Se stai leggendo questo articolo, allora è molto probabile che tu abbia sentito parlare di Social Engineering (SE) almeno una volta nella tua vita.

Francesco Ficarola ha ricevuto una laurea magistrale ed un dottorato di ricerca in Ingegneria Informatica da Sapienza Università di Roma.

Può darsi che proprio ora tu stia pensando a come influenzare il tuo capo per ottenere un aumento. Dai, non preoccuparti, puoi continuare a studiare nell’ombra i tuoi piani, non lo dirò a nessuno. D’altronde molti di noi non sono soddisfatti del proprio salario, quindi spesso pensiamo che influenzare (o magari ingannare ed “hackerare”) una persona per raggiungere un determinato obiettivo possa essere una buona ragione per farlo, giusto? Prima di cercare di “hackerare” il tuo capo, prova intanto a chiedere semplicemente quel benedetto aumento e ad incrociare le dita.

Comunque, anche se volessimo chiedere un aumento semplicemente inviando una email al nostro capo con tutte le buone intenzioni, inconsciamente cercheremo di persuaderlo. Senza dubbio esalteremmo il nostro lavoro e sottolineeremmo gli obiettivi che abbiamo raggiunto. Elencheremmo tutte le buone azioni che abbiamo fatto per l’azienda in modo da manipolare la sua percezione. Magari preferiamo non richiamare alla sua attenzione qualche nostro errore passato per non causargli cattivi ricordi. Quindi, che dirvi se non “Congratulazioni”. State già adottando alcune regole base del SE.

Il Social Engineering è ovunque

Il SE non ha origini dalla nascita del Personal Computer o durante i primi anni di Internet. Il SE è nato semplicemente quando gli umani hanno iniziato ad interagire fisicamente. Nel 1983 Robert Cialdini ha scritto uno dei suoi libri più famosi: “Influence: the Psychology of Persuasion”. Cialdini è considerato il padre delle tecniche di persuasione e gli ingegneri sociali usano tecniche del genere per ingannare altre persone. Ed indovina un po’? Anche tu puoi usare il SE ovunque, con chiunque; devi solo imparare ad essere persuasivo. Dai, lo sappiamo tutti che sei stato quel bambino cattivello che ha chiamato la nonnina fingendosi un elettricista. Probabilmente avrai alterato la tua voce con un tono grave, le avrai comunicato un imminente guasto elettrico e hai tirato giù la leva del contatore.

Che tecniche utilizzano gli ingegneri sociali?

Comunque, scherzi innocenti a parte, c’è stata una persona in particolare che ha reso famoso il SE durante i primi anni dei computer: il sig. Kevin Mitnick (conosciuto anche come “The Condor”). Mitnick è stato uno dei primi hacker ad utilizzare le tecniche di SE per hackerare sistemi IT dopo aver ottenuto preziose informazioni dagli amministratori di sistema o dai tecnici. Poteva fingersi qualsiasi persona desiderasse e chiedere informazioni riservate, come le credenziali di accesso ad un sistema. Ha capito subito che l’anello debole della catena era l’umano. Grazie alla sua abilità di impersonare qualcun altro, è riuscito a violare sistemi, aziende e infrastrutture di telecomunicazione. Questo tipo di tecnica è oggigiorno conosciuta con il nome di pretexting ed è uno dei metodi fondamentale utilizzati dagli ingegneri sociali. Uno dei principali obiettivi del pretexting è quello di ottenere fiducia dalla vittima. Se puoi fidarti di qualcuno, allora sarai più propenso a parlargli di te stesso e fare ciò che ti verrà chiesto. Se sono in grado di risultare simpatico e gentile con te, allora molto probabilmente ti fiderai molto più di me.

Forse avrai già ricevuto un’email nella quale il mittente si è finto di essere qualcun altro o qualcos’altro. Uno dei tuoi amici o magari la banca? Bene, questo genere di email sono molto frequenti ed insieme all’impersonificazione sono parte di un attacco sociale. Non a caso, c’è un nome specifico per questo tipo di tecnica; la pratica di inviare email false con l’obiettivo di influenzare o ottenere informazioni personale dalle vittime è chiamata phishing. Ok, lo so lo so che già conoscevi il phishing, ma hai mai sentito parlare dell’esistenza del vishing? Questo termine non è così famoso come il phishing, ma questo attacco, effettuato tramite una chiamata vocale (già, la “v” sta per voice), è pensato per farti condividere involontariamente informazioni personali. In modo analogo, lo smishing utilizzata gli SMS per gli stessi scopi.

Fig 1: Top threat Action varieties in breaches (source: DBIR2020)

Secondo il “2020 Verizon Data Breach Investigations Report”, il phishing è la prima azione di minaccia tra le violazioni (Fig. 1), mentre il SE il secondo vettore d’attacco utilizzato dai cyber-criminali (Fig. 2). Quindi, puoi ben comprendere che le tecniche di SE stanno emergendo sempre più come strumenti fondamentali di hacking.

Fig 2: Top Tactics utilized by cyber-criminal (source: DBIR2020)

Sicuramente, un attacco di SE attraverso una email di phishing o una truffa via telefono non è effettuata senza prima ottenere informazioni basilari sulla vittima. Per questa ragione, gli ingegneri sociali prima cercano ed ottengono dati sull’obiettivo, poi collezionano tutte queste informazioni in una sorta di dossier. Questa pratica è conosciuta come doxing ed aiuta gli ingegneri sociali a creare un perfetto pretesto. Sanno che sei un medico con due meravigliosi figli che amano i cani. Sanno anche che hai salvato un cane dalla strada la scorsa settimana perché hai pubblicato le sue foto su Facebook. Così, non è difficile immaginare che tipo di pretesto potrebbero usare contro di te. Lasciami fare un esempio.

Come ti senti in questo momento? Dispiaciuto, eh? Lo so, è vero crudele e ingiusto. Nessun cane dovrebbe patire la fame in quel modo. Amo anche io gli animali e mi sento male quando vedo uno di loro soffrire. Immagino che questo tipo di emozione sia condivisa da molti di voi. Ed è proprio questo il punto!

Gli ingegneri sociali sanno che immagini del genere scatenano emozioni intense. Il loro obiettivo è non farvi pensare né ragionare, perché se una persona inizia a pensare, allora può capire più facilmente che sta per essere ingannata. Viceversa, se sei sopraffatto dalle emozioni, allora sicuramente agirai di impulso. Ti chiederanno magari di aiutare quel cane inviando una donazione ad una (finta) organizzazione di salvataggio animali. O forse, potrebbero chiederti di condividere su Instagram quella foto cliccando su un preciso link (malevolo).

Come possiamo difenderci dagli attacchi sociali?

Sarò sincero, non è sempre facile capire se siamo vittime di un attacco sociale. Molto dipende dalla bravura dell’ingegnere sociale e dalle tecniche utilizzate. Comunque, desidero lasciarvi tre regole fondamentali che dovreste seguire in modo da ridurre il rischio.

1. Non cliccate o visitate pagine web che potresti ricevere attraverso una email o un messaggio sul telefono se non sei certo al 100% dell’autenticità del mittente. Controlla sempre il suo indirizzo di posta elettronica oltre al nome visualizzato. Leggi e fai attenzione a ciascun carattere del suo indirizzo. Se noti qualcosa del tipo anazon.com invece di amazon.com cancella subito quella email.
2. Non fornire le tue informazioni personali. Ricordati che la tua banca non ti chiederà mai il PIN o il numero della tua carta di credito. In modo analogo, gli amministratori di sistema della tua azienda non potranno mai chiederti le credenziali di accesso per risolvere un improbabile problema sulla posta.
3. Non scaricare, né aprire file allegati ad una email che non ti aspettavi di ricevere. Se ti sembra che quella email sia stata inviata da uno dei tuoi amici o colleghi, allora prima contattali attraverso un canale di comunicazione differente, come la messaggistica istantanea, per assicurarti che sia stato effettivamente lui o lei ad inviare quella email.