Manager e dirigenti d’azienda, imprenditori e liberi professionisti, semplici dipendenti, loro amici e parenti si preparano ogni anno a celebrare il rito estivo delle vacanze. Partono con smartphone, tablet e laptop e con essi si portano appresso strumenti di viaggio, di divertimento e intrattenimento, ma anche lavoro, ansie, urgenze e dipendenze. Si espongono altresì a rischi e pericoli, per sé, per la propria azienda o per l’azienda per cui lavorano perché la sicurezza e i cybercriminali non vanno mai in vacanza. O meglio, presidiano anche i luoghi delle vacanze per praticare i loro attacchi preferiti, fatti di ingegneria sociale e human hacking.
CleverMobile Distribution lo ha raccontato in lungo e in largo ma anche in profondità: #NonChiamateliTelefonini. I dispositivi Mobile di cui tutti sono dotati sono diventati protesi fisiologiche ma soprattutto cognitive. Con la nostra complicità, ma anche a nostra insaputa, si sono trasformati in potenti strumenti di raccolta dati e informazioni, di manipolazione della realtà, di semplificazione della comunicazione, di gabbie e acquari nei quali ci ritroviamo sempre più spesso a fare la figura degli utonti inconsapavoli, colpevoli consapevoli di tanta negligenza e non conoscenza.
Pesci in acquario, canarini in gabbia
Trasformati in pesci e canarini (Gatti, asini e canarini. Voliere, acquari e gabbie di vetro. Metafore per la tecnoconsapevolezza), nuotiamo e cantiamo felici e contenti di sapere di non sapere (“Dimmi Tiresia - Ma è meglio sapere o non sapere…avere la conoscenza…” canta Capossela), teniamo attenzione e concentrazione sempre mobilitati in connessioni, registrazioni, conversazioni e relazioni digitali e non ci rendiamo conto di essere diventati tante prede alla mercè di predatori sempre più agguerriti, attrezzati e soprattutto intelligenti. Non necessariamente tali per le loro competenze e abilità tecniche ma perché studiosi attenti, acculturati e preparati dei meccanismi della Rete.
Le loro armi non sono necessariamente e soltanto strumenti tecnologici. Fanno uso di pratiche che traggono origine dall’antropologia, dalla sociologia e dalla psicologia cognitiva, comportamentale e sociale, per studiare, analizzare e colpire coloro che frequentano la Rete, sempre consapevoli delle umane debolezze che accompagnano gli umani da quando si sono scoperti Homo sapiens e che oggi si manifestano ancor più nell’Homo stupidus stupidus, insipiens o insapiens che caratterizza la nostra era tecnologica.
L’Homo stupidus è sempre in vacanza
L’Homo stupidus (neologismo coniato dallo psichiatra Vittorino Andreoli) è sempre in vacanza, lo è due volte quando lo è anche fisicamente. La sicurezza al contrario non va mai in vacanza, è come un’ombra (metaforizzando il pensiero di Jung, è il lato oscuro della nostra personalità…) che ci accompagna silenziosa in hotel e aeroporti, in spiaggia come in montagna, nelle fasi di relax così come quelle del divertimento e dello sballo, nelle notti erotiche di coppia liberate da preoccupazioni e incombenze varie, così come in quelle avventurose e improvvisate con partner incontrati per caso o ricercati con messaggini o una APP.
L’ombra della sicurezza è fantasmatica (capace di generare sensazioni illusorie e immaginarie), si presenta nella forma di persone reali (a volte anche di automatsmi software e profili digitali). Cybercriminali, hacker e malintenzionati vari che fanno affidamento sulla vulnerabilità e fragilità umane e sulle debolezze tipiche della natura umana per sfruttarle in modo efficace, subdolo e veloce. Sono debolezze la fiducia negli altri (come non fidarsi di una fanciulla che dalla sdraio accanto lancia segnali di disponibilità a … conversare?), la reciprocità (alla base di molte relazioni), la mancanza di conoscenza (spesso dovuta a disinformazione e misinformazione), la supponenza che nasce dall’ignoranza, la propensione all’utilitarismo, l’incoerenza e l’instabilità di umore.
Vulnerabilità e debolezze umane
Queste debolezze e tante altre si manifestano anche in Rete e nei molteplici universi paralleli che abitiamo. I Cybercriminali si mostrano però più interessati agli universi reali (attuali), quelli delimitati da perimetri aziendali e organizzativi e, nel periodo estivo o in viaggio, di tipo vacanziero. Le tecniche di approccio sono basate sull’ingegneria sociale e sullo Human Hacking (sul tema suggerisco il libro di Christopher Hadnagy, Human hacking. Influenzare e manipolare il comportamento umano con l'ingegneria sociale, che contiene casi di studio ed esempi tratti dal mondo reale che illustrano le principali applicazioni pratiche di ingegneria sociale). Due tecniche che puntano alle debolezze umane per ottenere informazioni attraverso pratiche usate per manipolare e convincere le potenziali vittime a consegnare dati e credenziali di accesso, a trasferire informazioni personali o a inoltrare e-mail, versare somme di denaro, fino a compiere azioni che vanno contro l’interesse personale.
Ingegneria sociale all'opera
La tattica mira a veicolare azioni o scatenare azioni malevole. L’obiettivo è il guadagno, gli effetti si misurano in impatti negativi declinabili in perdite economiche, danni alla reputazione, furti di identità, violazione delle proprietà di confidenzialità, discrezionalità e disponibilità delle informazioni e dei dati, perdita della continuità operativa e altro ancora. Gli strumenti, sempre più spesso anche automatizzati, possono essere e-mail (reverse social engineering), chat e canali di messaggistica istantanea (falsi profili), telefono, social network, siti e piattaforme applicative, servizi in cloud, Internet e il cyberspace nel suo complesso. La modalità dell’attacco prevede l’acquisizione preliminare di informazioni per conoscere dettagli e conoscenze che possano permettere di costruire storie credibili e l’identificazione delle potenziali vittime con le quali condividerle e raccontarle. Il passo successivo porta alla definizione di scenari (sceneggiature) e ambientazioni (rappresentazioni) credibili in grado di catturare l’attenzione della potenziale vittima, catturarne la fiducia, sfruttarne le caratteristiche cognitive individuali, le loro debolezze per costruire una relazione e stimolare all’azione. Infine quando il pesce (non importa quanto sia grande e boccacione) è caduto nella rete al cybercriminale non resta che tirare in barca la rete da pesca utilizzata e vedere l’effetto che fa.
L'utonto in vacanza
Tornando alle vacanze e alla serenità che solitamente le caratterizzano, la lettura di questo articolo dovrebbe suggerire di partire preparati (estote parati, nel senso di essere pronti nel corpo e nello spirito) e sempre in allerta, a meno che si decida di lasciare a casa (missione impossibile!) tutti gli strumenti tecnologici di cui non si può più fare a meno e con essi anche i propri profili e Io digitali. L’allerta sicurezza dovrebbe suggerire che anche in vacanza si continua a essere prede potenziali di predatori e pescatori in agguato come lo sono i coccodrilli che si appostano sereni in attesa che passino le mandrie migranti degli erbivori del Serengeti.
E come bufali assetati si comportano spesso manager e dirigenti d’azienda che credono ancora che la sicurezza sia un tema riconducibile prevalentemente al mondo online. Dimenticando così che molte truffe, manipolazioni, furti di dati, di identità e di denari nascono dal mondo reale.
Una storia come tante
Proviamo a fare un esempio con una storia già raccontata da altri (ad esempio da Alessandro Curioni nel suo libro Come pesci nella rete, ma anche da me nel mio e-book I pesci siamo noi – Prede pescatori e predatori nell’acquario digitale della tecnologia) e qui un po' modificata.
Il protagonista si chiama Onagro, è maschio, trentenne, single, manager in carriera nella direzione finanziaria di una azienda famosa, sempre connesso e sempre attivo online perché “non si può staccare mai, soprattutto sui social”. E’ in vacanza a Naxos, sdraiato sulla bella spiaggia (per nudisti) di Alikò, incapace di resistere alle continue sollecitazioni sonore del suo cellulare, seppure la vista potrebbe spaziare su altre sonorità e visioni. Di fianco a lui, stesa sulla pancia, senza costume e apparentemente distratta, c’è una fanciulla longilinea, dalle gambe perfette e dal capello biondo germanico che alla quarta chiamata interagisce sorridente con un Onagro improvvisamente felice, sottolineando quanto siano fastidiosi e invadenti gli smartphone che impediscono di sentirsi veramente in vacanza (guardati intorno stupido!).
Una breve frase che rompe il silenzio dando origine a una conversazione cordiale e interessata (come può il macho italiano resistere a quei bei occhi, a quello sguardo e a quella bocca …) che si conclude con un arrivederci da qualche parte nei giorni a venire. Nei giorni seguenti gli incontri si materializzano facendo aumentare empatia, simpatia reciproca, sogni notturni e conversazioni. Fino al giorno in cui, per rispondere in tempo reale all’ennesima e-mail urgente Onagro si fa sfuggire il suo iPhone X che, scivolando su una roccia, smette di funzionare. La dolce teutonica che gli sta allietando la vacanza e alimentando sogni di gloria non ancora realizzati, gli propone di usare il suo telefono (un semplice Android) per completare il lavoro iniziato. E il giorno seguente, gli lascerà usare anche il suo tablet (come resistere a un iPad ultimo modello?), visto che a Naxos Onagro, intestardito sull’acquisto di un nuovo iPhone X, ha scoperto che il prodotto è introvabile. Una gentilezza squisita che non sfocerà mai in notti erotiche e appassionate ma che lascerà ricordi indelebili al nostro protagonista quando, rientrato in azienda, scoprirà che le sue credenziali di accesso alle risorse aziendali sono state usate per un furto, tramite bonifici a destinatari sconosciuti, di centinaia di migliaia di euro e per mandare in tilt l’intera rete informatica aziendale allo scopo di ritardare la scoperta dell’inganno e del furto perpetrato.
Di Onagri, anche di genere femminile, sono piene le spiagge di tutto il mondo. Sempre pronti e disponibili a farsi condizionare (abbindolare) da un sorriso, uno sguardo innocuo, una disponibilità empatica e generosa e da un comportamento gentile. Spesso pronti anche a misinterpretare questi comportamenti perché agiti da persone capaci di produrre reazioni emotive, sessuali ed erotiche alle quali è impossibile resistere.
Alcune considerazioni finali
Inutile cercare di trarre una morale da questa storia. Una morale non c’è perché nessun caso sarà uguale a un altro e nessuna storia avrà gli stessi protagonisti, sceneggiature ed esiti simili. Non rimane che ricordarsi alcune semplici cose: la sicurezza non va mai in vacanza, la realtà non esiste o non è quella che appare, bisogna sempre stare all’erta dotandosi di sempre nuove informazioni e conoscenze, utili per imparare l’arte di osservare e interpretare il mondo (al di là dello sguardo tentatore di una bellezza germanica) e per adottare pratiche e comportamenti che possono servire a rendere ogni viaggio più sicuro e un po’ più tranquillo. Infine serve acquisire una sana #Tecnoconsapevolezza!
Per il resto nulla vieta di rinunciare a una sana vacanza. E visto il periodo dell’anno, approfitto per augurare a tutti di farne una veramente rilassante, fortificante e senza effetti secondari. Se poi si lasciasse a casa i dispositivi Mobili (impossibile) o si riuscisse a resistere (sempre possibile ma bisogna volerlo) a ogni chiamata, soprattutto se lavorativa, anche i sogni che sempre abitano nella mente di chi frequenta la spiaggia di Alikò (o simili) potrebbero anche trasformarsi in realtà e non in incubi!