Nei miei articoli ho parlato più e più volte di sicurezza informatica, di haking, di problemi di privacy, di truffe. Una cosa che ho spesso detto è che la protezione più importante è la propria testa: ragionare prima di fare qualunque cosa. Il motivo è semplicemente perché è su questo che si basa la grande maggioranza degli attacchi. Informatici e no.

Cos’è il social engineering?

Il social engineering è la capacità di trovare un punto debole dell’utente e sfruttarlo a proprio vantaggio facendogli fare qualcosa di sbagliato. In genere, come già ampiamente discusso per le fake news (Come riconoscere una Fake News? Parte 3: Come sono fatte https://wp.me/pQMJM-2bD) e per gli altri attacchi in genere il social engineering fa leva sulle nostre debolezze con lo scopo di farsi rivelare informazioni che possono in un secondo tempo essere usate per un attacco di altro genere.

Alcuni attacchi di social engineering possono richiedere settimane o mesi di analisi in cui l’attaccante cercherà di ricavare il più possibile informazioni sulla vittima, anche attraverso tecniche che abbiamo visto in Cosa può scoprire una persona dai miei profili social? (https://wp.me/pQMJM-2ab). In una seconda fase l’attaccante verifica se e quanto siano attendibili tali informazioni, e nella terza fase verrà effettuato l’attacco reale. Spesso tuttavia le prime due fasi vengono saltate e si effettua un attacco alla cieca sulla massa nella speranza di trovare vittime in maniera casuale, come spiegato in Perché un criminale informatico dovrebbe scegliere proprio me? (https://wp.me/pQMJM-22w)

Quali strategie usa chi fa social engineering

Nel social engineering vengono usare prevalentemente tecniche di tipo psicologico su specifiche debolezze tipiche. Ognuna di queste debolezze, se conosciuta, può aiutare la vittima a riconoscere un possibile attacco. Le tecniche sono principalmente

• Autorevolezza: l’informazione o la richiesta vengono mandate da un messaggio tipico di determinate autorità: polizia postale, ente governativo, banca, responsabile alto in grado a lavoro… più l’attaccante è in grado di simulare un messaggio reale, magari con loghi o toni tipici più la vittima si sentirà vulnerabile e intimorita con il rischio di cedere alla richiesta. Si applica spesso a casi di phishing dove la parte più importante è appunto che la mail o la richiesta siano convincenti.
• Senso di colpa: se l’attaccante riesce a far sentire la vittima in colpa lo spingerà a tentare di risolvere una situazione spiacevole con ogni mezzo. Si tratta ad esempio del caso in cui si minacci la vittima di rendere pubbliche navigazioni su siti pornografici, relazioni segrete scoperte tramite mail o altro. In questo caso l’attaccante non deve avere necessariamente in mano delle prove per tentare l’attacco, a volte è sufficiente dare per scontato che qualcosa da nascondere esista per scoprire che davvero c’era qualcosa da nascondere.
• Panico: quando si spaventa una persona a sufficienza è facile fargli fare qualcosa di inconsulto che non farebbe normalmente. Si può ottenerlo spaventando in merito a qualche pericoloso virus informatico e inviando un programma che lo risolverebbe, si può ottenerlo inviando informazioni false. Il limite è ovviamente la fantasia. La cosa tipica sono gli enormi banner su alcuni siti che vi terrorizzano dicendo che il vostro sistema è infetto.
• Ignoranza: spesso basta usare della terminologia complicata per far credere di sapere di cosa si sta parlando. In questo modo è facile convincere qualcuno che ha bisogno di qualcosa che non conosce e farglielo installare. Hai fatto l’upgrade della release del firmware del firewall, mi sono sentito dire una volta. Nel dubbio è sempre meglio chiedere un consiglio a qualcuno di cui ci si fida che rischiare di cadere in pericolose truffe.
• Desiderio: il desiderio spesso fa fare gravi errori, ma per fare un esempio dovrò svelare un terribile segreto di molte persone che ognuno di noi conosce. L’esempio più tipico di un attacco da desiderio è quello che negli scorsi anni ha portato molti profili Facebook di insospettabili a pubblicare immagini pornografiche. Non si trattava di un virus come i malcapitati poi raccontavano ma il meccanismo funzionava in maniera piuttosto semplice. La vittima vedeva sul profilo di un amico un link a un sito con immagini provocanti, ci cliccava, il sito chiedeva le credenziali di Facebook, la vittima faceva accesso con le credenziali e queste venivano rubate. Da quel momento sul suo profilo comparivano immagini e link provocanti e qualcun’altro ci cascava. E così, di desiderio in desiderio, il finto virus si estendeva come una malattia venerea informatica.
• Avidità: Offerte imperdibili, eredità da lontani parenti sconosciuti, occasioni irripetibili. Un caso famoso in cui cadono ancora moltissime persone è quello in cui l’azienda Ray-Ban metterebbe in offerta occhiali a bassissimo costo, funziona in maniera simile al caso spiegato sulle immagini provocanti e rubava i dati di chi effettua l’accesso o scarica il programma. Altri casi sono quelli di chi sembra regalare buoni amazon, o la famosa truffa alla nigeriana discussa in Come riconoscere un profilo falso? (https://wp.me/pQMJM-2bD)
• Compassione, gratitudine e buoni sentimenti: un modo per acquisire fiducia in una persona è quello di fingersi parte di un help desk e voler fornire aiuto, la vittima rassicurata sarà disposta a fidarsi. Un altro è quello di fingersi una persona innamorata o in difficoltà come discusso in Come riconoscere un profilo falso? (https://wp.me/pQMJM-2bD). In questo caso la leva dei buoni sentimenti può facilmente convincere a fare azioni sbagliate, donazioni economiche o altro. Un attacco di massa di qualche anno fa, nel 2000 è stato ILOVEYOU, si diffondeva semplicemente attraverso mail con allegato apparentemente un file di testo dal titolo “LOVE-LETTER-FOR-YOU.TXT”, ovviamente conteneva un eseguibile con malware e si è diffuso moltissimo grazie alla speranza nei cuori di tanti utenti.

Quali tipologie di attacco esistono nel fa social engineering

Le strategie sono pressoché infinite e dipendono dal contesto. Molti si aspetterebbero che tutte le strategie prevedano l’utilizzo del computer o dello smartphone ma non è così. Proverò ad elencare alcuni esempi per rendere maggiormente l’idea

• Baiting: vi viene offerto qualcosa di generalmente gratuito allo scopo di farvi installare qualcosa di dannoso. Versioni di software sbloccati, alterativi, non ufficiali ma con miglioramenti… un po’ la vecchia idea di farvi firmare per comprare una enciclopedia ma farvi pagare un mutuo.
• Phishing e vishing: ne abbiamo già parlato, in generale è il concetto di inviare una mail falsa per convincere a inserire i propri dati o i dati di un account in qualche sito malevolo. Ma non è molto diverso se la cosa avviene al telefono fingendosi un operatore energetico, o fingendosi un operatore bancario, in questo caso si chiama vishing. Se vi chiedono dei dati, non vanno forniti, come abbiamo visto in Perché é necessaria un’educazione all’uso delle tecnologie (https://wp.me/pQMJM-2bq)
• Pretexting: è quando si cerca di impressionare la vittima per convincerla a fare qualcosa. Ad esempio, una falsa mail della polizia postale che ti chiede di effettuare qualche azione, ma sarebbe lo stesso se vi telefonasse a lavoro qualcuno dicendo di essere stato mandato dal vostro responsabile per farvi fare un bonifico, o qualche strana azione non consueta.
• Scareware: provare a convincere la vittima che il dispositivo è infetto da virus per convincerlo a installare un software o chiamare un servizio che infetterà davvero il sistema o ne ruberà i dati.

Il social engineering, tuttavia, è molto di più. Io potrei aver lavorato per anni in un’azienda che mi ha licenziato malamente e potrei usare le mie conscience, o fornirle ad altri per permettere a qualcuno di fare un furto, potrei chiacchierare con una persona e capire delle sue informazioni da usare successivamente per rubare o convincerlo a fare qualcosa, con le informazioni di cui ho parlato in Cosa può scoprire una persona dai miei profili social? (https://wp.me/pQMJM-2ab) sarebbe social engineering usare quelle informazioni per rapire un figlio, o entrare in casa, si tratta di social engineering quando I social possono influenzare la mia mente (https://wp.me/pQMJM-27V), si tratta di social engineering quando qualcuno crea un profilo falso come in Come riconoscere un profilo falso? (https://wp.me/pQMJM-2bD) truffarmi, si tratta di social engineering quando fornite la vostra password dell’account del PC al vostro informatico di (s)fiducia e avendole tutte uguali gli avete regalato anche l’accesso alla vostra mail, il vostro conto bancario, le vostre foto private.

Come riconoscere il social engineering

Purtroppo, non è semplice. Il più delle volte, tuttavia, questo genere di tentativi sono sufficientemente generici e non puntati sulla nostra persona da lasciare qualche scappatoia. Se riceviamo consigli o proposte di aiuto non richieste e di cui non abbiamo davvero bisogno la cosa deve farci insospettire, soprattutto quando ci viene chiesto di cliccare da qualche parte, installare qualcosa o inserire dati. O nel mondo reale ci viene fatto firmare qualcosa, o ci vengono chiesti dati personali o su qualche servizio che usiamo. Qualunque richiesta di password o di dati finanziari è sicuramente una truffa perché gli istituti legittimi non chiedono mai dati di questo genere. Un operatore energetico o telefonico, se è il vostro, avrà già tutti i dati a disposizione.

Voi fare una domanda per uno dei prossimi articoli? Falla qui!

Qui puoi trovare tutte le domande semplici: https://short.staipa.it/ledomandesemplici