Una definizione di ingegneria sociale (social engineering)
Scrive Wikipedia che “Un ingegnere sociale (social engineer) per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire. Un social engineer è molto bravo a nascondere la propria identità, fingendosi un'altra persona: in tal modo egli riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale.” L’ingegneria sociale è un insieme di tecniche finalizzate a ricavare informazioni, simile a quella praticata da spie, istituzioni come la NSA o hacker esperti ma più subdola perché comporta il rapporto diretto con la vittima, per riuscire a ricavare tutto ciò che serve dalla vittima ignara.
L’ingegneria sociale non agisce solo su singoli individui ma anche e soprattutto sulle aziende che pur essendo in genere dotate di migliori sistemi di sorveglianza e sicurezza e pur avendo addestrato i dipendenti a mettere sotto chiave tutti i segreti aziendali, finiscono per essere molto vulnerabili perché anche le persone più addestrate, istruite e preparate possono essere totalmente vulnerabili. Il fattore umano è l’anello debole della sicurezza e la sicurezza totale è spesso una semplice illusione, spesso accompagnata da una buona dose di ingenuità, ignoranza, presunzione e dabbenaggine.
Albert Einstein, disse un giorno: "Soltanto due cose sono infinite, l'universo e la tupidità umana, e non sono tanto sicuro della prima"
Gli attacchi degli ingegneri sociali tendono a funzionare perché grande è l’ignoranza delle persone, siano esse semplicemente stupide o ignare delle buone pratiche di sicurezza comportamentale, individuale e sociale.. Stupidità è ad esempio fare affidamento su soluzioni informatiche come firewall, sistemi di rilevamento di intrusioni e altri prodotti che per definizione non saranno mai sicuri al 100%.
La sicurezza non è un semplice prodotto da acquistare e installare (il solo computer sicuro è quello spento) ma è un processo nel quale sono coinvolte da un lato le potenziali vittime e dall’altro criminali e malavitosi dotati di tecniche psicologiche e sociali prima ancora che tecnologiche.
Una tecnica costruita sull’abuso di fiducia
La più grande abilità dell’ingegnere sociale non è quella tecnica ma psicologica finalizzata a carpire la fiducia delle persone. L’ingegnere sociale è abile nei rapporti umani, può risultare affascinante, educato, istruito, simpatico, empatico, tutte qualità necessarie solitamente a chiunque desideri stabilire rapporti fiduciari e a farlo in tempi brevi. Con queste abilità l’accesso a informazioni individuali risulta rapido e facile.
Mentre l’attenzione è posta sull’antivirus o sul firewall, l’ingegnere sociale punta sul fattore umano comportandosi da persona come tutte le altre. L’obiettivo è di piacere ingannando e raggirando per impossessarsi di informazioni che, benchè percepite come innocue da chi le possiede, sono per l’ingegnere sociale essenziali per le sue attività future. L’ingegnere sociale ha la capacità di anticipare sospetti e resistenze ed è sempre pronto e rapido nel ribaltare la eventuale sfiducia in fiducia e nuova empatia. E’ come se giocasse a scacchi con la sua vittima anticipando le sue mosse e le domande che potrebbe porgli in modo da avere sempre una risposta pronta o la risposta che lui/lei si attenderebbe.
La fiducia non è un cavallo di troia ma più un ponte levatoio che, una volta calato, permette di far passare intere armate e armamenti molto pericolosi direttamente all’interno delle zone protette.
Per evitare gli attacchi, sempre possibili…
Evitare gli attacchi è praticamente impossibile. La nostra umanità e la nostra cultura occidentale ci rende per definizione sempre vulnerabili e attaccabili. Nella impossibilità di proteggersi al 100% conta molto essere informati sugli attacchi portati a termine, sia quelli di successo sia quelli sventati, avere conoscenza delle tecniche utilizzate e essere capaci di predisporre adeguate misure di protezione e di attenzione.
Il senso della vita
A volte è sufficiente una piccola svista per causare un grande danno (effetto farfalla) esponendo se stessi o l’azienda e organizzazione per cui si lavora a danni reali e dolorosi. Non basta sapere proteggere le proprie informazioni digitali e online con parole chiave adeguate o con processi di autenticazione complessi. Qui non stiamo infatti parlando di furti di password ma di ingegneria sociale che usa i rapporti umani e la fiducia conquistata, ad esempio attraverso una telefonata amichevole e allegra, per venire in possesso di informazioni utili a violare le procedure di autenticazione per l’accesso a risorse personali o aziendali. Alcune delle tecniche usate sono state ben illustrate da Kevin Mitnick, considerato uno degli hacker più famosi al mondo, nel suo libro L’arte dell’inganno.
“Se conosci il nemico e te stesso, la tua vittoria è sicura. Se conosci te stesso ma non il nemico, le tue probabilità di vincere e perdere sono uguali. Se non conosci il nemico e nemmeno te stesso, soccomberai in ogni battaglia.” - Sun Tzu, The Art of War
Il primo passo per un’adeguata difesa è essere consapevoli che l’ingegneria sociale non attacca solo persone famose o ricchi finanzieri. Tutti siamo potenziali vittime perché tutti siamo portatori di informazioni che possono servire per sferrare attacchi diretti o attraverso di noi a nostri amici e conoscenti o semplici e ignari contatti delle nostre reti sociali online. Alcune informazioni ad esempio possono essere usate, come è già avvenuto in passato, per rubare milioni di password poi usate per attività di spam finalizzate al phishing.
La consapevolezza e l’attenzione sempre allertata naturalmente non bastano, serve anche attivarsi in alcune buone pratiche:
- Fare attenzione a condividere informazioni confidenziali
- Salvaguardarsi anche da informazioni che possono essere generate da altri, spesso all’insaputa dell’interessato
- Meglio mentire e fornire risposte false a domande curiose e poi ricordarsi le bugie usate per eventualmente riusarle
- Guardare sempre con il massimo sospetto ogni richiesta di cambiare password o credenziali di accesso a risorse online. Maglio essere scettici che ingenui e sprovveduti!
- Controllare sempre i propri account online e le attività in essi presenti
- Se si è in possesso di account diversi praticare la diversificazione delle password e usare i servizi di sicurezza fornendo sempre risposte e parole chiave diverse
Gli attacchi da cui proteggersi
Uno di trucchi più usati ed efficaci dell’ingegneria sociale si basa sulla capacità di ingannare la vittima su più fronti, anche attraverso la creazione di problemi ai quali viene poi data una immediata e magica soluzione. Obiettivo finale è sempre la conquista della fiducia dell’interlocutore.
Difendersi è difficile ma possibile. La prima cosa da fare è continuare ad informarsi e apprendere, apprendere, apprendere. Più si conoscono casi di cronaca e tecniche usate per attacchi portati a termine e più si è preparati a gestire situazioni simili riducendo la propria impreparazione e vulnerabilità. Apprendere e acculturarsi significa acquisire esperienza nell’individuare potenziali attacchi e nel riconoscere in persone amichevoli e simpatiche ingegneri sociali pericolosi e tutt’altro che amichevoli.
Non basta adottare buone pratiche per la protezione delle informazioni delicate, l’attenta valutazione della fonte di eventuali richieste, la sospettosità, conta anche essere informati sulle potenziali e sempre nuove tecniche di attacco.
La lista che segue ne elenca solo alcune, tutte già praticate e tutte da studiare, conoscere e memorizzare:
- Pretexting (addurre pretesti per compiere un’azione): funziona in modo simile al Phishing. Usa l’email ma anche mezzi diversi come il telefono, una intervista o altro ma sempre utilizzando le tecniche tipiche del social engineering. L’approccio è sempre più o meno lo stesso. Il criminale si presenta nelle vesti di una ltro con l’obiettivo di carper informazioni sensibili e riservate da usare per eventuali attacchi future. L’attacco potrebbe riguardare persone amiche, colleghi dirigenti d’azienda e semplici contatti di reti sociali online. Se l’attacco è condotto al telefono vengono usati prestesti vari e tecniche di comunicazione subdole e ingannevoli per catturare informazioni e dati riservati. Ad esempio nelle vesti di un addetto del customer service o del reparto amministrativo di un’azienda l’ingegnere sociale potrebbe comunicare che esiste un grosso problema con l’account individuale per cercare di entrare in possesso di informazioni sensibili. Via email l’attacco è spesso condotto, soprattutto nelle aziende, nelle vesti di un dirigente d’azienda che usa email percepite come attendibili dal destnatario per carpire informazioni utili ad un attacco successivo. Sia le telefonate sia le email puntano quasi sempre all’aspetto emotive delle reazioni delle potenziali vittime. Ad esempio se l’email sembra essere inviata da un amico che chiede aiuto la prima reazione, emotive e irrazionale ma motivata, è di agire per fornire un aiuto.
Puoi credere di non essere mai stato coinvolto in azioni di ingegneria sociale ma lo sei stato certamente perchè è ovunque e non è una attività o un fenomeno nuovo. Le tecniche di ingegneria sociale sono intorno a noi, al supermercato, a casa, in ufficio e persino in chiesa...!
- Blackmail: tentativo di estorsione via email condotta nei confronti di individui che vengono ingannati con informazioni false, ad esempio la perdita del posto di lavoro o di denaro, per indurli a scaricare allegati contenenti malware. L’attacco blackmail usa tecniche di ingegneria sociale ed è spesso sferrato su liste di distribuzione numerose e massificate.
- Phishing: Secondo Wikipedia “Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso. Si tratta di una attività illegale che sfrutta una tecnica di ingegneria sociale: il malintenzionato effettua un invio massivo di messaggi di posta elettronica che imitano, nell'aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Per la maggior parte è una truffa perpetrata usando la posta elettronica, ma non mancano casi simili che sfruttano altri mezzi, quali i messaggi SMS.” Il phishing è una delle più consolidate e affidabili, per il criminale, tecniche di ingegneria sociale. Per difendersi conviene sempre prestare attenzione al dominio (URL) della pagina Web, verificare che sia attiva la trasmissione SSL (il lucchetto verde di sicurezza che serve a vedere il certificato di sicurezza del dominio), e limitarsi o non rispondere mai a questionari messi a disposizione tramite i social network.
- Email amichevoli perché spedite con la posta elettronica di amici e conoscenti: spesso l’ingegnere sociale si presenta nelle vesti di un amico o amica usando a sua mailbox per spedire messaggi che sembrano scritti da loro. La tecnica è sempre più affinata e automatizzata e riesce a sfruttare informazioni veicolate su email precedenti capaci di trarre in inganno anche il più attento e sospettoso utente. Spesso la vittima di questi attacchi non sono i destinatari della email ma i loro amici stessi o contatti. L’unica difesa è imparare a riconoscere questi attacchi e non fornire mai informazioni evitando di scaricare eventuali allegati.
- Frodi nelle vesti di fornitori di cui si usufruiscono servizi: l’obiettivo è di entrare in possesso di parole chiave credenziali utili ad accedere a risorse private e individuali online. La tecnica si basa nel richiedere, al posto delle password, le chiavi API (quelle fornite dalle chiavette delle banche) per la sicurezza.
- Typosquatting: una forma di phishing non collegata all’invio di email ma a siti creati appositamente per trarre in inganno. Si trovano in rete, sono praticamente uguali a i loro originali e pronti a catturare come una tela di ragno le loro vittime. L’hacker o ingegnere sociale acquista nomi dominio in massa, molto simili a quelli esistenti puntando sull’errore del navigante nella sua digitazione del dominio.
- Dispositivi abbandonati: l’attacco non avviene solo online, può anche passare attraverso inganni nella vita reale. Tra quelli noti l’abbandono di un dispositivo tecnologico, ad esempio una chiavetta USB, con una etichetta che richiama l’attenzione delle persone (“contiene informazioni sugli stipendi aziendali”). La curiosità delle persone coinvolte le porta a usare il dispositivo diventando complici involontari del malvivente.
- Malware Piggyback: attacchi che sfruttano eventuali brecce nelle difese di un dispositivo per installare virus, eseguire programmi o fornire link ad allegati da scaricare contenenti a loro volta un malware o virus.
- Phishing sui media sociali: pratica di phishing sfruttando la frequentazione, la psicologia e la sociologia dei media sociali e dei social network. La tecnica è di costruire presenze, profili, pagine che sembrano uguali a quelle originali e legittime ma che in realtà non lo sono e usano le prime per azioni tipiche da social networking come cinguettare, conversare, connettersi e interagire. In alcuni casi il profilo individuale viene letteralmente rubato e usato per l’invio di messaggi finalizzati ad attacchi futuri.
- Programmazione neuro-linguistica: la tecnica è simile a quella praticata da molte figure commerciali che hanno appreso la programmazione neuro-linguistica e sfruttano le caratteristiche della comunicazione verbale e non verbale per creare empatia e fiducia, sfruttando il linguaggio del corpo, i neuroni a specchio e altri inganni cognitivi. Le tecniche di questo tipo sono difficili da sconfiggere perché appaiono come assolutamente naturali essendo parte integrante della comunicazione e interazione umana. Possibili difese nascono da una buona conoscenza del proprio linguaggio del corpo e dalla conoscenza di come funziona la programmazione neuro-linguistica.
- Frode telefonica: la tecnica è di presentarsi nei panni di un chiamante affidabile e riconoscibile nella sua legittimità con lo scopo di catturare informazioni personali.
- Frode legata a un servizio: l’ingegnere sociale causa un danno informatico e pois si presenta per la sua riparazione nelle vesti di tecnico esperto o consulente puntando tutto sull’urgenza e la necessità di ripristino del servizio.
- Reti sociali: tutti ormai conoscono uno dei principi della teoria delle reti noto come i sei gradi di separazione. Non tutto forse sanno che il principio viene attivamente praticato da ingegneri sociali e criminali nei social network per entrare in contatto con altre persone e creare reti sociali da trasformare in potenziali vittime di futuri attacchi o per sfruttare le reti degli altri (quelli con gradi di separazione diversa) con lo stesso obiettivo malavitoso.
- Attacchi per creare panico: una delle tecniche più usate si basa sulla capacità di ingenerare panico e urgenza traendone un immediato vantaggio.
- Vishing: un phishing perpetrato attraverso un video
Alcune conclusioni
Alla base di ogni tecnica di ingegneria sociale c’è l’inganno reso possibile dalla vulnerabilità umana. Nella impossibilità di erigere protezioni definitive non rimane che aumentare la consapevolezza individuale sui rischi associate alle tecniche criminali sviluppate dall’ingegneria sociale, sia online sia offline. Aumentare la consapevolezza comporta la partica costante dell’apprendimento e della conoscenza con l’obiettivo di ridurre al minimo i rischi di diventare potenziali vittime di attacchi criminali o di essere usati per farli.
Conoscenza, informazione, consapevolezza del rischio dovrebbero aiutare nelle'sercizio di alcune semplici buone pratiche:
- stare sempre in allerta e usare il cervello
- mai farsi prendere dal panico con reazioni immediate e spesso irrazionali perchè dettate dalle emozioni
- non fornire dettagli personali e confidenziali a nessuno, mai al telefono o online, con cautela anche di persona
- rocordarsi sempre che banche e altri fornitori di servizi non chiedono mai per telefono o via email informazioni all'utente. Se si riceve una telefonata che segnala una violazione non comunicare informazioni riservate ma andare sul sito web, cercare un numero di telefono, chiamare e verificare l'esistenza effettiva del problema. Meglio ancora se il numero di telefono è già in possesso e memorizzato sul dispositivo mobile.
- Non credere mai di essere stati così fortunati da avere vinto milioni alla lotteria
- evitare di usare sempre le stesse password per account diversi, soprattutto quelli legati ai social network
- cambiare frequnetemente le password
- aggiornare costantemente l'anti-virus sulle piattaforme che ne hanno bisogno
- mai scaricare contenuti web da luoghi sconosciuti
- attivare le funzionalità anti-phishing che molti fornitori di caselle di posta offrono
- continuare a essere umani ma anche meno sprovveduti
Ingegneria sociale in forma di infographoc
L'infografica che segue è stata realizzata da SmartFile e illustra in modo esaustivo i mille modi con cui un ingegnere sociale risce a raccogliere informazioni dai comportamenti indivduali online. La tencia raramente si basa sullaricerca e sul furto di credenziali di accesso o informazioni bancaria. Ciò che interessa all'ingegnere sociale è di venire a conoscenza di utili informazioni che potrebbero essere utili per attacchi futuri. La tecnica è assimilabile a quelle descritte dai fuetti di Fantomas o Diabolik, ombre capaci di nascondersi in casa in presenza delle loro vittime o di scivolare dentro casa alle spalle del suo abitante mentre vi sta entrando.