La raccolta delle informazioni gioca un ruolo cruciale nella preparazione di qualsiasi impegno professionale di ingegneria sociale. La raccolta delle informazioni è la fase più lunga e laboriosa del ciclo di attacco, ma è spesso un fattore determinante per il successo o il fallimento dell’impegno. L’ingegnere sociale professionista
deve essere consapevole di quanto segue:
- Strumenti per la raccolta di informazioni liberamente disponibili online
- Sedi online che ospitano dati preziosi
- Software per aiutare a trovare e raccogliere i dati
- Il valore o l’uso di dati apparentemente insignificanti raccolti online, al telefono o di persona
Come raccogliere informazioni
Ci sono molti modi diversi per accedere alle informazioni su un’organizzazione o un individuo. Alcune di queste opzioni richiedono competenze tecniche, mentre altre richiedono le competenze soft dell’hacking umano. Alcune opzioni possono essere utilizzate da qualsiasi luogo con accesso a Internet. Mentre altre possono essere fatte solo di persona in un luogo specifico. Ci sono opzioni che non richiedono altro equipaggiamento che una voce, opzioni che richiedono solo un telefono, e altre ancora che richiedono gadget sofisticati.
Un ingegnere sociale può combinare molti piccoli pezzi di informazioni raccolte da fonti diverse in un quadro utile delle vulnerabilità di un sistema. Le informazioni possono essere importanti sia che provengano dall’ufficio del custode o del CEO; ogni pezzo di carta, dipendente con cui si parla, o area visitata dall’ingegnere sociale può sommare abbastanza informazioni per accedere a dati sensibili o risorse organizzative. La lezione qui è che tutte le informazioni, non importa quanto insignificante il dipendente crede che sia, può aiutare a identificare una vulnerabilità per una società e un ingresso per un ingegnere sociale.
Le fonti “tradizionali” sono tipicamente fonti di informazioni aperte, pubblicamente disponibili che non richiedono alcuna attività illegale per ottenere. Mentre, le fonti “non tradizionali” sono ancora legali, ma meno ovvie e spesso trascurate, come il dumpster diving. È possibile che tali fonti possano fornire dati che un programma di consapevolezza della sicurezza aziendale non vorrebbe o non potrebbe prendere in considerazione. Infine, ci sono modi illegali per ottenere informazioni come il malware, il furto e l’impersonare le forze dell’ordine o le agenzie governative. Come potete immaginare, discutiamo quest’ultima categoria in tutto il Framework con attenzione. Sosteniamo solo le attività legali condotte nel contesto di un test di penetrazione sanzionato.
Ricerca/Fonti
Partite dalla definizione del vostro obiettivo di successo. Un obiettivo chiaro determinerà quali informazioni sono rilevanti e quali si possono ignorare. Dopo questo, raccogliere informazioni per supportare gli esercizi di ingegneria sociale è molto simile alla ricerca che si fa per qualsiasi altra cosa. Questo vale non solo per il tipo di informazione, ma anche per il modo in cui la si raccoglie.
Le fonti di informazione sono limitate solo dalla rilevanza delle informazioni che possono legalmente fornire. Quando si conduce una ricerca per l’ingegneria sociale, ci si può trovare a esaminare una vasta gamma di fonti (tecniche o fisiche) al fine di ottenere un piccolo bit di intelligence da ogni fonte. Questi bit sono come pezzi di un puzzle. Individualmente non sembrano molto, ma quando vengono combinati, emerge un quadro più grande e coerente. Per un’esplorazione più dettagliata delle fonti, visita le pagine sulla raccolta di informazioni tecniche e fisiche.
Immagine
https://wall-street.com/better-information-gathering-professionals/