Nel contesto della sicurezza informatica, l’ingegneria sociale consiste nella manipolazione psicologica delle persone al fine di indurle a compiere determinate azioni o a divulgare informazioni riservate. Si tratta di un tipo di scam che mira a raccogliere informazioni, compiere frodi o ottenere l’accesso ad un sistema. Questo tipo di attacco differisce da una “truffa” tradizionale, in quanto spesso rappresenta solo uno dei tanti passaggi all’interno di uno schema di frode più complesso. Inoltre, l’ingegneria sociale può essere definita come “qualsiasi atto che induce una persona a intraprendere un’azione che potrebbe essere o meno nel suo migliore interesse”.
Un esempio di ingegneria sociale è l’uso della funzione “password dimenticata” sulla maggior parte dei siti web che richiedono il login. Un sistema di recupero della password protetto in modo improprio può essere utilizzato per concedere a un utente malintenzionato l’accesso completo all’account di un utente, mentre l’utente originale perderà l’accesso all’account.
Tecniche e termini sull’ingegneria sociale
Tutte le tecniche di ingegneria sociale si basano su attributi specifici del processo decisionale umano noti come pregiudizi cognitivi. Questi pregiudizi, a volte chiamati “bug nell’hardware umano”, vengono sfruttati in varie combinazioni per creare tecniche di attacco, alcune delle quali sono elencate di seguito. Gli attacchi utilizzati nell’ingegneria sociale possono essere utilizzati per rubare informazioni riservate ai dipendenti di una azienda o organizzazione statale.
Possiamo fare un esempio di ingegneria sociale descrivendo un individuo che invia un annuncio dall’aspetto ufficiale alle email aziendali che dice che il numero dell’help desk è cambiato. Pertanto, quando i dipendenti chiedono aiuto, l’individuo chiede loro password e ID ottenendo così la possibilità di accedere alle informazioni private dell’azienda. Più l’azienda e grande e più facilmente questo trucco può funzionare. Un altro esempio di ingegneria sociale sarebbe che l’attaccante contatta una persona su un social network e inizia una conversazione, a poco a poco l’hacker ottiene la fiducia del bersaglio e quindi utilizza tale fiducia per ottenere l’accesso a informazioni sensibili come password o dettagli del conto bancario.
L’ingegneria sociale fa molto affidamento sui sei principi di influenza stabiliti da Robert Cialdini. La teoria dell’influenza di Cialdini si basa su sei principi chiave: reciprocità, impegno e coerenza, riprova sociale, autorità, gradimento, scarsità.
I sei principi di Robert Cialdini
Autorità
Nell’ingegneria sociale, l’attaccante può atteggiarsi ad autorità per aumentare la probabilità di adesione da parte della vittima.
Intimidazione
L’aggressore informa o fa credere che ci saranno conseguenze negative se determinate azioni non vengono eseguite. Le conseguenze potrebbero includere sottili frasi di intimidazione come “lo dirò al tuo manager” fino a minacciare un arresto.
Consenso/prova sociale
Le persone faranno cose che vedono fare da altre persone. Ad esempio è noto l’esperimento per cui quando una o più persone guardano in cielo, i presenti inconsciamente vengono incuriositi e anche loro alzano lo sguardo al cielo per vedere cosa si sta accadendo. Ad un certo punto questo esperimento è stato interrotto, poiché le persone che si erano “contagiate” erano così tante che stavano bloccando il traffico.
Scarsità
La scarsità percepita genererà la domanda. La comune frase pubblicitaria “fino ad esaurimento scorte” capitalizza su un senso di scarsità.
Urgenza
Collegato alla scarsità, gli aggressori usano l’urgenza come principio psicologico basato sul tempo dell’ingegneria sociale. Ad esempio, dire che le offerte sono disponibili solo per un “tempo limitato” incoraggia le vendite attraverso un senso di urgenza.
Familiarità / Simpatia
Le persone sono facilmente persuase da altre persone che gli piacciono. Cialdini cita il marketing di Tupperware in quello che oggi si potrebbe definire marketing virale. Le persone erano più propense ad acquistare se gli piaceva la persona che glielo vendeva. Vengono utilizzati alcuni dei molti pregiudizi che favoriscono le persone più attraenti.
I metodi principali dell’ingegneria sociale
Vishing
Il vishing, altrimenti noto come “voice phishing”, è la pratica criminale di utilizzare l’ingegneria sociale su un sistema telefonico per ottenere l’accesso a informazioni personali e finanziarie private a scopo di ricompensa finanziaria. Viene anche impiegato dagli aggressori per scopi di ricognizione per raccogliere informazioni più dettagliate su un’organizzazione bersaglio.
Il vishing è un tipo di attacco informatico che combina la tecnologia telefonica con la manipolazione psicologica al fine di indurre la vittima a fornire informazioni personali o finanziarie sensibili. Il termine “vishing” deriva dalla combinazione delle parole “voice” (voce) e “phishing” (phishing, ovvero la pratica di inviare email fraudolente che sembrano provenire da fonti affidabili al fine di indurre le persone a fornire informazioni personali o finanziarie).
Il “vishing” (voice phishing) è una truffa informatica che sfrutta il telefono per cercare di ottenere informazioni personali e sensibili, come numeri di carte di credito, numeri di conti bancari, PIN, password e altri dati importanti.
Il vishing si svolge attraverso una chiamata telefonica che spesso sembra provenire da un’organizzazione affidabile, come una banca o un’agenzia governativa. Il truffatore cerca di convincere la vittima a fornire informazioni personali o a effettuare un pagamento, spesso utilizzando tecniche di manipolazione psicologica.
Ad esempio, il truffatore potrebbe affermare che c’è un problema con l’account della vittima e che è necessario fornire informazioni per risolverlo, o potrebbe minacciare conseguenze legali se la vittima non fornirà le informazioni richieste.
Il vishing può essere particolarmente efficace perché le persone tendono a fidarsi di una voce umana al telefono e possono essere facilmente influenzate da tecniche di manipolazione psicologica. Per prevenire il vishing, è importante essere consapevoli dei rischi e non fornire informazioni personali o finanziarie a chiunque chieda di farlo al telefono, a meno che non si sia certi della legittimità della richiesta. In caso di dubbio, è meglio rifiutare la richiesta e contattare l’organizzazione direttamente tramite un canale affidabile, come il sito web ufficiale o il numero di telefono indicato sulla carta di credito o sul sito web dell’organizzazione stessa.
Phishing
Il phishing è una tecnica per ottenere in modo fraudolento informazioni private. In genere, il phisher invia un’e-mail che sembra provenire da un’azienda legittima, una banca o una società di carte di credito, richiedendo la “verifica” delle informazioni e avvertendo di qualche grave conseguenza se non vengono fornite. L’e-mail di solito contiene un collegamento a una pagina Web fraudolenta che sembra legittima, con loghi e contenuti aziendali, e ha un modulo che richiede di tutto, dall’indirizzo di casa al PIN di una carta bancomat o al numero di una carta di credito. Ad esempio, una ventina di anni fa si è verificata una truffa di phishing in cui gli utenti ricevevano e-mail camuffata da eBay affermando che l’account dell’utente stava per essere sospeso a meno che non fosse stato fatto clic su un collegamento fornito per aggiornare una carta di credito (informazioni che il vero eBay aveva già). Imitando il codice HTML e i loghi di un’organizzazione legittima, è relativamente semplice far sembrare autentico un sito Web falso. La truffa ha indotto alcune persone a pensare che eBay richiedesse loro di aggiornare le informazioni del proprio account facendo clic sul collegamento fornito.
Smishing
L’atto di utilizzare messaggi di testo SMS per attirare le vittime in una linea di condotta specifica, nota anche come “smishing”. Come il phishing, può consistere nel fare clic su un collegamento dannoso o nella divulgazione di informazioni. Esempi sono i messaggi di testo che affermano di provenire da un corriere comune (come Ups) che indicano che un pacco è in transito, con un collegamento fornito.
Impersonificazione
Fingere di essere un’altra persona con l’obiettivo di ottenere l’accesso fisico a un sistema o edificio. La rappresentazione viene utilizzata nella frode “SIM swap scam “.
Ci sono altre diverse tecniche, che vedremo singolarmente in altri articoli, ma sostanzialmente riprendono le basi di queste prime tecniche appena elencate.
Contromisure
Come si può controbattere a questi attacchi sempre più subdoli e specifici? Ecco alcuni punti base
Formazione ai dipendenti: formazione dei dipendenti sui protocolli di sicurezza rilevanti per la loro posizione. (ad esempio, in situazioni come il tailgating, se l’identità di una persona non può essere verificata, i dipendenti devono essere addestrati a rifiutare educatamente ogni proseguio del colloquio)
Quadro standard: stabilire quadri di fiducia a livello di dipendente/personale (ovvero, specificare e formare il personale quando/dove/perché/come le informazioni sensibili devono essere gestite)
Controllo delle informazioni: identificare quali informazioni sono sensibili e valutare la loro esposizione all’ingegneria sociale e ai guasti nei sistemi di sicurezza (edificio, sistema informatico, ecc.)
Protocolli di sicurezza: definizione di protocolli, politiche e procedure di sicurezza per la gestione delle informazioni sensibili.
Event Test: esecuzione di test periodici senza preavviso del framework di sicurezza.
Revisione: rivedere regolarmente i passaggi precedenti, nessuna soluzione per l’integrità delle informazioni è perfetta. Va sempre affinata e controllata dai responsabili.
Gestione dei rifiuti: utilizzo di un servizio di gestione dei rifiuti che dispone di cassonetti con serratura, con chiavi limitate solo all’azienda di gestione dei rifiuti e al personale delle pulizie. Individuare il cassonetto in vista dei dipendenti in modo che il tentativo di accedervi comporti il rischio di essere visti, o dietro un cancello chiuso o una recinzione in cui la persona deve sconfinare prima di poter tentare di accedere al cassonetto.
Il ciclo di vita dell’ingegneria sociale
Raccolta di informazioni: la raccolta di informazioni è la prima e più importante fase del ciclo di vita dell’ingegneria sociale. Richiede molta pazienza e una lunga osservazione delle abitudini della vittima. Questo passaggio raccoglie dati sugli interessi della vittima, informazioni personali. Determina la percentuale di successo dell’attacco complessivo.
Impegno con la vittima: dopo aver raccolto la quantità richiesta di informazioni, l’attaccante apre una conversazione con la vittima senza problemi senza che la vittima trovi nulla di inappropriato.
Attacco: questo passaggio si verifica generalmente dopo un lungo periodo di coinvolgimento con il bersaglio e durante questo periodo le informazioni dal bersaglio vengono recuperate utilizzando l’ingegneria sociale. In questa fase, l’attaccante ottiene i risultati dal bersaglio.
Interazione di chiusura: questo è l’ultimo passaggio che include la chiusura lenta della comunicazione da parte dell’aggressore senza far sorgere alcun sospetto nella vittima. In questo modo il movente si realizza e raramente la vittima si rende conto che l’aggressione è avvenuta.
