per sensibilizzare le aziende alla sicurezza interna dei propri sistemi.

Il fattore umano è veramente l’anello più debole della sicurezza. 

La più grave minaccia degli ultimi tempi è proprio “ l’ingegnere sociale”, a volte , anzi spesso si tratta di un personaggio servizievole , cordiale che siete contenti di avere incontrato .

Quello che racconteremo è tutto pubblicato, quindi faremo riferimento ad una storia realmente accaduta.

Nel ‘78 Rifkin gironzolava nella sala Telex ad accesso limitato della Security Pacific dove transitavano trasferimenti monetari di parecchi miliardi di dollari al giorno, lavorava per una ditta che doveva affrontare un sistema di backup dei dati della sala nel caso in cui il computer centrale fosse saltato.

Perciò era informatissimo sulle procedure di trasferimento compreso come facevano i funzionari a inviare i soldi: i cassieri autorizzati e i bonifici ricevevano tutte le mattine un codice giornaliero strettamente controllato per quando chiamavano la sala Telex, gli impiegati di quell’ufficio per evitare di memorizzare ogni giorno il nuovo codice lo riportavano sul foglietto che appiccicavano in un punto visibile.

Un giorno di Novembre, Rifkin era lì per un motivo specifico: voleva dare un’occhiata proprio a quel foglietto.

Arrivato nella sala, prese nota delle procedure e nel frattempo ne approfittò per sbirciare il codice di sicurezza scritto sui foglietti per memorizzarlo. 

Uscì qualche minuto dopo, diretto verso la cabina del telefono nell’atrio dell’edificio dove infilò la monetina, fece il numero della sala,poi si spacciò per il sig. Mike Hansen consulente bancario,dipendente dell’ufficio, di quella banca. La conversazione andò più o meno così “Ciao Sono Mike Hansen dell’ufficio estero” disse alla giovane che rispose, lei gli domandò il suo numero di interno, ed essendo informato della procedura standard le rispose subito “286”, “bene e il codice?” : con il cuore in gola rispose “4789”, poi diede istruzioni per trasferire 10 milioni di dollari esatti trame della Irving Trust Company di New York alla Wozchod Bank di Zurigo dove era già aperto un conto. Allora la giovane disse che andava bene e che mancava solo il numero di transazione tra un ufficio e l’altro; Rifkin non aveva previsto la domanda, ma riuscì a non farsi travolgere dal panico si comportò come se fosse tutto normale e rispose al volo “Aspetta che controllo e ti richiamo “, subito dopo, cambiò di nuovo personaggio per telefonare un altro ufficio della banca, stavolta sostenendo di essere l’impiegato della Telex , ottenere il numero e richiamò la ragazza , la quale lo ringraziò.

Qualche giorno dopo, Rifkin volò in Svizzera, prelevò i soldi e consegnò 8 milioni ad un’agenzia russa in cambio di un sacchetto di diamanti , poi tornò in patria passando attraverso la dogana con le pietre nascoste nella cintura portamonete :aveva fatto la più grossa rapina in banca della storia , senza pistole e senza computer.

La sua impresa è finita sul Guinness dei Primati sotto la categoria “Le più grandi truffe informatiche” praticamente aveva sfruttato l’arte del raggiro,  i talenti e le tecniche che oggi chiamiamo ingegneria sociale.

In questa rubrica cercheremo di sensibilizzare le aziende verso questo argomento e quindi proporre soluzioni di prevenzione.