Riscontriamo sempre più spesso che gli esseri umani sono il punto debole della sicurezza informatica.
Per sfruttare le loro vulnerabilità e fragilità, molti hacker si affidano all’ingegneria sociale per ottenere informazioni preziose. Questa tecnica di attacco si concentra sugli utenti piuttosto che sulla tecnologia, mirando alla manipolazione delle persone per arrivare all’obiettivo.
Il cinema celebra spesso la figura del truffatore capace di affascinare e disarmare le persone. Nel film “Prova a prendermi”, Leonardo DiCaprio interpreta un giovane Frank Abagnale, un famigerato truffatore che si è fatto passare per pilota di compagnie aeree o avvocato per commettere frodi. Abagnale ha successivamente utilizzato le sue abilità per diventare un consulente di sicurezza nei reparti antifrode.
L‘ingegneria sociale ha portato la truffa nell’era digitale, sfruttando la mancanza di consapevolezza sull’utilizzo di strumenti informatici e la predisposizione delle persone a condividere informazioni sulle piattaforme online. In sostanza, l’obiettivo finale è lo stesso: manipolare psicologicamente le persone per ottenere informazioni sensibili.
Cos’è il social engineering
L’ingegneria sociale è un termine che descrive le tecniche utilizzate dagli hacker per manipolare l’utente finale al fine di ottenere informazioni sensibili, che possono poi essere utilizzate per accedere a dati o sistemi. Questo tipo di attacco prevede spesso l’impersonificazione di rappresentanti di organizzazioni legittime, con l’obiettivo di convincere le persone a fornire informazioni come password o dettagli personali.
Le tecniche di ingegneria sociale possono essere utilizzate attraverso diverse modalità di contatto, come telefonate, e-mail o messaggi. Gli ingegneri sociali, noti anche come hacker umani, utilizzano una vasta gamma di metodi per convincere gli utenti a divulgare informazioni, spesso fingendosi addetti al supporto tecnico o impiegati di banche.
Vediamo come funziona
Gli hacker utilizzano una varietà di tattiche per supportare le loro attività. Di solito, gli attacchi di ingegneria sociale seguono questi passaggi:
Identificazione del bersaglio: l’obiettivo è convincere l’utente che l’attaccante rappresenti un’istituzione affidabile. Gli hacker cercano di costruire un rapporto con la vittima, spesso offrendo dettagli facilmente accessibili, come la data di nascita o il numero di telefono, per dimostrare la loro legittimità. Queste informazioni sono spesso disponibili pubblicamente e i malintenzionati possono raccoglierle esplorando i social media.
L’attaccante entra direttamente in contatto con il bersaglio. Gli hacker utilizzano le informazioni raccolte per convalidare la loro falsa identità. Successivamente, il bersaglio viene convinto a fornire informazioni sensibili che l’attaccante può sfruttare.
Gli hacker lanciano il loro attacco, utilizzando i dettagli ottenuti sotto mentite spoglie. Ciò può comportare l’accesso ai sistemi utilizzando password ottenute, l’esecuzione di truffe con furto di identità o l’utilizzo delle informazioni per ottenere vantaggi personali.
La storia del social engineering
La pratica dell’ingegneria sociale è una strategia antica che risale a molti secoli fa. In ogni epoca in cui le informazioni sono state considerate preziose, ci sono state persone pronte a manipolare gli altri per ottenerle. Tuttavia, il termine ingegneria sociale è stato coniato solo nel 1894 dall’industriale olandese J.C. Van Marken, che suggerì l’idea di specialisti in grado di gestire non solo le sfide tecniche, ma anche quelle umane. Nel 1911, Edward L. Earp scrisse il libro “Social Engineer”, che incoraggiava le persone a gestire le relazioni sociali allo stesso modo in cui si avvicinavano alle macchine. Oggi, l’ingegneria sociale si riferisce principalmente alla pratica di ingannare le persone per ottenere informazioni preziose, spesso in vista di un attacco informatico.
Per dare un’idea più precisa citiamo alcuni casi celebri.
Nel 2013, uno dei più grandi rivenditori degli Stati Uniti, Target, fu colpito da un attacco che compromise i dati di oltre 110 milioni di clienti. L’attacco sfruttò le vulnerabilità di un fornitore di impianti di climatizzazione, che aveva accesso alla rete della Target, portando alla sottrazione di 40 milioni di carte di credito e debito, grazie alla installazione di un malware di RAM scraping, una versione personalizzata di “BlackPOS”, su diversi terminali POS.
Due distinti attacchi, nel 2013 e 2014, esposero le informazioni personali degli utenti di posta elettronica di Yahoo, il secondo attacco sfruttò una campagna di spear-phishing mirata a un ingegnere di Yahoo. L’utente cadde nella trappola, fornendo ai malintenzionati accesso a dati come nomi, indirizzi e-mail, numeri di telefono, date di nascita e passwords. Inoltre, questo attacco permise agli hacker di accedere agli account degli utenti senza necessità di password.
Nell’ottobre 2015, un adolescente di 15 anni ottenne il controllo delle e-mail del direttore della CIA, John Brennan, inducendo AOL a fornire informazioni personali su Brennan, fingendosi un tecnico della Verizon. Queste informazioni furono poi utilizzate per accedere all’e-mail di Brennan e visualizzare informazioni sensibili.
La psicologia è alla base
Per comprendere come difendersi dagli attacchi di ingegneria sociale, è importante considerare le tecniche psicologiche utilizzate dagli attaccanti, come l’autorevolezza, l’avidità e il panico. Riconoscere tempestivamente queste tecniche, può aiutare la vittima a contrattaccare e a evitare di essere ingannata. Esaminiamo in modo più dettagliato questi approcci.
La tecnica psicologica dell’autorevolezza consiste nell’ingannare la vittima facendole credere di essere stata contattata da una figura o un’istituzione autorevole per ottenere informazioni. Gli attaccanti cercano credibilità impostando l’e-mail in modo istituzionale, utilizzando toni formali e appropriati, in modo che la vittima sia indotta a rivelare le informazioni richieste. Tuttavia, riconoscere i segnali di allarme, come e-mail sospette o richieste di informazioni troppo personali, può aiutare a sventare l’attacco.
La tecnica dell’avidità viene utilizzata dagli hacker per convincere le vittime a fornire informazioni o ad eseguire azioni dannose in cambio di una promessa di guadagno o di ottenere qualcosa che desiderano fortemente. Ad esempio, gli attaccanti potrebbero promettere alla vittima buoni spesa in cambio di informazioni personali o finanziarie. Utilizzando questa tecnica, gli hacker spesso riescono a indurre le vittime a fornire le informazioni richieste, causando il furto di dati o l’accesso non autorizzato ai loro account.
Una delle tecniche psicologiche principali si basa sul panico, che costringe la vittima a prendere decisioni immediate senza riflettere. Per esempio, l’hacker potrebbe avere accesso a informazioni sul mancato pagamento di una bolletta della vittima e inviare un’e-mail minacciosa affermando che se non si preme su un certo link o non si inviano immediatamente dei soldi a un certo conto, la fornitura di energia verrà sospesa. Questa tecnica è estremamente efficace, poiché sfrutta emozioni difficili da controllare, ed è perciò importante prestare molta attenzione.
Tipi di attacchi di social engineering
L’ingegneria sociale comprende una vasta gamma di tecniche di manipolazione.
Il baiting è un tipo di attacco in cui l’hacker propone un’offerta allettante, come un download gratuito di musica o film che potrebbe interessare l’utente, per convincerlo a cliccare su un link. Tuttavia, una volta selezionato il collegamento, il dispositivo viene infettato da malware e compromesso.
Il phishing sfrutta l’invio di e-mail, messaggi social o di testo per indurre un utente ad aprire un collegamento dannoso. L’obiettivo dell’attacco è quello di far credere all’utente che la comunicazione provenga da una fonte affidabile o legittima con cui ha già a che fare. In questo modo, l’utente viene indotto a cliccare sul collegamento malevolo, che può contenere malware. Di solito, i dati personali dell’utente vengono compromessi quando il dispositivo o il sistema vengono infettati.
Il pretexting è una tecnica di ingegneria sociale in cui un individuo si spaccia per un rappresentante di un’organizzazione affidabile allo scopo di ottenere informazioni sensibili. Questo tipo di attacco si basa sui dati provenienti da ricerche preliminari circa l’obiettivo, al fine di creare un’illusione di legittimità e fiducia.
Il quid pro quo si basa sulla promessa di un favore o di un beneficio in cambio di informazioni o di azioni da parte dell’utente. In questo tipo di attacco, l’utente viene ingannato dal malintenzionato che offre un servizio o un vantaggio allettante, come un aggiornamento software gratuito o un buono sconto, in cambio di informazioni o di azioni da parte dell’utente. Ad esempio, attaccante potrebbe offrire di sbloccare un account utente bloccato, in cambio di informazioni sensibili come nome utente e password. In realtà l’aggiornamento software o il vantaggio promesso è solitamente un pretesto per introdurre malware nel sistema dell’utente o per ottenere accesso non autorizzato a dati sensibili.
Il Reverse Social Engineering è una tattica in cui l’attaccante convince il bersaglio che egli ha un problema, presentandogli una possibile soluzione. La vittima, pensando di poter risolvere, avvia il contatto con l’hacker, senza rendersi conto che in realtà sta per essere vittima di un attacco informatico.
Il tailgating è un attacco in cui, un hacker, ottiene accesso alle aree riservate di un edificio seguendo un dipendente autorizzato e sfruttando le sue credenziali. L’attaccante si finge spesso un consulente o addetto alle consegne per convincere il dipendente a concedergli l’accesso.
Whaling e Spear Phishing sono varianti del phishing che mirano a individui specifici e richiedono una notevole quantità di ricerche. Gli attacchi di Whaling mirano a individui di alto profilo, spesso dirigenti e amministratori, mentre gli attacchi di Spear Phishing si concentrano su gruppi specifici di individui, come i dipendenti di aziende o organizzazioni.
Come difendersi
L’educazione degli utenti finali è la forma più efficace di prevenzione contro gli attacchi di ingegneria sociale. È fondamentale insegnare ai dipendenti come riconoscere le differenti tattiche e come evitarle.
Ecco alcuni consigli importanti da tenere a mente per evitare di cadere nelle trappole:
Non farsi prendere dal panico. Gli scammer cercano di spingere ad agire in modo impulsivo, senza pensarci troppo. Se un messaggio trasmette un senso di urgenza o usa tecniche di vendita aggressive, mantenere la calma e valutare bene la situazione. Non permettere mai che la fretta influenzi la propria attenzione e capacità d’analisi.
Verificare i fatti. Non fidarsi di messaggi non richiesti. Se si riceve un messaggio che sembra provenire da un’azienda conosciuta, effettuare ricerche sul sito web dell’azienda utilizzando un motore di ricerca o consultando un elenco telefonico per trovare il relativo numero. Non dare per scontato che il messaggio sia legittimo solo perché appare autentico.
Non cliccare mai su un link in un’e-mail se non si è sicuri di dove porterà. Cercare il sito web utilizzando un motore di ricerca per essere sicuri di atterrare sul sito giusto. Tenere presente che alcuni link potrebbero sembrare validi, ma in realtà portano a siti web dannosi o fraudolenti.
Non scaricare file sconosciuti. Se non si conosce personalmente il mittente dell’email e non si aspetta di ricevere un allegato da questi, non scaricare mai nulla. I file allegati possono contenere virus o malware.
Attenzione alle offerte troppo allettanti. Se si riceve un’e-mail che promette soldi facili o premi in denaro da lotterie o rimborsi di qualsiasi genere, meglio diffidare ed evitare di condividere dati personali.
Diffidenza prima d’ogni cosa
Per evitare di cadere in inganni, la migliore difesa è la diffidenza. E’ estremamente raro che enti istituzionali richiedano informazioni riservate di qualsiasi tipo, poiché le leggi sulla privacy attualmente in vigore sono particolarmente severe.