L’ingegneria Sociale: Il Fulcro è la Relazione
L’ingegneria sociale rappresenta una minaccia crescente per la cybersecurity, sfruttando il fattore umano come anello debole nella sicurezza delle informazioni. Questo articolo esplora le tecniche di manipolazione psicologica utilizzate dagli attaccanti per ottenere dati sensibili e accesso non autorizzato.
C’è ormai un’assoluta concordanza sull’odierno valore strategico delle informazioni, di qualunque tipo, dai dati personali a quelli aziendali, dal momento che tutto, perfino le abitudini e le preferenze personali, può essere tramutato in un valore economico o strumentale. Le credenziali di accesso ai nostri vari account, ad esempio, possono essere sottratte e utilizzate per compiere frodi o altre azioni illecite; le informazioni aziendali possono essere oggetto di spionaggio industriale.
Le abitudini di un dipendente aziendale possono essere monitorare da soggetti criminali, ad esempio su un profilo social o su un blog, per essere utilizzate a proprio vantaggio. Un’informazione, apparentemente banale, può essere di grande interesse per chi cerca un pretesto per entrare in contatto con la potenziale vittima e poi cercare di carpire informazioni di altra natura, non necessariamente collegate ai diretti interessi della vittima. Entrare in contatto con qualcuno ormai è alla portata di tutti. Tra mobile, social network e IoT (Internet of Things) siamo praticamente sempre connessi. E più siamo connessi, più siamo esposti.
L’evoluzione degli attacchi informatici e il fattore umano
L’aumento esponenziale in questi ultimi anni degli attacchi tecnologici su sistemi e reti informatiche ha visto in risposta un miglioramento e una maggior efficacia delle contromisure tecnologiche adottate, ma tutto questo non è sufficiente. Da tempo gli attaccanti hanno compreso che ci sono altre modalità per raggiungere i propri obiettivi, riducendo rischi e investimenti. In poche parole, si sono concentrati sul cosiddetto “fattore umano”.
Universalmente riconosciuto come l’anello più debole anche nei sistemi di sicurezza più evoluti, il fattore umano è sempre più il bersaglio o lo strumento mediante il quale si compiono gli attacchi, ed è l’elemento di sicurezza più complicato da gestire. D’altro canto se un sistema informatico è “a prova di attacco tecnologico” o comunque di difficile penetrazione, il modo più semplice ed economico per ottenere le informazioni di cui si ha bisogno è quello di rivolgersi alle persone giuste.
L’ingegneria sociale: definizione e applicazioni
Con la tecnica dell’ingegneria sociale (social engineering) si può arrivare a qualunque obiettivo. Con tale termine si intende una tipologia di attacco che, in ambito informatico, sfrutta tecniche e principi psicologici per manipolare le persone e indurle a fornire informazioni o a compiere determinate azioni, il tutto nel solo interesse dell’attaccante. L’ingegneria sociale è spesso il preludio ad attacchi informatici veri e propri. Si tratta di una sorta di hacking di tipo cognitivo dal momento che l’efficacia dell’attacco richiede che si agisca sulla percezione dell’utente, influenzandone il comportamento (Corradini, 2016, https://www.bancaforte.it/articolo/difendersi-dall-ingegneria-sociale-RB73864z).
Aspetti positivi e negativi dell’ingegneria sociale
In linea generale, comunque, occorre precisare che l’ingegneria sociale non va considerata solo in senso esclusivamente negativo. Essa, infatti, può manifestarsi con intenti non criminosi mediante una modalità di comunicazione persuasiva finalizzata all’ottenimento di vantaggi. Si pensi ai venditori, i quali probabilmente rappresentano la categoria più comune di coloro che impiegano tecniche di ingegneria sociale, senza inquadrarle in un’ottica criminale. Nella compravendita i venditori utilizzano meccanismi che spingono il consumatore verso una scelta piuttosto che un’altra e sono particolarmente attenti alla comunicazione: indipendentemente dalle competenze tecniche del venditore, ciò che fa la differenza è l’empatia che egli riesce a generare con il cliente.
Nella sua accezione negativa, invece, l’ingegneria sociale viene definita come l’insieme di tecniche utilizzate per manipolare persone nel compiere azioni o rilasciare informazioni confidenziali. Ed è questa una delle minacce più preoccupanti in tema di cybersecurity. Stando anche ai trend diffusi relativamente al 2016, il social engineering non è certo una minaccia da sottovalutare. Anzi, proprio perché funziona, bisogna monitorarne il continuo andamento.
Perché funziona il social engineering?
La risposta più semplice è che fa leva sui bisogni umani e sulle interazioni sociali, ed è allo stesso tempo semplice e potente. L’ingegneria sociale sfrutta quei meccanismi umani che guidano il comportamento dell’individuo nel quotidiano.
Il fulcro dell’ingegneria sociale è proprio la relazione: riuscire a stabilire una qualche forma di relazione è necessario affinché l’applicazione di principi psicologici, quali la simpatia e la coerenza comportamentale, abbiano successo. Così, ad esempio, manifestare a parole una posizione durante una conversazione con qualcuno (contesto di relazione) produce generalmente un comportamento coerente con quanto affermato. E se la coerenza tra il dire e il fare assume un valore positivo, essa può produrre risultati pericolosi se a manovrare la relazione è l’ingegnere sociale.
Insomma,
“Se non ci fossero le persone, non ci sarebbe ingegneria sociale”.
Vulnerabilità umana e prevenzione
Attenzione: anche le persone più informate e addestrate possono cadere nella trappola di un attacco di ingegneria sociale: l’essere umano non è infallibile e le emozioni possono giocare un ruolo importante. In alcuni casi è proprio l’eccessiva sicurezza (“a me non capita…”) a favorire l’errore umano ed il buon esito dell’attacco di ingegneria sociale.
L’attività di prevenzione in questo ambito è dunque complessa e articolata, dal momento che bisogna indurre gli esseri umani ad essere consapevoli anche delle proprie debolezze. Ed è questa la vera sfida.
Conclusioni: l’importanza del fattore umano nella sicurezza informatica
“SE NON CI FOSSERO LE PERSONE, NON CI SAREBBE INGEGNERIA SOCIALE”
Con questa frase le autrici, pur di diversa formazione professionale, evidenziano la rilevanza del fattore umano
nell’affrontare il tema della sicurezza in ambito cyber, in particolare la sicurezza delle informazioni.
Oggi l’informazione ha un valore strategico: i nostri dati personali, le informazioni aziendali, tutto può avere un valore economico o strumentale. E ben lo sanno i cybercriminali che sfruttano tecniche più o meno sofisticate per raggiungere l’obiettivo, facendo il più delle volte leva sulle debolezze umane.
In questo volume viene analizzato il fenomeno dell’ingegneria sociale (social engineering) sia dal punto di vista psicologico e tecnologico che nelle sue specifiche applicazioni criminose.
Un tema complesso e articolato che viene descritto con un linguaggio semplice, adatto anche ai non addetti ai lavori. L’obiettivo, infatti, è quello di informare e far crescere la consapevolezza di tutti su una tematica attuale e particolarmente rilevante per la tutela delle informazioni.
A cura di: Isabella Corradini, Presidente Centro Ricerche Themis Crime