Human hacking, l’arte dell’ingegneria sociale

Il social engineering consiste nello escogitare un modo per carpire dati personali con l’inganno, studiando il comportamento della potenziale vittima. Il truffatore che utilizza questa tecnica in ambito digitale deve essere dotato anche di abilità informatiche oltre che cognitive per spingere il target a rivelare dati sensibili personali o aziendali al solo scopo di perpetrare le proprie azioni criminali.

Modus operandi di un attacco di ingegneria sociale

Mentre nel mondo reale siamo in grado di valutare le nostre interazioni con le persone in modo diretto, ciò risulta più difficile quando invece si è online e si interagisce con interlocutori immateriali ai quali spesso chiediamo di elaborare pagamenti o inviamo messaggi. Di conseguenza, dobbiamo affidarci al riconoscimento di un brand familiare e ad altre conferme visive per avere un riscontro di eventuale normalità e attendibilità.

In linea di massima un attacco di ingegneria sociale può essere suddiviso in tre fasi principali per:

  • Raccogliere quanto più informazioni sulla vittima per focalizzare il contesto da colpire e definire le modalità di attacco;
  • stabilire una relazione di fiducia anche attraverso una catena di conoscenze e relazioni di terze parti e procedere all’abbattimento delle difese per sferrare l’attacco definitivo;
  • consolidare il risultato ottenuto avendo cura di eliminare ogni traccia.

Le potenziali vittime

In realtà, tutti siamo vulnerabili agli attacchi di social engineering perché tutti siamo esseri umani, con emozioni e reazioni suscettibili a urgenze impreviste. Occorre pertanto essere consapevoli che queste debolezze potrebbero essere manipolate. Sebbene statisticamente siano più a rischio i dipendenti di imprese di grandi dimensioni perché i potenziali profitti di una truffa mirata e riuscita sarebbero superiori, tuttavia anche gli attacchi diretti a privati sono in aumento soprattutto a causa di una loro maggiore scarsa consapevolezza e la possibilità da parte dei truffatori di aumentare la probabilità di successo con attacchi cosiddetti a strascico.

Le tecniche tradizionali impiegate

Alla luce di quanto detto, in questo scenario è la stessa vittima prescelta a poter rappresentare, inconsapevolmente, il mezzo attraverso il quale adempiere l’azione ingannevole, spesso ottenuta attraverso persuasione ed empatia.

Ecco alcune delle principali tecniche che fanno parte dell’ingegneria sociale:

  • Ascoltare telefonate, conversazioni o intercettare messaggi;
  • spiare la digitazione di credenziali d’accesso oppure sbirciare documenti quando si è in coda agli sportelli, seduti in luoghi o mezzi di trasporto pubblici; 
  • cercare nella spazzatura dell’azienda o del target informazioni riservate e utili per l’allestimento dell’inganno;
  • accedere a un luogo fisico protetto, fingendo di aver dimenticato la chiave di sicurezza o ancora fingendosi un tecnico;
  • chiedere in prestito un dispositivo elettronico, sfruttando il rapporto di fiducia instaurato per violare dati sensibili o installare malware.
  • utilizzare come esca un supporto informatico (chiavetta USB, hard disk, CD) lasciato incustodito come se fosse stato smarrito e contare sulla curiosità della vittima per eseguire il codice malevolo in esso nascosto.
  • indurre l’utente a commettere determinate azioni, creando un falso contesto, cercando di entrare in empatia con la vittima, di interpretare un ruolo di autorità credibile.

Gli attacchi social engineering online

Tra le strategie messe in atto via web figurano in particolare malspam e phishing:

  • Le email di spam ben fatte possono sfuggire ai filtri del server email e finire nelle caselle di posta elettronica. Solitamente, queste cercano di invogliare a fare click su collegamenti a siti Web fasulli per scaricare allegati dannosi.
  • Il phishing è la tattica più comune di social engineering e avviene quando un utente malintenzionato assume l’identità di un’azienda o di un’organizzazione legittima e prende di mira più target oppure una vittima in particolare (si parla in questo caso di spear phishing) tramite email, chat o annunci online. L’email o il messaggio indirizza in genere la vittima verso una pagina di destinazione fasulla, in cui è riprodotto perfettamente il brand di riferimento. Nella pagina viene chiesto di verificare le credenziali di accesso o di cambiare una password a causa di attività sospette. Se la vittima acconsente alla richiesta, l’utente malintenzionato si impossessa di questi dati di accesso e può utilizzarli per cercare di accedere anche ad altri siti Web, a seconda della frequenza con cui la vittima utilizza password diverse per i vari siti. Il phishing può essere declinato con le dovute differenze nelle forme del vishing, smishing, catfishing e QRishing.

Come difendersi

Occorre con una maggiore informazione rendere tutti più consapevoli dei rischi per essere più attenti e diffidenti. Ecco alcune raccomandazioni generali:

  • Diffidare di email e telefonate non richieste;
  • Non condividere informazioni personali in generale, ma soprattutto online;
  • non scaricare app e programmi da fonti non verificate;
  • controllare gli URL dei siti web prima di visitarli;
  • non aprire allegati e collegamenti di email sospette;
  • mantenere aggiornati sistemi operativi, browser e antivirus;
  • in azienda creare protocolli di sicurezza e sensibilizzare il personale sulla sicurezza;
  • in caso di attacco, denunciare il reato agli organi di Polizia.
Su Salvatore Lombardo 192 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.