Cosa è il social engineering e come non cadere in trappola

Il social engineering è una tecnica di hackeraggio che punta più sulla psicologia che sui bug.

Il social engineering è una strategia che prevede lo sfruttamento delle debolezze di una persona per ottenere informazioni, chiavi d’accesso o denaro. La chiave principale per una qualsiasi frode sono proprio le tecniche di ingegneria sociale. La tecnologia si sta evolvendo sempre più e i cybercriminali ora puntano sulle debolezze umane, non più su quelle software. Per definizione, l’ingegneria sociale è lo studio del comportamento di una persona per estrarne informazioni utili. Un ingegnere sociale deve sapere innanzitutto ingannare gli altri. Il tutto senza rivelare le sue intenzioni e la sua reale identità. Spesso si finge un’altra persona o una persona inventata.

Le tecniche

Per fare social engineering si utilizzano diverse tecniche psicologiche, ma le più comuni sono: autorevolezza, colpa, ignoranza, desiderio, avidità e compassione.

Autorevolezza

E’ più facile ottenere informazioni se ci si impersona in una certa autorità, come un’ente governativo o una banca, che da una persona qualunque. Più il malintenzionato utilizzerà formalità, intestazioni, immagini e quant’altro per scrivere una mail/lettera di un certo livello più le possibilità che la vittima ci caschi sono alte. Non sono poche le e-mail della propria banca che segnala problemi sul conto corrente o altro che sono fedelmente riprodotte. Sono i piccoli dettagli, in questi casi, a fare la differenza. Controlla il link di provenienza e non aprire eventuali allegati o collegamenti. Piuttosto, chiama il tuo referente o l’istituto di credito.

Colpa

Conoscendo le debolezze della persona, l’ingegnere sociale è in grado di creare una condizione per cui l’utente si possa sentire in colpa e dunque debba prendere una decisione immediata senza pensarci troppo. Per esempio si può incolpare una persona qualunque che scarica musica da internet di violazione dei diritti d’autore, furto, etc. chiedendo poi il pagamento di una multa online per il reato commesso; magari il tutto sfruttando la tecnica citata qui sopra creando una falsa mail della Polizia Postale.

virus poliziapostale 0912 01 | GrecTech — Il famoso virus della Polizia Postale, il quale bloccava il computer con annesse tecniche di autorevolezza/colpa/panico

Panico

Il panico rende l’uomo debole, si sa. Creando una situazione del genere, si riesce meglio a convincere una persona a prendere decisioni affrettate e poco riflettute. Si può benissimo terrorizzare la vittima dicendo che è in giro un nuovo virus Ransomware che cripta tutti i dati presenti nel computer (magari facendo finta che sia un comunicato di un’azienda produttrice di antivirus) e che l’unico modo per prevenirlo è l’utilizzo di un programma specifico che alla fine si rivela poi un virus (o il ransomware stesso).

AVGMail | GrecTech — Esempio molto semplice di falsa e-mail con l’uso della tecnica del panico.

Ignoranza

Creando un messaggio con un linguaggio molto complesso, tecnico, ricercato si crea una situazione in cui l’utente si ritrova in una condizione di ignoranza. Perciò, non capendo nulla, tende a fare le azioni consigliate nel testo senza pensarci molto in quanto confusa e disorientata. In questo caso è bene chiedere aiuto a gente più esperta prima di fare qualsiasi mossa.

EmailTecnica | GrecTech — Tanti termini messi così a caso, scritti anche male. Possono comunque destare il panico in una persona che di computer ci capisce poco e niente!

Desiderio

Contenuti pornografici, materiale gratuito, offerte di denaro generose, vincite allettanti. Sono tutte cose che la gente vuole e basta poco per adescare una trappola.

Avidità

Basta promuovere un prodotto ad un prezzo stracciato che tutti vorranno comprarlo. Alla gente piace comprare cose a poco prezzo, risparmiare, ottenere più di quanto si potrebbe. Perciò, anche qui basta poco per far cadere tutti i pesci nella rete!

Compassione

Finte opere di beneficienza, richieste d’aiuto anche da persone fidate. Basta poco per impossessarsi dell’email di un collega che chiede il tuo aiuto. Raccogliere informazioni non è molto difficile, come un messaggio arrivatomi non molto tempo fa su Facebook:

Sono in difficoltà, mi fai un versamento paypal?

O qualcosa del genere. Insomma, basta vederlo, no? E’ orribile come messaggio! Ma intanto c’è più di qualcuno che ci casca.

Ehi ciao, ho un po’ di problemi ad aprire questo file. So che tu ne capisci più di me, è un file di Word che non riesco a vedere e vorrei tanto riuscissi a risolvermi questo problema. Scaricalo e fammi sapere!

Basta fare click sull’allegato e il resto è da immaginare…

L’attacco

Come avrai ben notato, queste tecniche sono anche perfette strategie di truffa. Ma vediamo come avviene un attacco mirato alla vittima:

Durante la prima fase detta footprinting, l’ingegnere sociale cercherà di ricavare tutte le informazioni necessarie sul bersaglio: indirizzo e-mail, recapiti telefonici, etc.
Nella seconda fase, l’ingegnere cercherà di verificare l’attendibilità delle informazioni ricavate anche interagendo direttamente con la vittima;
Nell’ultima fase, è lo studio dello stile vocale della persona per la quale vuole spacciarsi.

Come difendersi

In questo caso non è possibile affidarsi alla tecnologia. Le email di frode e spam possono essere raggirate (ma non al 100%), ma le telefonate, le false richieste d’aiuto da parte di amici e quant’altro no. Devi essere tu, stavolta, a non farti fregare.

Per le aziende

Stabilite protocolli di sicurezza per i dati sensibili;
Informate il personale delle tecniche di social engineering e su come difendersi;
Create un’infrastruttura sicura di fiducia fra il personale (come trattare i dati e dove conservarli/come scambiarseli);
Distruggete tutti i rifiuti che possono contenere dati sensibili.

Per te stesso

Diffida da e-mail o telefonate che chiedono informazioni riservate anche se da autorità se queste non sono verificate;
Non diffondere informazioni sensibili su qualsiasi sito web senza verificare il suo livello di attendibilità;
Controlla sempre l’indirizzo URL (ad esempio: http://www.grectech.it/blog) per scorgere eventuali differenze fra il vero sito e quello fasullo (ad esempio: http://www.grectech.it/dlog);
Documentati sempre sul mittente del messaggio, anche cercando i possibili attacchi nelle liste di phishing;
Evita, come dico sempre (non mi stancherò mai di ripeterlo…), di aprire allegati o file eseguibili di dubbia provenienza. Se questi sono stati inviati da un contatto amico contattalo per chiedere se è stato lui ad inviarlo.

Se sei stato vittima di social engineering

Se riguarda il tuo lavoro, avvisa amministratori di rete e della sicurezza interna;
Contatta il tuo istituto di credito e metti sotto controllo saldo e movimenti;
Cambiare tutte le password di collegamento;
Fai una denuncia alla polizia postale;

Francesco Grecucci

Blogger e scrittore ventenne nato a Taranto. Collabora con diverse agenzie di marketing digitale e operativo. Ha pubblicato il manuale Windows 10: Guide e Soluzioni e il libro di narrativa storica Cronache di un Palazzo Abbandonato.