Dumpster Diving: violare la privacy attraverso i rifiuti

“L’hardware è facile da proteggere: puoi bloccarlo in una stanza, incatenarlo ad una scrivania o acquistare un ricambio. L’informazione crea più problemi:  può esistere in più luoghi, può essere trasportata su tutto il pianeta in pochi secondi ed essere rubata a tua insaputa.”
BRUCE SCHNEIER, SECURITY GURU

Il panorama dei crimini informatici è davvero vasto e, per diversi aspetti, sconosciuto a molti. Esistono infatti numerose tecniche che, probabilmente, non conosciamo e di cui, addirittura, ignoriamo l’esistenza. E il problema risiede proprio in questo, ovvero nella nostra “ignoranza” che diventa paradossalmente strumento di potere degli hacker. Spesso pensiamo che basti installare un antivirus per assicurarci una certa protezione sul nostro computer e, quindi, ai nostri dati: in realtà non è così.

Cosa si intende per dumpster diving?

Una tecnica che rientra nell’ambito dell’ingegneria sociale è il Dumpster diving che significa, letteralmente, “cercare nel cassonetto”. Una tipologia di cyber-attacco molto particolare, alquanto comune tra gli hacker, che consiste nel rovistare nei rifiuti di una società, di un individuo o di un ente, con lo scopo di ottenere informazioni riservate che sono state gettate inconsciamente tra i rifiuti.

Spesso, infatti, vengono cestinati contenuti ed informazioni, i quali però a volte non sono distrutti nel modo corretto o, in alcuni casi, non vengono distrutti proprio.

A questo punto, appare ovvio immaginare quanto sia fruttuoso questo tipo di attacco per gli hacker: tutto ciò che sembra inutile, in realtà, può essere utile per qualcun altro.

Come avviene il dumpster diving?

Esistono due modalità attraverso cui si sviluppa il Dumpster diving:

Immersione nel cassonetto reale

Consiste nel frugare oggetti nel cassonetto e può avvenire in modo concreto e reale: l’hacker può realmente frugare nel cassonetto dell’azienda o del privato da cui vuole ricavare informazioni.

In questo caso ricerca qualcosa di fisico e materiale da cui ricavare informazioni utili e che può essere reperito fisicamente come e-mail, indirizzi di residenza, credenziali di accesso (login e password) scritte su foglietti per comodità e che poi non vengono distrutte correttamente e vengono cestinati direttamente.

Tutto ciò ovviamente può avvenire anche per altri documenti importanti, come gli estratti bancari o le credenziali di accesso ad un determinato account oppure le informazioni che riguardano il software, gli strumenti e le tecnologie utilizzate nell’azienda o dal privato, cartelle cliniche, CD o DVD contenenti informazioni personali o dell’azienda per cui si lavora.

Questo diviene materiale preziosissimo per un hacker, poiché ogni informazione alla fine diviene un punto di accesso per l’attacco.

Immersione nel cassonetto “virtuale”

Un’altra metodologia che può essere utilizzata per questo tipo di attacco consiste nel cercare di ricavare informazioni, frugando tra i file che il soggetto ha eliminato dal computer, almeno apparentemente.

Spesso, infatti, possono venire eliminati determinati file, ma questa cancellazione può avvenire in modo errato, permanendo nel disco rigido, poiché l’eliminazione non avviene dal disco, bensì da un indice del file system.

È in questi casi che l’hacker, con specifiche operazioni di recupero, può risalire a questi file che, apparentemente, sono stati cancellati, ricavando moltissime informazioni che, normalmente, sono contenute all’interno dei computer.

Anche qui ritroviamo e-mail, numeri di telefono, estratti bancari, cartelle cliniche o scolastiche, documenti importanti, video privati o segreti commerciali e di marketing, informazioni sui dipendenti e in generale informazioni sulle aziende.

Come un hacker accede alla spazzatura

Sicuramente il Dumpster diving non avviene per puro caso e per semplice fortuna. Anche per questo cyber-attacco, come per qualsiasi altro, è necessario procedere con cautela e attraverso diversi step.

La raccolta di informazioni

Il primo passo che solitamente l’hacker fa per capire come attaccare e procedere con il dumpster diving consiste nell’informarsi sulla spazzatura stessa per capire come averne accesso.

Per questo l’hacker cercherà di capire:

• quanta spazzatura c’è in media;
• se tale spazzatura si trova in un luogo protetto o se è in una posizione accessibile;
• se i bidoni sono condivisi con altre aziende oppure sono utilizzati solo dall’azienda che gli interessa;
• se i cassonetti sono “protetti”, per esempio tramite un lucchetto, o se l’accesso è libero.

Inoltre, molto importante è capire come la spazzatura viene divisa e catalogata, quindi se viene semplicemente “ammassata” o divisa.

L’osservazione dei comportamenti

Per avere accesso a tutte queste informazioni, l’hacker può utilizzare diverse strategie. Una tra queste è l’osservazione dei comportamenti/movimenti dell’azienda per cercare di capire, per esempio, a che ora avviene la raccolta dell’immondizia e quando viene portata all’esterno. Oppure potrebbe procedere con una serie di attacchi via e-mail o via telefono, al fine di reperire le informazioni. Ad esempio potrebbe fingere di essere un ispettore di salute e sicurezza o un componente della società di raccolta rifiuti.

In questo caso sarà difficile che la vittima non risponda alle domande e una volta ottenute le informazioni, potrà procedere con l’attacco vero e proprio.

L’accesso alla spazzatura

Se la spazzatura è contenuta in un luogo accessibile, sarà semplice accedervi e frugare nei cassonetti.

Lo scenario cambia se la spazzatura si trova in un luogo protetto: in questo caso risulta necessario escogitare ben altro, al fine di ottenere l’accesso: ed è necessario farlo attraverso una corretta informazione circa chi normalmente accede alla spazzatura. A tal proposito, l’hacker potrebbe contattare o fingere di essere un dipendente o un consulente di una determinata azienda o un partner dell’azienda interessata. In questo modo l’hacker sarà visto come un semplice dipendente che deve fare alcuni controlli e, quindi, potrà avere libero accesso. O ancora potrebbe fingersi un dipendente di quell’azienda e potrebbe fingere circa la presenza di un documento importante, che accidentalmente è rimasto incastrato: anche questo per tentare di avere accesso alla spazzatura.

Caso concreto

Come si può riconoscere un attacco del genere e capire se la spazzatura viene presa “d’occhio” e riutilizzata?

Vediamo un caso concreto.

Mario è un dipendente di una nota azienda di consulenza e lavora in questo ambito da cinque anni.

Qualche tempo fa riceve una chiamata da una nota agenzia di controllo e sicurezza che inizia a fargli molte domande rispetto allo smaltimento dei rifiuti, poiché, come comunica al diretto interessato, si erano verificati negli ultimi tempi diversi attacchi a molte aziende, proprio tramite questa procedura.

Mario non sa come vengono smaltiti i rifiuti nella sua azienda, però condivide con il dipendente tutto quello che sa, perché teme che un destino simile possa capitare anche alla sua azienda e, quindi, decide di collaborare per evitare tutto ciò.

Qualche tempo dopo, in azienda circola voce che questo noto dipendente ha contattato più dipendenti per ottenere diverse informazioni.

Fin qui nulla di male, no?

Ciò che fa capire ai dipendenti di essere stati vittime di un attacco da parte di un hacker è il fatto che, molte informazioni dell’azienda come password, appunti, contratti, informazioni della propria azienda e dei clienti sono stati utilizzati e, quindi, qualcuno ne ha avuto accesso.

Cosa ancora più sospetta è che tutto ciò era stato, apparentemente, cestinato dai dipendenti.

Ecco che siamo di fronte ad un attacco dumpster diving.

L’hacker era riuscito ad infiltrarsi nella spazzatura dell’azienda, a capire come fare tramite i dipendenti e a riutilizzare le informazioni ottenute.

Quali leve o punti deboli sfrutta il dumpster diving?

• Ignoranza delle pratiche di sicurezza: Se la vittima non adotta adeguate pratiche di sicurezza, come l’utilizzo di password complesse o l’aggiornamento regolare dei software, l’hacker potrebbe sfruttare queste debolezze per ottenere informazioni sensibili attraverso il Dumpster Diving. L’ignoranza delle pratiche di sicurezza può rendere la vittima un obiettivo più facile per l’hacker.
• Paura della violazione della privacy: l’hacker può sfruttare le informazioni personali, come documenti sensibili o dati finanziari, raccolte dalla spazzatura giocando sulla paura della vittima di vedere la propria privacy violata.
• Vulnerabilità emotiva: l’hacker può approfittare della vulnerabilità emotiva della vittima. Ad esempio, se la vittima ha appena subito una perdita personale o è in uno stato emotivo fragile, l’hacker potrebbe utilizzare le informazioni ottenute tramite il Dumpster Diving per trarre vantaggio emotivo, come minacciando di divulgare informazioni personali compromettenti.
• Dipendenza da dispositivi digitali: se la vittima è dipendente dai propri dispositivi digitali, l’hacker potrebbe sfruttare questa dipendenza per ottenere accesso non autorizzato ad account o informazioni sensibili presenti nei dispositivi. In tal modo, potrebbe causare danni finanziari o compromettere l’immagine online della vittima.
• Manipolazione psicologica: L’hacker può utilizzare tecniche di manipolazione psicologica per convincere la vittima a fornire informazioni o accesso ai propri account. Utilizzando le informazioni ottenute tramite il Dumpster Diving, l’hacker può creare un senso di familiarità o credibilità per ingannare la vittima.

Il dumpster diving è illegale?

Una domanda che potrebbe sorgere spontanea è: “quanto è illegale questo cyber attacco”?

Se riflettiamo sulla tecnica di questo attacco, possiamo notare una contraddizione di fondo: quando determinati materiali o, in questo caso, informazioni vengono cestinate ed eliminate, non appartengono più a quell’azienda o a chi le ha eliminate, corretto?

Nel momento in cui rientrano nella spazzatura, a meno che tali cassonetti non siano protetti, tutti potrebbero averne accesso, almeno potenzialmente.

Quindi come possiamo considerare tutto ciò? È legale o illegale?

Sicuramente tutto dipende dall’intenzione, dal perché si ruba quel determinato contenuto o quelle informazioni.

Se, come nel caso del dumpster diving, vengono rubate per usarle contro quelle persone o per scopi illeciti, sicuramente non può essere vista come una tecnica propriamente legale. Inoltre, bisogna considerare un altro aspetto: se l’immondizia viene archiviata nella proprietà dell’azienda e se contiene informazioni private, ci sarà sicuramente un aspetto di sconfinamento, e quindi di illegalità, se si tenta di ottenerlo senza autorizzazione. Anche perché, inevitabilmente, si sconfina e si viola la privacy dell’altro: quelle informazioni, anche se non più utili, sono sicuramente di quell’azienda o di quel privato e quindi con larga probabilità sono informazioni riservate.

Misure preventive contro il dumpster diving

Arrivati a questo punto, è utile parlare di cosa è opportuno fare per difendersi dal dumpster diving.

Proteggi la spazzatura

Potrà sembrare strano o magari inusuale, ma se si tratta di un’azienda, così come di un privato, è necessario proteggere la spazzatura. Come abbiamo visto, molte volte vengono cestinati ed eliminati contenuti e informazioni importanti e, cosa molto grave, questo processo di eliminazione non avviene nel modo corretto. Per esempio, si potrebbe cestinare qualcosa senza averlo distrutto prima oppure senza averlo reso irriconoscibile (nel caso di spazzatura concreta e reale).

Quindi, cosa vieta ad un hacker di impossessarsi di queste informazioni? Praticamente nulla.

Un buon modo, quindi, sarebbe quello di proteggere la spazzatura, per esempio, apponendo dei lucchetti nei cassonetti oppure rendendovi consapevoli del percorso che questa spazzatura affronta nel momento in cui deve essere smaltita.

Elimina correttamente le informazioni

Come più volte affermato, molte volte si cestinano informazioni importantissime e private, ma non in modo corretto.

Questo è sicuramente pericoloso: prima di cestinare ogni informazione, provate a chiedervi: “potrebbe essere utilizzata contro di me o contro l’azienda per cui lavoro”?

Se la risposta è sì (e la maggior parte delle volte lo è), pensateci bene prima di cestinarla. Piuttosto, per la sicurezza della vostra azienda o della vostra persona, è necessario stabilire una politica di smaltimento della carta e dei rifiuti.

Ad esempio tutta la carta, comprese le stampe, deve essere distrutta attraverso un trituratore trasversale, prima di essere eliminata e cestinata, oppure potrebbe essere utile bruciare ogni informazione privata o importante.

Una cosa che molte volte non viene considerata con la giusta attenzione?

I CD o i DVD, poiché spesso vengono eliminati in modo non corretto: è necessario distruggerli perché potrebbero contenere informazioni personali.

Nel caso di attacco al computer

Come abbiamo affermato, l’attacco può avvenire anche al computer e quindi ai contenuti che sono stati cancellati, ma non in modo corretto. Sicuramente è molto utile servirsi di firewall, poiché questo può impedire agli utenti sospetti di accedere ai dati eliminati.

Inoltre, un’altra tecnica utile potrebbe essere quella di assicurarsi di aver eliminato tutti i dati in modo definitivo dal computer, nel momento in cui non è più utile o non viene più utilizzato.

In questo modo non potranno più essere recuperati.

• About
• Latest Posts

Cyberpedia

Team at Cyberpedia

Ci impegniamo quotidianamente nel divulgare strategie efficaci utili a difendersi dalla manipolazione psicologica che sta dietro l’ingegneria sociale.

Latest posts by Cyberpedia (see all)

• Dumpster Diving: violare la privacy attraverso i rifiuti - 18 Luglio 2023
• Impersonation: quando si mette in scena un crimine - 23 Agosto 2020
• Interland: il gioco sulla sicurezza informatica - 30 Giugno 2020

Se ti è piaciuto questo articolo puoi seguirci sul nostro profilo Instagram.

È vietata la copia e la pubblicazione, anche parziale, del materiale su altri siti internet e/o su qualunque altro mezzo se non a fronte di esplicita autorizzazione concessa da Cyberpedia e con citazione esplicita della fonte (www.cyberpedia.it). È consentita la riproduzione solo parziale su forum, pagine o blog solo se accompagnata da link all’originale della fonte. È altresì vietato utilizzare i materiali presenti nel sito per scopi commerciali di qualunque tipo. Legge 633 del 22 Aprile 1941 e successive modifiche.

SEGNALA UNA TRUFFA ONLINE