SOCIAL ENGINEERING – COSA è?

La mente umana, come sappiamo, è fantastica e complessa e nel tempo ha saputo sviluppare dei sistemi per rendere le attività quotidiane più immediate e veloci. Immaginiamo delle scorciatoie che permettono delle elaborazioni mentali automatiche e immediate.

Il termine di origine greca “euristiche” indica proprio questi processi mentali che ci consentono di elaborare risposte e idee in breve tempo, senza sforzo e facendo affidamento su informazioni precedenti che abbiamo immagazzinato nella nostra memoria.

Un sistema senza dubbio utilissimo che può però portare a preconcetti e che può indurre a cadere in tecniche di manipolazione mentale come quelle attuate dal social engineering.

 

L’ingegneria sociale

L’ingegneria sociale è la capacità di sfruttare i processi euristici per portare una persona a fare ciò che gli si vuole far fare.

Per esempio: una macchina mi tampona al semaforo. Il mio automatismo mentale mi porta a mettere il freno a mano, aprire la portiera e scendere per vedere cosa sia successo. Tutte azioni automatiche che in un momento di patos faccio senza rendermene conto… Lasciando le portiere aperte e dimenticando la borsa appoggiata sul sedile del passeggero (che prontamente viene prese dal complice pronto sul marciapiede a fianco).

Lo psicologo statunitense Roberto Cialdini ha categorizzato 6 principi sui quali fa leva l’ingegneria sociale.

• Autorità: siamo portati ad “obbedire” a richieste fatte dall’autorità (es: pubblico ufficiale)
• Consenso: tendiamo a fare quello che fanno anche gli altri per avere consenso. Se tutti guardano dentro ad una buca, vado anche io a vedere
• Intimidazione: se vi viene chiesta un’azione collegata ad una minaccia, siamo portati a farla (Es: “se non fai questo, la pagherai cara”)
• Familiarità: Ci fidiamo delle persone che conosciamo. Se una persona che conosco mi consiglia un prodotto, sono più portato a comprarlo. Principio base del passaparola e delle piramidi di vendita.
• Scarsità: l’idea di avere poco tempo per fare un’azione o comprare un prodotto ci porterà probabilmente a ragionare e decidere più velocemente. Pensiamo al concetto dello sconto valido “fino ad esaurimento scorte”.
• Urgenza: è un concetto cugino della scarsità che punta su una tempistica ristretta per fare una determinata attività. Spesso on-line vediamo le offerte a tempo: “Offerta valida ancora per 7h – 22min – 8sec”

Questi principi, abbinati a caratteristiche proprie del genere umano come la vanità, la generosità e la curiosità, possono rivelarsi strumenti infallibili per mettere a segno attacchi di cybersecurity

 

Il social engineering e il mondo hacker

Conoscere i processi mentali e i meccanismi di reazione istintiva può essere un’arma molto efficacie e in molti contesti viene sfruttata per fini criminali. Il mondo web è diventato col tempo un terreno molto fertile in cui poter adescare vittime ignare attraverso processi di social engineering.

Considerando gli anni 2019-2020 si registra un aumento del 12% degli attacchi hacker e nel 56% dei casi l’entità del danno è stata considerata critica (fonte: Clusit-rapporto 2021)

I settori maggiormente colpiti sono stati quelli legati alla forza pubblica e alla sanità e, dato ancora più preoccupante, si registra un aumento di attacchi che sfruttano la catena dei fornitori, ovvero colpisco un fornitore di servizi per poi insinuarmi all’interno della rete di clienti.

Le tecniche utilizzate a livello informatico sono diverse e sfruttano più canali.

• Phishing: un termine che riporta al concetto di “abboccare”. Spesso questa tecnica utilizza mail impostate secondo le tecniche del social engineering per spingere un utente a inserire dati all’interno di pagine trappola. Queste comunicazioni sono spesso molto ben fatte e si presentano per esempio come mail delle Poste italiane (autorità) che chiedono con impellenza (urgenza) dati legati ad una carta di credito per evitare blocchi del conto corrente (intimidazione)
• Baiting: è una tecnica raffinata che sfrutta una debolezza che tutti noi abbiamo: ci piace ricevere regali e omaggi. Per questo si viene invitati a scaricare un buono spesa che in realtà nasconde un file dannoso che si installa sui nostri sistemi.
• Pretexting: questo sistema sfrutta ancora una volta il concetto di autorità e ci abbina spesso quello di familiarità. Un esempio tipico è quello della società di informatica che gestisce i nostri computer che ci chiama per connettersi alla nostra postazione o che ci chiede dati come user e password. Ovviamente chi ci chiama non è il nostro tecnico ma un hacker.
• Scareware: è una metodologia meno diffusa, ma comunque molto rischiosa: una figura autorevole (ipotizziamo sempre il nostro tecnico del computer o l’azienda dalla quale abbiamo acquistato il nostro antivirus) ci contatta per comunicarci che il device è infetto e che è necessario intervenire. In realtà non abbiamo nessun tipo di problema ma lo creeremo dando accesso al sistema al malintenzionato.

Non vanno dimenticate poi altre tecniche che hanno target differenti, ma che puntano al medesimo fine: rubare dati. Pensiamo al mondo degli anziani: spesso non sono avvezzi all’utilizzo della tecnologia e prediligono il telefono. Per questo il Vishing, cugino del phishing, utilizza il canale telefonico per contattare le vittime e metterle nella condizione di cadere nell’inganno.

Casi molto frequenti sono quelli di forze dell’ordine (finte!) che contattano un anziano dicendo che il nipote è in difficoltà e che ha bisogno subito di denaro. Non sapendo come fare la vittima chiede al falso agente come poterlo aiutare e la soluzione che viene proposta è dettare i dati della carta di credito. Ecco qui che sfruttando i principi di autorità, urgenza, e generosità gli hacker ottengono ciò che vogliono.

 

Come potersi difendere dal social engineering “malevolo”

È fondamentale sottolineare che di per sé le tecniche di social engineering non sono né buone né cattive. Possono essere utilizzate per scopi molto positivi come la raccolta fondi o il sostegno di persone in difficoltà. Le pubblicità progresso o gli spot legati al mondo dell’infanzia meno fortunata, sfruttano senza dubbio i principi di emotività e di reazione immediata ma non per questo vanni considerati in maniera negativa. Quelle da cui dobbiamo difenderci sono le situazioni in cui l’ingegneria sociale viene usata per scopi criminali.

La prima arma di cui dobbiamo dotarci è la consapevolezza: essere coscienti dei rischi che corriamo e delle tecniche utilizzate per colpire è il primo passo per proteggerci.

Nel momento in cui ci arriva una mail o una telefonata “strana”, devono attivarsi i nostri campanelli di allarme e dobbiamo fare in modo che la menti resti lucida e non attivi le euristiche in maniera istintiva.

Dobbiamo farci delle domande e prenderci qualche secondo per ragionare:

• Perché la Posta/Banca mi chiede dati che dovrebbe già avere?
• Perché il tecnico del pc non è quello di sempre, ha una voce diversa?
• Perché dovrebbero farmi questo regalo?
• Quando ho sentito mio nipote l’ultima volta? Perché chiamano me?

Una buona regola da tenere a mente è che se qualcosa sembra troppo bello per essere vero (mi regalano l’I-phone…) probabilmente non lo è e stiamo per metterci nei guai.

Un’altra buona strategia è quella di richiamare: se ho il dubbio che dall’altra parte del telefono ci sia davvero la mia banca, avviso l’interlocutore che desidero interrompere la chiamata e richiamare.

Per il mondo delle aziende esistono specifici corsi di cybersecurity rivolti ai lavoratori che possono essere un ottimo investimento che l’imprenditore può fare per tutelare la propria rete aziendale. Basti pensare che in più dell’80% dei casi, gli attacchi che hanno esito positivo sono stati supportati da errore umano.

È fondamentale che i dipendenti e i collaboratori si sentano parte della sicurezza delle informazioni e che capiscano che le loro azioni possono fare la differenza.