Esempio di social engineering: come l'ingegneria sociale utilizza l'inganno e la manipolazione per ottenere informazioni riservate, dal Cavallo di Troia agli attacchi informatici moderni.

Il Social Engineering

«La guerra si fonda sull’inganno»
L’Arte della Guerra, Sun Tzu

Il social engineering – o ingegneria sociale – è una disciplina che sfrutta processi cognitivi di influenzamento, inganno e manipolazione per indurre una persona a compiere un’azione o a comunicare informazioni riservate.

 

Esempi Storici di Social Engineering

La storia è Maestra di vita, e l’arte di ingannare l’avversario non si sviluppa certamente con la nascita dei computer e della sicurezza informatica: probabilmente la più antica prova di un attacco di ingegneria sociale si trova nella Bibbia, Genesi 27, dove Rebecca inganna suo marito Isacco facendogli benedire il secondogenito Giacobbe, rendendolo il suo successo re, invece di Esaù, che era il maggiore.

Ma i libri di storia sono pieni di episodi in cui si sono perpetrati inganni e tranelli, sicuramente l’esempio scolastico per eccellenza è quello del Cavallo di Troia, che i Greci usarono per espugnare la città di Troia (non per nulla con il termine “Trojan Horse” intendiamo un tipo di codice o software dannoso che sembra legittimo ma può prendere il controllo del tuo computer, progettato per danneggiare, interrompere, rubare o in generale infliggere altre azioni dannose ai tuoi dati o alla tua rete).

Evoluzione del Social Engineering

Le azioni criminali basate sull’ingegneria sociale, di cui abbiamo notizie fin dalla notte dei tempi, possono concretizzarsi con o senza l’ausilio di tecnologia.

Purtroppo è un dato di fatto che l’ingegneria sociale si è evoluta nel tempo da una tecnica di attacco che puntava esclusivamente sul carisma e l’abilità dell’attaccante verso una strategia ibrida, ancora più incisiva e subdola che sfrutta sia le abilità cognitive che quelle informatiche.

Questo è stato reso possibile negli ultimi anni grazie alla crescita della digitalizzazione della comunicazione con la diffusione dei social (fucina inesauribile di informazioni) e dei vari servizi di messaggistica. L’ingegnere sociale sfrutta, per l’appunto, la percezione distorta che l’utente medio ha di questi strumenti, ritenendoli puramente virtuali, privi di insidie e scollegati dal mondo reale.

Tecniche di Social Engineering e Fattore Umano

I cybercriminali sanno che l’ingegneria sociale funziona meglio quando ci si concentra sulle emozioni delle persone. Approfittare delle emozioni umane è molto più facile che hackerare una rete o cercare delle vulnerabilità.

Il principio alla base dell’ingegneria sociale è quello di sfruttare il fattore umano, ovvero mettere le persone in situazioni in cui si sa già che faranno affidamento sulle forme più comuni di interazione sociale, come la tendenza a fidarsi delle persone e a rivelare informazioni private (magari pubblicando sui social network), il desiderio di un professionista nel dimostrare acume e superiorità nel suo campo, la tendenza della maggior parte delle persone ad essere più disponibili verso chi mostra interesse nei loro riguardi.

L’attacco fa, dunque, leva su tratti caratteristici dell’essere umano, come la disponibilità e la buona fede dell’attaccato, l’ignoranza e la disattenzione o, ancora, la paura, l’urgenza, la gratitudine.

“Si possono investire milioni di dollari per i propri software, per l’hardware delle proprie macchine e per dispositivi di sicurezza all’avanguardia, ma se c’ è anche solo un unico dipendente della nostra azienda che può essere manipolato con un attacco di ingegneria sociale, tutti i soldi investiti saranno stati inutili” (dal libro l’Arte dell’Inganno di Kevin Mitnick).

In un contesto caratterizzato dall’incessante ricerca di nuovi e più sofisticati sistemi tecnologici di difesa informatica, tali da rendere le reti sempre più impenetrabili ed i software sempre più sofisticati, ciò che indebolisce il processo di security dagli attacchi di cognitive hacking è proprio l’uomo.

Metodi di Social Engineering: Elicitazione

Le tattiche utilizzate per eseguire un buon attacco di ingegneria sociale si basano principalmente sull’elicitation (e “elicitazione”) termine inglese che consiste nel porre domande preparate apposta, tramite un insieme di tecniche e metodi (utilizzati dai professionisti dell’intelligence e della cyber intelligence) per raccogliere informazioni di nascosto.

In sostanza, un professionista dell’intelligence si impegna in una conversazione con l’obiettivo di raccogliere informazioni e, utilizzando metodi di elicitazione, carpisce le informazioni di cui ha bisogno senza che l’obiettivo si renda conto di essere sfruttato per ottenere informazioni, che possono essere successivamente utilizzate in una campagna di social engineering su larga scala.

L’elicitazione è un’attività poco rischiosa e difficile da individuare. Spesso e volentieri chi cade vittima rivelando informazioni importanti, neanche si rende conto di come sia potuta uscire l’informazione e, se anche una domanda ad un secondo ripensamento dovesse risultare sospetta, le vittime tendono a considerarla una domanda a cui avrebbero potuto rispondere oppure no, in cui nessuno si ricorda del contenuto delle informazioni che sono trapelate.


Basta fare al bersaglio individuato la domanda giusta al momento giusto e tutte le porte si apriranno.

“Se il vostro avversario ha un carattere iroso, dovete tentare di irritarlo, se è arrogante, provate a incoraggiare la sua arroganza… Colui che è in grado di muovere il proprio avversario lo fa creando una situazione che indurrà il nemico a compiere una certa mossa; questi alletta il nemico con qualcosa che l’altro pensa di poter far suo. Tiene in movimento il nemico facendogli pendere davanti un’esca e poi attaccandolo con truppe scelte.”
(Sun Tzu, l’Arte della Guerra)

 

Ma se un qualsiasi cittadino, “custode” di informazioni riservate, rischia di mettere a repentaglio la propria sicurezza e di chi gli sta intorno, pensiamo cosa potrebbe verificarsi se la vittima è un soggetto che svolge un’attività di Pubblica Sicurezza.

In ambito di Sicurezza Nazionale, l’utilizzo di reti informatiche non classificate, come Facebook, Twitter, Instagram (solo per citarne i più conosciuti), espone le Forze Armate a rischi sempre più elevati di perdita di informazioni sensibili che, se inserite in un opportuno ciclo di intelligence, possono arrecare un notevole danno alla sicurezza del contingente militare, delle operazioni in corso e più in generale della Difesa.

Cyber-Intelligence e Social Engineering

Si può a questo punto provare a definire il concetto di cyber-intelligence come l’insieme degli sforzi e delle attività svolte da o per conto di un’organizzazione, progettate e messe in atto per identificare, tracciare, misurare e/o monitorare, attraverso l’utilizzo di strumenti informatici, le minacce digitali, i dati e/o le operazioni di un avversario.

Data la peculiarità e la complessità delle attività che si celano dietro questo termine, le operazioni di cyber-intelligence spesso possono non essere sufficienti da sole a fornire al decisore una visione informativa completa. In questi casi, dunque, ad esse potranno essere affiancati altri metodi d’intelligence tradizionali come, prima fra tutti, la Human intelligence (HUMINT) o la Signal intelligence (SIGINT).

Infatti, a differenza delle armi nucleari e delle altre armi di distruzione di massa, le c.d. cyber-weapons non richiedono particolari infrastrutture, né tantomeno materiali speciali e, spesso, neppure conoscenze tecniche particolarmente approfondite per essere predisposte. In quest’ottica, quindi, si dovrebbe fare esclusivo affidamento sulle poche, spesso labili, tracce elettroniche lasciate dall’avversario nelle fasi preliminari all’attacco informatico, ovvero quelle di footprinting o fingerprinting.

Limiti e Potenzialità della Cyber-Intelligence

I tradizionali metodi di cyber-intelligence per la raccolta di informazioni riservate, pertanto, potrebbero mostrare il fianco quando l’obiettivo è quello di comprendere a pieno le capacità e/o le intenzioni reali del nemico, qualora non vengano comunque affiancati anche da attività similari nel “mondo fisico”.

Un ulteriore elemento che si collega a quanto appena analizzato e che pertanto, seppure brevemente, deve essere tenuto in debita considerazione, è quello relativo alle tecniche d’ingegneria sociale, di cui finora abbiamo discusso.

Non si deve dimenticare, infatti, che la maggior parte dei malware o delle tecniche di phishing, ad esempio, utilizzano, seppur in maniera generalizzata e non mirata, delle tecniche di ingegneria sociale per far sì che l’utente del sistema informatico sia invogliato ad aprire l’allegato infetto, ovvero ritenga valido e credibile il contenuto della mail ricevuta.

Policies di Cyber Security e Protezione dei Dati

Appare evidente allora che, per fronteggiare una simile minaccia, che basa la sua forza sull’insicurezza degli strumenti tecnologici, sulla poca accortezza degli utenti e sulle tecniche di ingegneria sociale, un primo argine alla possibile fuoriuscita di informazioni classificate e sensibili viene proprio da policies di cyber security stringenti, accorte e, soprattutto, specificatamente tarate sulle esigenze operative del contingente che in un’ottica di sicurezza nazionale, va intesa come la capacità di resistere alle minacce intenzionali e non intenzionali attuate contro i sistemi informatici a rilevanza nazionale, nonché di rispondere e rimediare a dette azioni.

In una società che ormai poggia le fondamenta sul concetto stesso di informazione e sulla rilevanza che questo concetto ha all’interno dei meccanismi di funzionamento di tutti i sistemi cibernetici, su cui si basa il dialogo e l’infosharing tra i vari Stati su cui poggia il perno delle discussioni in atto a livello internazionale al fine di armonizzare il quadro normativo e gli standard di sicurezza, risulta particolarmente intuitivo comprendere come impossessarsi, proteggere e usare la maggior quantità possibile di esse sia lo sforzo più rilevante a supporto di un’efficace strategia di vittoria per molti dei conflitti che saranno combattuti in futuro.

Se è vero, infatti, che: “In linea di massima, a proposito della battaglia, l‘attacco diretto mira al coinvolgimento; quello di sorpresa, alla vittoria” (Sun Tzu, l’Arte della Guerra), allo stato attuale, proprio gli attacchi informatici possono essere ancora in grado di conseguire con facilità questo espediente.

“Se l’intelligence è indispensabile per comprendere la realtà, la cyber Intelligence lo è ancora di più per orientarsi nella realtà e nel suo doppio: le galassie in espansione del web” (Cyber intelligence, Mario Caligiuri).

Articolo a cura di Giuseppe Maio

Profilo Autore

Giuseppe Maio è Security Advisor in ambito Governance, Risk and Compliance (GRC) per un importante società di Consulenza strategica. Dopo aver conseguito una laurea in Giurisprudenza presso l’Università Mediterranea di Reggio Calabria, ha frequentato un master di II Livello presso
l’Università LUISS Guido Carli in “Cybersecurity: Politiche Pubbliche, Normative e Gestione”. Attualmente è membro della Commissione Cyber Threat Intelligence & Warfare presso la Società Italiana di Intelligence.

Condividi sui Social Network:

Ultimi Articoli