Con riferimento a un famoso proverbio, potremmo dire che le strade dell’ingegneria sociale sono infinite.
Le tecniche adottate dai pirati informatici per manipolare le persone, e ottenere informazioni riservate e preziose, si arricchiscono di giorno in giorno, e fanno leva sulle interazioni umane con le potenziali vittime.
Sebbene l’ingegneria sociale non sia un fenomeno nuovo, negli ultimi anni è diventata sempre più sofisticata e pericolosa, e gli hacker possono utilizzarne le moltissime tattiche che sfruttano la fiducia delle persone per scopo di lucro diretto o indiretto, recando danni più o meno seri a un individuo o a un’impresa.
Creazione di un pretesto
Rispondere alla (supposta) chiamata di un’azienda di cui ci fidiamo, può essere il punto zero da cui tutto ha inizio.
Il pretexting (o creazione di un pretesto) è una tecnica di social engineering utilizzata da malintenzionati, che, dopo aver individuato la vittima (o un suo contatto vicino e “debole”), instaurano una conversazione con essa, e cercano di convincerla a fornirgli ciò di cui hanno bisogno, il tutto sotto la copertura di una falsa identità.
Di solito, un criminale finge di rappresentare un’azienda o un’organizzazione autorevole, un cliente, un collega o chiunque altro di cui ci si fidi, che ha bisogno urgente di informazioni (o azioni) utili per poter proseguire, ad esempio, con l’acquisizione di una fornitura.
Come si prepara un attacco di pretexting?
Tutto ha inizio da una minuziosa ricerca.
Dopo aver individuato un obiettivo, l’hacker va a ricercare i touch-point della vittima attraverso uno scraping delle informazioni esposte su tutti i mezzi a sua disposizione (online e non solo), selezionando quelle più preziose, che possano sostenere la credibilità di uno scenario creato ad hoc per coinvolgere la vittima.
Attraverso un’e-mail, un messaggio, o una chiamata ben pianificata, questi falsi contatti riescono a farsi rilasciare informazioni preziose, come numeri di conti bancari, di carte di credito, o ad accedere a un servizio o a un sistema protetto.
Gli elementi chiave del pretexting
Secondo Gavin Watson, autore del libro Social Engineering Penetration Testing, una tecnica di pretexting è fatta di due elementi imprescindibili, vediamoli attraverso un esempio:
- Situazione plausibile
Non sono rari gli errori dei sistemi di pagamento, perciò è considerato plausibile che l’addebito automatico di una fattura ricorrente sul nostro conto bancario possa “incepparsi”, e la società creditrice potrebbe volerci contattare - Personaggio
L’attaccante interpreta un rappresentante di un’azienda, che con tono amichevole e disponibile ci contatta per aiutarci a correggere un errore imprevisto, e assicurarsi che il pagamento vada a buon fine, prima che si crei un problema di insolvenza
Nell’esempio descritto, per la riuscita della truffa diventa fondamentale che la vittima creda alla falsa identità dell’aggressore, che sia sicuro che dall’altra parte del dispositivo ci sia l’addetto al servizio clienti dell’azienda da cui si rifornisce da tempo.
È chiaro quindi che, affinché tutto ciò abbia successo, all’hacker servano precise abilità nel relazionarsi con le proprie vittime.
Come difendersi
Uno dei modi migliori per difendersi dal pretexting è la consapevolezza: questo tipo di approccio non riguarda solo “gli altri”, o le grandi aziende.
La formazione periodica dei dipendenti è fondamentale e non può essere trascurata.
Le basi della cybersecurity, la corretta gestione delle password, e le tecniche di social engineering, possono salvare la loro posizione in azienda e le nostre casse, impedendogli di essere delle vere porte spalancate sui nostri dati più preziosi.
Infine le policy aziendali, che dovrebbero prevedere specifiche fasi di controllo per ogni tipo di trasferimento di denaro, o almeno per quelli che vanno oltre una soglia considerata “sufficientemente rilevante” per l’azienda.
Conclusioni
Le aziende e le persone che, per svariati motivi, non ammettono di essere state truffate, sono ancora molte, per cui i dati del DBIR 2021 che riportano questo tipo di tecniche come tra le più utilizzate (77% del totale), potrebbero essere numeri ancora più sostanziosi.
Se non ti senti sicuro di una telefonata o un’email ricevuta dalla tua banca o da un servizio a cui sei abbonato, prima di fornire qualsiasi dato contattali tu personalmente e chiedi conferma del messaggio ricevuto.
