di Pasquale Aiello
Nel corso degli ultimi anni i sistemi di difesa da attacchi informatici sono diventati più efficaci ed accessibili per una larga parte degli utenti. Sistemi di sicurezza operanti a livello di sistema operativo, gestione delle identità e protezione anti-malware hanno spinto i malintenzionati a focalizzare la propria attenzione su bersagli più vulnerabili: le persone. Tra gli utenti vulnerabili rientrano i semplici utilizzatori “home”, dipendenti, appaltatori e anche clienti. La tecnica spesso utilizzata per aggredire le vittime è l’ingegneria sociale.
L’ingegneria sociale è una forma di manipolazione, più o meno sofisticata, che fa leva su contingenze, emozioni e difficoltà degli esseri umani per ottenere informazioni su persone, organizzazioni o sistemi informatici.
Durante un attacco di ingegneria sociale entrano in gioco molti fattori ma, naturalmente, al centro vi è sempre la vittima. I fattori comprendono motivazioni per cui i criminali informatici utilizzano l’ingegneria sociale. Lo scopo è ottenere denaro, accedere o causare danni a un sistema. I criminali informatici utilizzano una varietà di metodi usando interventi umani, tecnologia o talvolta una combinazione di entrambi ed includono telefono, web o semplice persuasione. Gli strumenti di ingegneria sociale includono e-mail, social media, pagine web, phishing e farming. E, nella maggior parte dei casi, c’è qualche tipo di incentivo che spinge la vittima ad agire.
Quando si parla di ingegneria sociale non bisogna per forza pensare a tecniche avanzate e specifiche solo da addetti ai lavori. Infatti, il livello di consapevolezza nelle popolazioni è estremamente variabile ma comunque tendenzialmente basso. Un esempio calzante può essere rintracciato nei report annuali circa le principali password adottate da una popolazione.
Il punto cruciale è che questo malcostume non è un’esclusiva solo degli utenti, ma è anche radicato nel personale tecnico. Indovinare una password in alcuni contesti è veramente più facile di quel che si pensi. La scarsa consapevolezza delle persone infatti porta ad esposizioni di dati sensibili che vengono sistematicamente usate dai criminali informatici. Sapere per quale squadra tifi o il nome del tuo cane potrebbe essere una traccia proficua da cui partire.
Come detto in precedenza i malintenzionati lavorano sulle nostre emozioni/difficoltà/esigenze. Un hacker esperto cercherà molto probabilmente di utilizzare l’ingegneria sociale prima di dedicare tempo a metodi più difficili per ottenere una password, come la decodifica delle password, per ottenere l’accesso a un sistema. Ci sono diversi tipi di attacchi di ingegneria sociale.
Gli attacchi includono:
– Shoulder surfing che significa “guardare oltre la spalla di qualcuno” mentre interagisce con un computer, telefono cellulare o altro dispositivo elettronico per ottenere informazioni personali. Un esempio calzante è l’abitudine di scrivere le password su pezzi di carta o post it vicino i dispositivi fisici. In alcuni casi queste informazioni non solo sono accessibili in presenza ma anche a distanza in quanto inquadrate da dispositivi come telecamere o cellulari.
– Dumpster diving, ovvero cercare nei rifiuti per ottenere informazioni che possono essere utilizzate per lanciare un attacco informatico.
– Interferenza che è ascoltare o monitorare segretamente conversazioni private o comunicazioni altrui senza la loro conoscenza o consenso.
– Ingegneria sociale inversa che si verifica quando la vittima si rivolge all’attaccante in risposta a un messaggio e-mail o un testo.
Spesso è possibile sventare un attacco di ingegneria sociale investendo nella formazione ed utilizzando filtri antispam forti per impedire che e-mail ingannevoli arrivino ad utenti e dipendenti.