L’ingegneria sociale
L’ingegneria sociale è una tecnica per ricavare informazioni molto usata da parte di hacker esperti e spie, e poiché comporta (specie nell’ultima fase dell’attacco) un rapporto più diretto con la vittima, questa tecnica è una delle più importanti per carpire informazioni.
In molti casi il cosiddetto ingegnere sociale riesce a ricavare tutto ciò che gli serve dalla vittima, completamente ignara di quanto le sta accadendo.
Cos’è l’ingegneria sociale?
Quando pensiamo alla cybersecurity, pensiamo soprattutto a come difenderci da hacker che sfruttano le vulnerabilità tecnologiche per attaccare reti di dati.
Ma c’è un altro modo per penetrare in organizzazioni e reti: sfruttare le debolezze umane.
Questa pratica è nota come ingegneria sociale e si basa sul convincere qualcuno a divulgare informazioni o a concedere l’accesso a reti di dati.
Ad esempio, un malintenzionato potrebbe fingersi un tecnico del servizio di assistenza ai clienti per farsi dare informazioni come nome utente o password.
È sorprendente quante persone non riflettano prima di rivelare simili informazioni, soprattutto se la richiesta sembra particolarmente convincente.
In parole povere, l’ingegneria sociale è l’uso dell’inganno per manipolare gli individui e convincerli a divulgare informazioni o dati, oppure a garantirvi l’accesso.
Chi è l’ingegnere sociale?
Un ingegnere sociale, per definirsi tale, deve essere in grado di risultare convincente con delle parole atte a favorire la riuscita del proprio lavoro, avvalendosi di efficaci tecniche psicologiche per far presa sulla vittima ignara.
Tra le tecniche psicologiche più usate dai malintenzionati, ricordiamo le seguenti:
- Autorevolezza: si spaccia per un esperto o un superiore
- Paura e senso di colpa: descrive alla vittima le presunte conseguenze negative di una mancata collaborazione
- Ignoranza: sfrutta la mancanza di conoscenze tecniche della vittima
- Compassione e buone intenzioni: approfitta dell’altruismo della vittima
- Desiderio e avidità: fa leva sul desiderio della vittima di arricchirsi o raggiungere altri obiettivi
Tipi di attacco di ingegneria sociale
Gli attacchi possono essere molto diversi.
Baiting
Come suggerisce il nome, il baiting implica un’esca fisica a cui la vittima deve abboccare affinché l’attacco abbia successo.
Esso, infatti, si basa sull’uso di una trappola, come una chiavetta USB o un file contenente malware.
Pretexting
Questo attacco sfrutta un pretesto per ottenere l’attenzione e convincere la vittima a fornire le informazioni.
Ad esempio, un sondaggio su Internet potrebbe iniziare con domande che sembrano innocenti, per poi giungere a chiedere informazioni bancarie.
Spear phishing
Gli attacchi phishing sfruttano un’e-mail o un messaggio di testo, apparentemente provenienti da una fonte fidata, che richiedono informazioni.
Lo “spear phishing”, invece, prende di mira una singola persona all’interno di una azienda, scelta strategicamente in base al suo ruolo o compito, inviandole una mail che sembra provenire da un dirigente di alto livello, ma che richiede informazioni confidenziali.
Vishing e smishing
Questi tipi di attacco di ingegneria sociale sono varianti del phishing: vishing significa “voice fishing” (phishing vocale), cioè telefonare allo scopo di richiedere dei dati.
Il criminale potrebbe ad esempio fingersi un tecnico del servizio di assistenza di un’azienda, che ha bisogno delle informazioni di accesso.
Lo “smishing”, invece, sfrutta gli SMS per ottenere lo stesso tipo di informazioni.
Qui pro quo
Molti attacchi di ingegneria sociale fanno credere alle proprie vittime di ottenere qualcosa in cambio di un accesso a dei dati o di informazioni.
Lo “scareware” funziona proprio così, promettendo agli utenti – ad esempio – un aggiornamento per risolvere un urgente problema di sicurezza, quando in realtà la minaccia è lo scareware stesso.
Spamming dei contatti e hacking delle e-mail
Questo tipo di attacco comporta l’entrare negli account di posta elettronica o social di qualcuno, per ottenere accesso ai contatti.
Questi potrebbero poi ricevere un messaggio dove il presunto utente informa di essere stato derubato o di aver perso tutte le carte di credito, per cui chiede di inviare dei soldi su un determinato conto.
Farming e hunting
Questo tipo di attacco stabilisce una forma di relazione con la vittima predestinata, per ottenere molte più informazioni nel corso di un periodo di tempo più lungo.
Tuttavia, è molto rischioso per chi attacca: ci sono infatti più probabilità di venire scoperti.
Ma se l’infiltrazione va a segno, può fruttare molte più informazioni.
Come evitare gli attacchi di ingegneria sociale
Gli attacchi di ingegneria sociale sono particolarmente difficili da contrastare perché sono appositamente ideati per far leva sui tratti naturali delle persone: la curiosità, il rispetto per l’autorità, il desiderio di aiutare un amico.
Tuttavia, con determinati accorgimenti, è facile proteggersi.
Di seguito sono elencati alcuni consigli per riuscire a individuare e prevenire gli attacchi di ingegneria sociale:
- Verificare la fonte
- Diffidare delle email e telefonate non richieste
- Non condividere informazioni personali su siti non affidabili e, in generale, online
- Non scaricare app e programmi da fonti non verificate
- Controllare gli URL dei siti web da visitare
- Non aprire allegati e collegamenti di email sospette (anche i PDF e i file di Office possono contenere script e virus eseguibili)
- Spezzare la catena di inganni (ad esempio chiamando il provider del sito)
- Chiedere un identificativo
- Usare un buon filtro antispam
- Valutare la plausibilità dell’informazione
- Non farsi prendere dal panico
- Mettere al sicuro i propri dispositivi
Per chi lavora in un’impresa:
- Creare protocolli e procedure di sicurezza per i dati sensibili e a rischio
- Sensibilizzare il personale sulla sicurezza
- Testare le procedure e penetration test
- Smaltire adeguatamente i rifiuti informatici
- In caso di attacco, chiedere aiuto alle autorità (non tutti sanno che le attività di social engineering sono riconosciute come reati e punite come tali).