A cosa ti serve una rete sicura e migliori strumenti di cybersecurity, se non conosci le dinamiche più comuni del crimine informatico?
È come il tanto citato paradosso di avere una Ferrari e non saperla guidare.

Il termine Social Engineering mette al centro proprio questa problematica: l’inconsapevolezza, dove l’essere umano diventa punto debole del sistema.
“Ingegneria sociale”… il nome forse non spaventa, ma dovrebbe farlo.
Per avere un dato di quanto siano diffuse le pratiche che ne fanno parte, possiamo fare riferimento al Rapporto Clusit 2021, che indica il social engineering responsabile per il 15% delle tecniche di attacco più usate.

Ingegneria sociale, di cosa parliamo esattamente?

È lo studio del comportamento di una o più persone, al fine di ottenere da queste informazioni utili.
I cosiddetti “ingegnieri sociali” utilizzano tecniche basate sui sei principi della persuasione (reciprocità, coerenza, riprova sociale, simpatia, autorità, scarsità), e partono dalla raccolta di informazioni relative a uno o più individui, indicati come veicoli ottimali per i loro attacchi.
Gli “ingredienti” del social engineering sono due: interazione umana e leve emozionali.
In pratica, un hacker sfrutta il contatto instaurato con la vittima, facendo leva sui punti deboli riscontrati, che possono essere di diverso tipo: dalla curiosità all’insicurezza, dall’altruismo all’avidità, ecc.
Ironicamente, potremmo dire che è una delle principali abilità che un criminale informatico che “si rispetti” dovrebbe possedere, poiché questa caratteristica gli servirà ad evolvere costantemente le proprie tecniche di abbordaggio e attacco.

Alcuni esempi di ingegneri sociali

Attraverso l’inganno e la manipolazione, questi professionisti devono conquistare la fiducia della propria vittima, e per questo possono fingersi operatori al suo servizio, colleghi di sedi estere, responsabili con cui non ha mai interagito, con risultati più o meno critici.
Furto di credenziali, spionaggio industriale, raccolta di dati sensibili, i motivi per cui queste tecniche vengono adottate sono molti, e la letteratura legata al cybercrime, come sappiamo, è cresciuta esponenzialmente in questo anno e mezzo, in cui la pandemia in corso è servita proprio a lavorare emozionalmente milioni di potenziali vittime, non debitamente preparate a questo tipo di esposizione.

Attacchi e Covid

Il tema legato alla pandemia, l’abbiamo visto, è molto delicato quando si parla di sicurezza informatica.
In questo periodo di distanza fisica, le aziende sono state duramente colpite dalle frodi basate sull’ingegneria sociale.
Alcuni degli acronimi che si sono maggiormente diffusi, come BEC e CEO fraud, identificano efficaci attacchi manipolatori, nascosti dietro a comunicazioni aziendali come email e telefonate.
Nello specifico, le figure coinvolte sono quelle decisionali, che vengono sollecitate (spesso attraverso il senso d’urgenza e del timore) ad eseguire trasferimenti di denaro o fornire informazioni preziose.

Principali tecniche utilizzate

Per sua natura, la lista di tecniche fraudolente di social engineering è in continua espansione, ma vediamone tre.

  • Baiting: L’hacker lascia un’esca pronta per la sua vittima.
    Può essere fisica, come una chiavetta usb, o digitale, come un link perfettamente studiato per essere cliccato… il risultato sarà un device infetto da cui prendere il controllo e ottenere quanto cercato
  • Honey Trap: Particolarmente efficace con il sesso maschile, un utente finge di essere ad esempio una donna attraente e disponibile a una relazione, e attraverso false promesse farà di tutto per rubare denaro o informazioni a cui sta mirando
  • Vishing: È come viene identificato il phishing vocale.
    L’attaccante comunica di solito attraverso servizi VoIP con la sua vittima, spacciandosi per una persona di fiducia (un consulente della propria banca, il titolare della propria azienda), riuscendo così a ottenere dati o far compiere azioni di rilievo, come il trasferimento di ingenti somme di denaro come già successo in occasioni più o meno conosciute (leggi di questa azienda inglese)

Hacker di fama internazionale

Alcuni dei più famosi hacker che per primi hanno sfruttato queste tecniche, se non addirittura ne sono stati gli ideatori, oggi sono a capo di aziende informatiche e importanti organizzazioni, e di alcuni sono stati fatti persino dei film.
Catch me if you can, interpretato da Leonardo Di Caprio, narra infatti la storia di uno dei più famosi manipolatori della storia, Frank Abagnale, diventato poi consulente di sicurezza finanziaria di grande successo.

Prevenzione degli attacchi

Il crimine informatico, lo sappiamo, non rimane fermo a guardare, e proprio attraverso lo studio del mercato e del comportamento umano, trova sempre nuovi modi per rimanere una spina nel fianco di chi si batte per sistemi efficienti e sicuri, oltre che degli stessi utenti che li utilizzano.
La consapevolezza e la preparazione, quindi, rimangono i migliori dispositivi di protezione da cui possiamo partire, ancor prima di aprire il portafogli alla ricerca dei migliori sistemi sul mercato.
Le aziende, visto quanto sta accadendo, si stanno impegnando maggiormente nell’educazione dei propri collaboratori, e probabilmente saranno sempre meno coloro che apriranno mail o forniranno dati via telefono a cuor leggero.
Sarà sufficiente una formazione sempre più massiva per ridurre al minimo il rischio per privati e aziende?