Infatti, oltre ad avere abilità tecniche, i black hat – i criminali informatici – devono conoscere anche tecniche psicologiche e possedere doti comunicative per poter manipolare le proprie vittime. Difatti, coloro che si rifanno a questa tecnica, non attaccano subito i computer ma gli utenti finali in modo tale da poter eludere le protezioni tecnologiche. Questo significa che non è possibile eliminare il problema come qualsiasi virus, ma sta alla persona fisica non farsi truffare.
La cautela è la prima forma di protezione
Per cercare di non farsi raggirare, bisogna non accettare nulla di cui non si è assolutamente certi della legittimità, rifiutare offerte non richieste, non cliccare su collegamenti provenienti da fonti sconosciute, non fornire la propria password o dati bancari e respingere consigli o aiuti non richiesti. Qualsiasi richiesta di fornire informazioni personali e aziendali, che permettono l’accesso ad un computer al fine di installare segretamente software dannosi, deve essere respinta poiché è alla base della social engineering.
Sfortunatamente al giorno d’oggi è ancora l’utente che compie determinate operazioni, come ad esempio inserire username e password, digitare il numero della propria carta di credito o le credenziali d’accesso del proprio account di home banking. Probabilmente a causa di questa circostanza i cybercriminali si sono resi conto che è più facile manipolare le persone per ottenere informazioni confidenziali piuttosto che attaccare direttamente una rete aziendale che può essere vulnerabile sotto molteplici punti di vista (bug nello sviluppo di app mobile e Web, software non aggiornati, configurazioni di rete imperfette ecc.).
Social engineering: arte della manipolazione
Questa tecnica fa leva sui punti di forza e quelli di debolezza delle persone (come la vanità, l’avidità, la curiosità, l’altruismo, il rispetto o il timore) tanto da poterla definire una vera e propria arte della manipolazione.
A discapito delle competenze tecniche, i cracker – pirati informatici – utilizzano questa tecnica proprio perché spingere le persone a rivelarti password è molto più semplice: senza un’adeguata formazione, gli utenti finali risultano obiettivi facili da raggiungere poiché ignari delle tecniche di hacking e specialmente degli scopi ultimi, quelli criminali (riscatti di denaro o di beni).
Uno dei social engineer più conosciuti è l’ex hacker Kevin Mitnick, il quale nel suo libro, The Art of Deception, descrive le modalità con cui poter truffare le persone dal vivo, via telefono o tramite email. Indipendentemente dal modo con cui ci si approccia alla vittima, l’hacker può porsi sia in maniera autorevole per farsi assecondare che come una persona cordiale (e alla gente piace fare attività gradite).
Le 4 fasi di un attacco di social engineering
È possibile individuare 4 fasi di un attacco di social engineering:
- fase di footprinting orientata alla raccolta di informazioni sulla vittima designata al fine di recuperare dati personali di contatto (numero di telefono, e-mail, rete di contatti, organigramma aziendale, misure di sicurezza IT ecc.);
- la seconda fase mira a sviluppare una relazione con la vittima al fine di guadagnarne la fiducia e di conseguenza una collaborazione;
- la terza fase è costituita proprio dalla manipolazione psicologica dove il cyber criminale sfrutta le informazioni raccolte e la relazione costruita con la vittima per abbattere le difese (fisiche o psicologiche) di quest’ultima e sferrare l’attacco vero e proprio, solitamente costruisce una menzogna credibile come la risoluzione di un problema all’account di posta elettronica;
- l’ultima fase è l’attacco vero e proprio dunque la sottrazione di dati da un sistema informatico e la conseguente fuga dopo aver cancellato le proprie tracce.
Durante questo processo, vengono utilizzate diverse tecniche di frode:
- Baiting dove si usa un’esca per accedere al sistema informatico della vittima – una sorta di cavallo di Troia, come una chiavetta USB o un hard disk, che viene lasciato in giro, solitamente vicino alla postazione di lavoro della vittima, allo scopo di stimolare la sua curiosità o desiderio.
- Phishing è una truffa informatica, una tecnica fraudolenta, per ottenere informazioni confidenziali con l’inganno. Come funziona? L’hacker invia una mail o un SMS alla vittima utilizzando il logo contraffatto di un’azienda o di un istituto di credito (per far sembrare il messaggio credibile e legittimo), invitandola a cliccare su un link o a scaricare un allegato. Quest’ultimo può contenere un malware con cui il malintenzionato blocca il sistema operativo o cripta i dati dell’utente, obbligandolo a pagare un riscatto per tornare in possesso del PC o riportare in chiaro i dati, invece il link porta l’utente su un sito nel quale viene richiesto, con urgenza, di fornire informazioni riservate (ad esempio un numero di conto corrente) per accedere ad un determinato servizio. Tutto ciò viene eseguito appositamente per favorire l’inserimento di informazioni personali.
- Con il pretexting, il cyber criminale induce l’utente a divulgare informazioni riservate o a commettere determinate azioni, creando un falso contesto. Anche qui viene simulato il comportamento di un’autorità finanziaria o della polizia allo scopo di creare un legame di fiducia con la vittima e farla cadere in trappola. È molto simile al phishing, ma ciò che lo differenzia è lo strumento di comunicazione utilizzato, ovvero il telefono o un’intervista (mezzi con cui è più facile entrare in empatia con la vittima oppure acquisire una posizione di autorità e credibilità). Lo strumento è utilizzato per accedere facilmente ai dati personali o aziendali della vittima, sfruttando la rete locale (LAN).
- come tutte le tecniche di attacco proprie di questa metodologia, anche il quid pro quo si basa sull’inganno: viene offerto un servizio (che non esiste) per ottenere in cambio dati o informazioni confidenziali. L’hacker solitamente contatta la vittima telefonicamente, fingendo di offrirle supporto tecnico o informatico. Questa è la scusa con cui pretende di ottenere l’accesso al PC (o ad un determinato software dell’utente), richiedendone la password.
- Tailgating, che prevede il passaggio dal mondo online a quello reale. In questo caso lo scopo del criminale informatico è di accedere a un luogo protetto da misure di sicurezza (come una chiave, un codice o un badge di identificazione personale). Solitamente agisce facendo finta di aver dimenticato il supporto informatico di sicurezza oppure chiedendo una cortesia all’utente legittimato, munito all’occorrenza di un identificativo falso. Un altro caso può essere quello in cui il cybercriminale, approfittando del rapporto di fiducia instaurato con la vittima, chiede in prestito il PC per pochi minuti, rubando dati confidenziali o installando programmi maligni.
Proprio per il target di riferimento e la modalità usata, basata su tecniche psicologiche, la social engineering è diventata la minaccia di sicurezza più forte e diffusa. Senza contare il fatto che i sistemi tecnologici stanno diventando sempre più sofisticati, precisi e privi di bug, tanto da renderli più impenetrabili per cui agire su una persona fisica risulta più semplice.
Ciò che effettivamente può contrastare questo tipo di attacco è la formazione e la conoscenza di queste tecniche di hacking. In ambito aziendale ciò si può esplicare implementando ed aggiornando le policy di protezione dei dati. Una volta definite, i dipendenti conoscono, attraverso la procedura, il corretto utilizzo degli strumenti messi a loro disposizione per evitare fenomeni di data breach: le minacce, che possono derivare dall’attività lavorativa, sono riconducibili alla diffusione, volontaria o meno, delle informazioni e il loro utilizzo erroneo.