Nel corso degli ultimi anni i sistemi di difesa da attacchi informatici sono diventati più efficaci ed accessibili per una larga parte degli utenti. Sistemi di sicurezza operanti a livello di sistema operativo, gestione delle identità e protezione anti-malware hanno spinto i malintenzionati a focalizzare la propria attenzione su bersagli più vulnerabili: le persone.
Tra gli utenti vulnerabili rientrano i semplici utilizzatori “home”, dipendenti, appaltatori e anche clienti. La tecnica spesso utilizzata per aggredire le vittime è l’ingegneria sociale.
L’ingegneria sociale è una forma di manipolazione, più o meno sofisticata, che fa leva su contingenze, emozioni e difficoltà degli esseri umani per ottenere informazioni su persone, organizzazioni o sistemi informatici.
Durante un attacco di ingegneria sociale entrano in gioco molti fattori ma, naturalmente, al centro vi è sempre la vittima.
I fattori comprendono motivazioni per cui i criminali informatici utilizzano l’ingegneria sociale. Lo scopo è ottenere denaro, accedere o causare danni a un sistema.
I criminali informatici utilizzano una varietà di metodi usando interventi umani, tecnologia o talvolta una combinazione di entrambi ed includono telefono, web o semplice persuasione.
Gli strumenti di ingegneria sociale includono e-mail, social media, pagine web, phishing e farming. E, nella maggior parte dei casi, c’è qualche tipo di incentivo che spinge la vittima ad agire.
Quando si parla di ingegneria sociale non bisogna per forza pensare a tecniche avanzate e specifiche solo da addetti ai lavori. Infatti, il livello di consapevolezza nelle popolazioni è estremamente variabile ma comunque tendenzialmente basso. Un esempio calzante può essere rintracciato nei report annuali circa le principali password adottate da una popolazione. Questa classifica evidenzia bene il livello di criticità e costume dei singoli Paesi. Questa per esempio è la situazione italiana nel 2023
Il punto cruciale è che questo mal costume non è un’esclusiva solo degli utenti, ma è anche radicato nel personale tecnico. Indovinare una password in alcuni contesti è veramente più facile di quel che si pensi.
La scarsa consapevolezza delle persone infatti porta ad esposizioni di dati sensibili che vengono sistematicamente usate dai criminali informatici.
Sapere per quale squadra tifi o il nome del tuo cane potrebbe essere una traccia proficua da cui partire.
Come detto in precedenza i malintenzionati lavorano sulle nostre emozioni/difficoltà/esigenze.
Alcuni anni fa, mentre lavoravamo su un progetto per un’importante azienda specializzata nella Cessione del Quinto dello stipendio, abbiamo scoperto che alcuni account e-mail erano stati compromessi. Questi account erano finiti sul Dark Web a causa di alcuni dipendenti che avevano usato le loro mail aziendali per registrarsi su siti come Badoo e Dropbox. Sfortunatamente, le password utilizzate su queste piattaforme, che avevano subito violazioni di dati, erano identiche a quelle delle loro caselle di posta aziendali.
Una volta che questi dati sono caduti nelle mani sbagliate, i criminali informatici sono stati in grado di identificare rapidamente il core business dell’azienda. Hanno quindi iniziato a inviare e-mail ai clienti dell’azienda, promettendo di accelerare e finalizzare con successo le pratiche di finanziamento dietro il pagamento di un contributo di 2.000 euro.
In questa situazione, le vittime erano principalmente pensionati, i cui finanziamenti sarebbero stati destinati ai figli e ai parenti per affrontare situazioni di emergenza. È noto che, specialmente tra gli anziani, sono spesso i figli o altri parenti a gestire le pratiche finanziarie, soprattutto quando queste richiedono l’uso di strumenti digitali. In questo contesto, anche i parenti si sono trovati in una situazione di vulnerabilità emotiva, accecati dalla necessità di ottenere il finanziamento promesso.
Molte volte i criminali informatici lanciano un attacco con comunicazioni che promettono premi o minacciano di prendere provvedimenti se non si risponde.
Un hacker esperto cercherà molto probabilmente di utilizzare l’ingegneria sociale prima di dedicare tempo a metodi più difficili per ottenere una password, come la decodifica delle password, per ottenere l’accesso a un sistema.
Ci sono diversi tipi di attacchi di ingegneria sociale.
Gli attacchi includono:
- Shoulder surfing che significa “guardare oltre la spalla di qualcuno” mentre interagisce con un computer, telefono cellulare o altro dispositivo elettronico per ottenere informazioni personali. Un esempio calzante è l’abitudine di scrivere le password su pezzi di carta o post it vicino i dispositivi fisici. In alcuni casi queste informazioni non solo sono accessibili in presenza ma anche a distanza in quanto inquadrate da dispositivi come telecamere o cellulari. Un esempio è avvenuto per una nota televisione francese.
- Dumpster diving, ovvero cercare nei rifiuti per ottenere informazioni che possono essere utilizzate per lanciare un attacco informatico.
- Interferenza che è ascoltare o monitorare segretamente conversazioni private o comunicazioni altrui senza la loro conoscenza o consenso.
- Ingegneria sociale inversa che si verifica quando la vittima si rivolge all’attaccante in risposta a un messaggio e-mail o un testo.
Spesso è possibile sventare un attacco di ingegneria sociale investendo nella formazione ed utilizzando filtri antispam forti per impedire che e-mail ingannevoli arrivino ad utenti e dipendenti. L’ingegneria sociale è una delle minacce più difficili da difendere e dovrebbe essere parte di ogni esercizio di hacking etico di ogni organizzazione e formatore.
Scrivi un commento