L’attività di un ingegnere sociale fonda le proprie basi essenzialmente sull’inganno. Indurre la vittima designata a intraprendere azioni inconsuete a proprio beneficio (per ottenere informazioni riservate e sensibili), magari sfruttando ed enfatizzando l’uso dell’autorità, dell’urgenza e della pressione psicologica, sono solo alcuni tra gli escamotages adottati.
Le azioni criminali basate sull’ingegneria sociale, di cui abbiamo notizie fin dalla notte dei tempi, possono concretizzarsi con o senza l’ausilio di tecnologia.
Purtroppo è un dato di fatto che l’ingegneria sociale si è evoluta nel tempo da una tecnica di attacco che puntava esclusivamente sul carisma e l’abilità dell’attaccante verso una strategia ibrida, ancora più incisiva e subdola che sfrutta sia le abilità cognitive che quelle informatiche.
Questo è stato reso possibile negli ultimi anni grazie alla crescita della digitalizzazione della comunicazione con la diffusione dei social (fucina inesauribile di informazioni) e dei vari servizi di messagistica. L’ingegnere sociale sfrutta, per l’appunto, la percezione distorta che l’utente medio ha di questi strumenti, ritenendoli puramente virtuali, privi di insidie e scollegati dal mondo reale.
Qualunque sia il modus operandi adottato, è possibile suddividere l’anatomia di un attacco in quattro fasi principali:
Fase 1. Footprinting. Raccogliere quanto più informazioni sulla vittima è il primo passo fondamentale e propedeutico. Ogni dato anche apparentemente insignificante è indispensabile per focalizzare il contesto da colpire. È in questa fase che si definiscono le modalità di attacco da intraprendere. Lo scopo è acquisire familiarità con il target e definire l’obiettivo criminale, modalità e strategie;
Fase 2. Instaurare una relazione. Il passo successivo consiste nel guadagnare fiducia e complicità con la vittima, stabilendo una relazione in modo diretto o attraverso una catena di conoscenze e relazioni di terze parti;
Fase 3. Manipolazione psicologica. È questo il momento di allestire un inganno verosimile. Grazie alle informazioni reperite e alla relazione instaurata, si procede all’abbattimento delle difese per sferrare l’attacco definitivo;
Fase 4. Esecuzione. In quest’ultima fase, che dipenderà dall’abilità dell’ingegnere sociale nell’eliminare ogni rischio o traccia, si consolida il risultato ottenuto.
Alla luce di quanto detto, oggettivamente risulta più semplice e meno dispendioso sfruttare un bug umano piuttosto che spendere del tempo alla ricerca di una falla in un sistema informatico. Volendo colpire un’infrastruttura, la domanda che potrebbe balenare a un criminale è: “perché cercare di forzare i sistemi di sicurezza più o meno complessi, se è possibile sfruttare le vulnerabilità intrinseche dell’elemento umano?”
In questo modo è la stessa vittima prescelta a rappresentare – inconsapevolmente – il vettore per l’adempimento dell’azione fraudolenta, magari allestita con la commistione di malware, persuasione umana ed empatia, tutti gli ingredienti (fondamentali e interscambiabili tra loro) preferiti dall’ingegnere sociale.
Di seguito si elencano alcune delle tecniche più comuni, tecnologiche e non.
Ascoltare telefonate personali, conversazioni tra addetti ai lavori o intercettare chat o messagistica istantanea, rappresentano tutti un buon punto di partenza per il progetto preliminare dell’ingegnere sociale.
È una tecnica non invasiva che consiste, ad esempio, nello spiare la digitazione di credenziali d’accesso, o semplicemente nello sbirciare estremi o documenti quando si è in coda agli sportelli, oppure seduti in luoghi o mezzi di trasporto pubblici.
È un’azione che consiste nel cercare nella spazzatura dell’azienda o del target informazioni riservate e utili per l’allestimento dell’inganno. Si pensi a cosa usualmente si può gettare nell’immondizia (estratti conti, ricevute fiscali, solo per citarne alcuni!)
Con questo termine si classificano le modalità di attacco che consentono all’ingegnere sociale:
Con questa tecnica si utilizza come esca, opportunamente armata con un malware, un supporto informatico quale una chiavetta USB, un hard disk, un CD lasciato volutamente incustodito, come se fosse stato smarrito e contare sulla curiosità della vittima di volerne conoscere il contenuto, per eseguire il codice malevolo nascosto.
Il criminale induce l’utente a commettere determinate azioni, creando un falso contesto, cercando di entrare in empatia con la vittima, di interpretare un ruolo di autorità credibile oppure di intimare delle gravi ripercussioni: la truffa del falso CEO [1] e le campagne sextortion [2] ne sono tipici esempi.
Il phishing, di cui ho ampiamente parlato in un precedente articolo [3], è una tecnica fraudolenta caratterizzata dall’abilità di ottenere informazioni confidenziali con pretesti fuorvianti attraverso l’uso combinato di strumenti tecnologici/digitali e maestria ingannevole. Solitamente l’attaccante invia alla vittima una mail oppure un SMS (in tal caso si parla di Smishing) impersonando, anche con loghi contraffatti un ente, un istituto di credito o azienda legittima, con l’invito a cliccare su di un link (che porta verso un sito “farlocco”) o a scaricare degli allegati (contenenti un payload malevolo).
È comunque ancora in voga anche una versione telefonica della tecnica di phishing (Vishing), in cui l’ingegnere sociale, con la scusa di offrire un servizio o prestare un intervento tecnico, cerca di ottenere indirettamente delle informazioni riservate inducendo il malcapitato a eseguire delle operazioni mirate alla realizzazione della truffa stessa.
Dall’ultima edizione del rapporto Clusit emerge che il 63% degli attacchi totali, nel primo semestre 2019, è stato messo a segno attraverso tecniche semplici e a basso costo, tra le quali primeggia quella adoperata dal professionista dell’inganno: l’ingegneria sociale (con un aumento del +104% rispetto al medesimo periodo del 2018).
Per riconoscerla in tempo ed evitarla occorre, soprattutto, averne consapevolezza.
A tal proposito, ecco alcune best practices valide sia per privati che aziende:
Non meno importanti e trascurabili, le regole di buona pratica non tecnologiche:
[2] https://www.ictsecuritymagazine.com/articoli/sextortion-analisi-di-una-mail-del-ricatto/
Articolo a cura di Salvatore Lombardo
I Big Data stanno cambiando le regole del commercio online. Finalmente le aziende possono comprendere…
Dal punto di vista tecnico-operativo, le indagini di digital forensics vengono svolte utilizzando specifici strumenti…
Nell’ambito dell’email security esistono diversi protocolli volti a garantire l'autenticità, l'integrità e la riservatezza delle…
Nel panorama della sicurezza informatica, la minaccia di attacchi fisici tramite dispositivi USB malevoli è…
Come per tutti i problemi complessi con cause molteplici, non esiste una soluzione per il…
In un mondo sempre più connesso e digitalizzato, le innovazioni tecnologiche stanno cambiando radicalmente il…