Ingegneria sociale
L’ingegneria sociale è diventata piuttosto popolare negli ultimi tempi, soprattutto grazie alla crescita esponenziale di social network, messaggi e-mail e altre modalità di comunicazione in formato elettronico. Nel campo della sicurezza informatica, questa espressione fa riferimento a una serie di tecniche adottate da cybercriminali per manipolare le proprie vittime con lo scopo di ottenere informazioni sensibili e di convincerle a eseguire determinate operazioni; in questo modo, gli hacker riescono a entrare nei dispositivi delle vittime e a comprometterli definitivamente.
Nonostante i validi prodotti di sicurezza disponibili sul mercato, è ancora l’utente finale a compiere determinate operazioni, come ad esempio inserire username e password, digitare il numero della propria carta di credito o le credenziali d’accesso del proprio account di home banking. Nella catena delle varie operazioni automatizzate, spesso l’anello debole è proprio l’essere umano, soprattutto se è soggetto a manipolazione psicologica senza che se ne renda conto. Per questo è estremamente importante conoscere i vari trucchetti che i cybercriminali utilizzano al giorno d’oggi e capire il loro funzionamento per evitare di essere delle potenziali vittime.
L’ingegneria sociale non è una tecnica nuova, in realtà è nota già dai tempi di Kevin Mitnick e Frank Abagnale (ora rinomati consulenti per la sicurezza) i quali hanno dimostrato che passare dalla parte dei buoni è possibile. Frank Abagnale, per esempio, è stato un artista della contraffazione, si è nascosto dietro molteplici identità, ha falsificato assegni e con le sue doti di persuasione è riuscito ad ottenere tutte le informazioni che desiderava per portare avanti le sue truffe. Se avete visto il film “Prova a prendermi “, vi sarete fatti un’idea di cosa è capace di fare un ingegnere sociale quando ha ben chiari i suoi obiettivi. Ricordate, però, che un ingegnere sociale non si affida soltanto alle nuove tecnologie o alle truffe via computer per carpire informazioni, per cui è necessario che stiate sempre in guardia durante la vostra vita quotidiana alla ricerca di qualsiasi attività che possa sembrare sospetta. Ad esempio, potreste rivelare la vostra password via telefono; vi sembra improbabile? Pensate a questa situazione: una domenica mattina vi arriva una chiamata da un fantomatico “servizio di assistenza tecnica” della vostra azienda che vi vengono richieste le credenziali d’accesso per effettuare degli aggiornamenti sul vostro computer in ufficio. State certi che le comunicherete senza batter ciglio e concluderete pure la chiamata con un “grazie e arrivederci”! Probabilmente state pensando che voi siete delle persone caute e coscienziose e che questo non vi potrà mai capitare, ma a qualche altro vostro collega sicuramente sì.
La maggior parte dei cybercriminali non passa il tempo a provare tecnologie complicate perché sa che è molto più facile sfruttare l’ingegneria sociale per i loro scopi. Tra l’altro, esistono persino siti Internet dove ricavare preziose informazioni sulle varie tecniche d’ingegneria sociale e sulle reazioni che provocano sulle persone. Uno di questi siti è SocialEngineer.com, che offre tutta una serie di nozioni teoriche riguardo ogni tipo di attacco; inoltre, vengono forniti numerosi esempi presi dalla vita reale a sostegno dei concetti e delle definizioni proposti.
Ogni giorno parliamo con altre persone senza renderci conto del tipo di linguaggio che utilizziamo. Dal punto di vista dell’ingegnere sociale, il linguaggio ha degli aspetti interessanti: quando raccontiamo un aneddoto, ad esempio, possiamo eliminare parti di una storia, dare una visione distorta degli eventi o fare delle generalizzazioni. La Programmazione Neuro Linguistica (PNL), anche se inventata per scopi terapeutici, è oggi considerata come una forma evoluta d’ipnosi impiegata da molti ingegneri sociali per influenzare e manipolare le proprie vittime e portarle a compiere determinate azioni (che li agevoleranno nei loro attacchi). Ciò include, ad esempio, rivelare spontaneamente una password o altre informazioni riservate, disabilitare strumenti di sicurezza o qualsiasi altro gesto che faciliti la violazione di un sistema.
Sebbene il collegamento tra psicologia e hackeraggio sembri fantascienza, purtroppo costituisce la dura realtà: gli attacchi online hanno la stessa metodologia delle truffe della vita reale. Il desiderio di contraccambiare (se una persona ci fa un favore, è molto probabile che poi noi faremo lo stesso), la pressione sociale (teniamo molto in considerazione il giudizio degli altri), il rispetto per l’autorità (avere fiducia totale nelle forze dell’ordine, nei medici, in una persona che ci offre assistenza tecnica o qualsiasi persona in una posizione superiore alla nostra), sono tutti sentimenti alla base dei rapporti interpersonali e che soddisfano alcune nostre necessità di comunicazione umana. Un ingegnere sociale sa dove puntare per ottenere da noi una determinata reazione; crea un contesto, ovvero una storia inventata, che ci possa sembrare credibile e che ci spinga a una reazione immediata davanti a una situazione di urgenza. Per individui così furbi e intelligenti non è difficile farci bypassare qualsiasi processo razionale, ed è in quel momento di debolezza, che dura una frazione di secondo, che si approfittano di noi per ottenere ciò che vogliono.
In questo post, tuttavia, ci concentreremo principalmente sulle varie tecniche impiegate dai cybercriminali per ottenere informazioni illegalmente e per appropriarsi di denaro e beni di vittime ingenue. Come abbiamo già detto, i principi utilizzati per le truffe online sono gli stessi della vita reale; tuttavia, essendo Internet un mezzo così diffuso, se per ipotesi viene inviato un messaggio di phishing a milioni di persone, i risultati che si possono ottenere sono assolutamente straordinari. Anche se dovesse abboccare solo una piccola parte delle potenziali vittime, i benefici che si potrebbero ottenere sarebbero molto alti.
Negli ultimi tempi, uno dei metodi più utilizzati per ottenere informazioni riservate prende il nome di phishing (per esteso sarebbe “password harvesting phishing”, che potrebbe essere tradotto più o meno in “raccolta e cattura di password”). Il phishing può essere definito come una frode informatica che si adotta alcune tecniche dell’ingegneria sociale per ottenere informazioni private dalle vittime. il cybercriminale si avvale normalmente di email, messaggi istantanei o SMS per convincere la potenziale vittima a rivelare le informazioni che gli interessano o direttamente o a effettuare alcune operazioni (come entrare in un determinato sito Internet , cliccare su un link per scaricare un malware ecc.). In questo modo, l’hacker potrà ottenere ciò che vuole senza fare il minimo sforzo.
Lo sviluppo dei malware e la loro evoluzione va di pari passo con l’ingegneria sociale. In passato, l’utente si rendeva conto subito se il proprio computer era stato infettato, in quanto chi aveva creato il virus si manifestava apertamente sullo schermo con messaggi, icone, immagini o qualsiasi altro tipo di stratagemma. Ora accade abbastanza di frequente che i malware riescano ad accedere al computer della vittima attraverso tecniche d’ingegneria sociale e poi rimangono quieti fino a quando poi arriva il momento di eseguire il payload maligno. C’è una rincorsa costante e reciproca tra cybercriminali e compagnie che si occupano della sicurezza informatica e l’unico modo per uscire da questo vortice è educare gli utenti e informarli sulle varie tecniche di difesa, in modo tale che siano sempre aggiornati sulle ultime tendenze e minacce in circolazione.
Molti campioni di malware interessanti si affidano all’ingegneria sociale per introdurre il payload nei dispositivi delle vittime. I casi più famosi riguardano i falsi aggiornamenti di Flash Player, i file eseguibili contenuti in documenti Word, le copie di bassa qualità di browser come Internet Explorer e molto altro.
Un sito Internet che diffonde malware utilizza gli aggiornamenti di Flash Player per ingannare gli utenti
La maggior parte di questi attacchi sono rivolti agli utenti dell’America Latina perché queste minacce non sono molto conosciute o ancora ben comprese in questa area del mondo; va considerato che nella maggior parte dei computer sono presenti software datati che costituiscono una grande opportunità di business per i cybercriminali. Solo da poco sono state rafforzate le misure di sicurezza per i siti di home banking ma ci sono ancora delle vulnerabilità che gli hacker possono sfruttare per colpire gli utenti dell’America Latina.
Altri attacchi sono molto diffusi in questa particolare zona del pianeta, anche se non si possono definire propriamente uno scam tradizionale. Esiste il cosiddetto “sequestro virtuale” dove la vittima riceve una chiamata in cui viene informato che un proprio familiare è stato rapito e per riportarlo in libertà deve essere pagato un riscatto. In realtà non c’è stato nessun sequestro ma si fa leva sui sentimenti di paura e preoccupazione affinché la vittima paghi senza batter ciglio. In America Latina, questo genere di crimini sono all’ordine del giorno e vengono compiuti da criminali comuni; in sostanza, vengono sfruttati alcuni tratti caratteristici del comportamento umano per guadagnare denaro in maniera illecita.
Inoltre, va ricordato che qualsiasi informazione che pubblichiamo online (Facebook,Twitter, Foursquare) può dare ai cybercriminali degli indizi su dove ci troviamo in un determinato momento, oltre ad alcune dati importanti sulla nostra identità. Un attacco mirato di spear phishing non è molto comune, tuttavia se comunichiamo informazioni personali senza pensarci possiamo rendere la vita dei cybercriminali molto più facile. Anche solo una lista desideri su Amazon può essere uno strumento per un attacco d’ingegneria sociale.
Per riassumere, al giorno d’oggi è assolutamente indispensabile installare un sistema di sicurezza completo in grado di proteggere la nostra attività online. Inoltre, è necessario essere sempre aggiornati sulle ultime minacce e sugli ultimi trucchi d’ingegneria sociale in circolazione; eviteremo, così, di cadere vittima di questo tipo di attacchi (sia online che offline). Ricordiamo anche che qualsiasi tecnologia non serve praticamente a nulla se non sappiamo utilizzarla nel modo appropriato e se non sappiamo difenderci da chi vuole ingannarci. Il crimine è in continua evoluzione e anche noi dobbiamo stare al passo con i tempi.
“Le forze dell’ordine non possono proteggere i consumatori. Le persone devono essere più consapevoli dei rischi e deve esserci maggiore informazione sui furti d’identità. Siate più attenti e anche un po’ più furbi, non c’è nulla di male nell’essere diffidenti. Viviamo in un mondo dove se qualcuno ha l’occasione di truffarti, sicuramente lo farà” – Frank William Abagnale
Consigli