La social engineering è l’arte di manipolare le persone con lo scopo di “iniettare” il malware all’interno di un’organizzazione superando qualsiasi sistema di controllo e ottenere informazioni riservate.

Questa forma di minaccia, detta anche human hacking, è ancora tanto sottovalutata: infatti quando si pensa alla sicurezza informatica, vengono subito in mente gli attacchi malware capaci di mettere in ginocchio il mondo intero (vedi WannaCry o Cryptolocker); tuttavia quello che probabilmente sfugge ancora a molti è che la social engineering è una delle tecniche più utilizzate per carpire dati sensibili e informazioni personali a scopo fraudolento, sfruttando anche le pratiche di un attacco informatico tradizionale.

A metà tra psicologia e ingegneria, viene considerata un’astuta manipolazione della tendenza umana di fidarsi e di rilasciare informazioni senza rendersene conto.

La conseguenza è che nessun antivirus, nessun firewall, potrà mai difenderci da questa subdola minaccia informatica proprio a causa di noi esseri umani – anelli deboli in questa catena.

Tutte le tattiche di social engineering iniziano da una ricerca approfondita della vittima (azienda o gruppo di persone), dopodiché vengono messe insieme tutte le informazioni trovate nel web da cui è possibile realizzare una perfetta combinazione di dettagli tale da rendere il più possibile convincente una falsa identità o una mail di Phishing. Questa ricerca alla base di tutti gli attacchi della social engineering viene chiamata OSINT (Open Source INTellingence).

Tipologie di attacco della social engineering

Le diverse tipologie di attacco della social engineering sono riconducibili a 3 categorie:

• human based, basate sul contatto diretto tra attaccante e vittima;
• computer based, più articolate, che presuppongono l’utilizzo di strumenti informatici e competenze tecniche;
• mobile based, un sottoinsieme di quelle computer based, che riguarda la diffusione capillare delle tecnologie mobile che veicolano i malware.
  

Tattiche della social engineering

1. Impersonation

Questa tecnica viene utilizzata per accedere in modo illecito a un sistema, a una rete o a informazioni aziendali al fine di commettere frodi, spionaggio industriale o recare un danno d’immagine e per compierla può essere anche supportata da mezzi tecnici, come il telefono o la mail.

Si tratta di utilizzare una falsa identità con l’obiettivo di ingannare la propria vittima al punto di convincerla a consentire l’accesso in totale fiducia ad aree o locali riservati, ad informazioni private o a sistemi informativi aziendali.

La tecnica dell’Impersonation può sfruttare molte tattiche di persuasione psicologica di natura antropologica, come il Tailgating o il Piggybacking.

2. Piggybacking/Tailgaiting

Davanti ad un perimetro aziendale caratterizzato da un accesso fisico controllato, l’ingegnere sociale può mettere in atto 2 tipi di metodologie:

• quella di piggybacking, con cui tenta, attraverso la persuasione e l’empatia, di convincere una terza persona autorizzata ad aprire la porta;
• quella di tailgaiting, ossia semplicemente entrare nell’azienda prima che si chiuda l’ingresso, sfruttando l’entrata di una persona autorizzata.

3. Il Vishing (Voice o VoIP phishing)

Si tratta di una sottocategoria della tecnica di Impersonation che utilizza la comunicazione telefonica per effettuare un attacco.

Il mezzo telefonico consente all’attaccante da un lato di non mostrarsi conservando efficacemente il camuffamento, dall’altro di interagire con la vittima in modo più diretto rispetto alla mail, sfruttando le potenzialità delle tecniche di persuasione e il minor tempo che l’interlocutore ha per razionalizzare in questo tipo di contesto.

Ad esempio, un sito bancario potrebbe essere clonato o violato con l’inserimento di un finto banner che invita gli utenti a chiamare il numero di help desk indicato per velocizzare la soluzione di un certo disservizio; a quel punto sarà facile per l’ingegnere social, che è al telefono con la vittima, ottenere le credenziali di autenticazione al sito clonato.

4. Eavesdropping

Questa tattica consente ad un hacker o un soggetto non autorizzato di intercettare una comunicazione, ascoltandola furtivamente, leggendo le mail o gli SMS oppure inserendosi in qualche modo nel flusso di trasmissione.

Le metodologie di Eavesdropping dipendono dal contesto e vanno dal semplice origliare ai più sofisticati attacchi MITM (Man-In-The-Middle), condotti attraverso tool come MITMf o Beef.

5. Shoulder Surfing

Questa metodologia sfrutta l’osservazione diretta della vittima: ad esempio accede alle informazioni tramite documenti lasciati sulle scrivanie, post-it o note attaccati in bacheca o sui monitor.

Anche in questo caso, l’implementazione può essere accompagnata o rafforzata da strumenti computer-based come piccole videocamere (utilizzate in un secondo momento per ingrandire le informazioni sensibili e sui dettagli) o micro-binocoli.

6. Dumpster Diving

È la pratica attraverso cui si acquisiscono informazioni frugando nei cestini della spazzatura, anche in prossimità dei locali dell’organizzazione, approfittando di copie fotostatiche, stampe di mail, note, atti e documenti non smaltiti correttamente.

Non è raro infatti trovare nella spazzatura:

• telefoni e dati di contatto di impiegati, cestinati dai colleghi;
• mappe di rete, spiegazioni sull’utilizzo e il raggiungimento dei locali dell’organizzazione;
• stampe di mail, note, appunti e materiale cartaceo operativo;
• policy e regolamenti dell’organizzazione;
• calendari, appuntamenti schedulati e testimonianze di relazioni con partner commerciali.

7. Reverse Social Engineering (RSE)

Le tecniche di Reverse Social Engineering si caratterizzano per il particolare modus operandi, articolato in 3 fasi:

• il sabotaggio, in cui l’attaccante crea la situazione disfunzionale, ad esempio causando la disconnessione dalla rete;
• la fase di interazione, in cui l’hacker si presenta (o si è presentato) come il “risolutore” del problema;
• la fase di contatto attivo con la vittima.

Sarà quindi la vittima stessa a rivolgersi a lui spontaneamente e senza le riserve che probabilmente susciterebbe la richiesta di un estraneo, facilitando in questo modo la relazione e di conseguenza il buon esito dell’attacco.

Come possiamo proteggerci?

È possibile difendersi da questi attacchi e proteggere meglio se stessi, la propria azienda e le informazioni dei propri clienti seguendo alcune regole di buon senso e la diffusione in azienda di un’appropriata cultura sulla sicurezza informatica.

Ecco alcuni suggerimenti:

• non comunicare mai le proprie password e mai lasciarle esposte in modo da essere accessibili a chiunque;
• proteggere i documenti cartacei: non lasciarli in giro e utilizzare un trituratore per scartare i documenti indesiderati.
• aumentare le competenze e la preparazione all’interno delle aziende e delle istituzioni in fatto di cyber security (negli ultimi anni si sta assistendo al fenomeno denominato skill shortage, ossia la necessità di trasformare la mancanza di competenze in uno strumento di difesa, rafforzando le soft skills, attraverso formazione mirata e attività di sensibilizzazione).

Di fronte ad una struttura sicura dal punto di vista tecnico, è comunque sempre possibile prendere di mira il fattore umano, sollecitando, con opportune metodologie, un comportamento della vittima per ottenere informazioni, direttamente o indirettamente, in modo più veloce, efficace e conveniente.