La prima volta che ho sentito parlare di Ingegneria Sociale, è stato quando durante le vacanze estive di qualche anno fa, il mio amico Pier mi ha parlato del libro ” L’arte dell’inganno “.
Come di consueto nel mese di agosto Pier viene in vacanza al Mare nella mia città e siamo soliti durante i momenti di relax in spiaggia, parlare delle nostre principali passioni tra cui le tecnologie, i mezzi di comunicazione e le strategie di vendita.
Spesso durante le nostre conversazioni analizziamo anche gli aspetti della comunicazione ed avendo entrambi fatto diversi corsi specifici su questa materia, quella volta ci siamo ritrovati a parlare di Ingegneria Sociale.
Ma che cosa’è questa materia così poco conosciuta, o meglio di cui molto poco si parla, anche se molti di noi spesso ne siamo vittime oppure ne utilizzano le tecniche senza rendercene conto?
Definizione di Ingegneria Sociale
“Ingegneria Sociale consiste nello studio del comportamento individuale di un soggetto, con l’obiettivo di entrare in possesso di informazioni specifiche”.
L’Ingegnere Sociale tende a manipolare le proprie vittime per estorcere informazioni con o senza, l’aiuto di dispositivi tecnologici e magari convincendole di essere un’altra persona.
Come si sviluppa l’Ingegneria Sociale
Questa sorta di manipolazione si avvale della naturale tendenza alla fiducia dell’essere umano, ma viene architettata e realizzata dall’Ingegnere Sociale con l’obbiettivo di ottenere inizialmente semplici informazioni che permettano successivamente di accedere ad informazioni di maggior valore.
Nella definizione, la parola sociale è utilizzata perché coinvolge la società e studia il comportamento umano.
La parola ingegneria perché questo tipo di attività non può essere improvvisata, è necessario ingegnerizzare ovvero pianificare tutte le fasi dell’azione al fine di realizzare il progetto.
Gli esseri umani, nascono con la propensione ad esplorare tutto ciò che ci circonda, da giovani spesso siamo curiosi del mondo ed impazienti di metterci alla prova, così ci accorgiamo che riuscendo ad ad imparare cose nuove ed a risolvere indovinelli spesso veniamo premiati.
Chi da bambino non è riuscito a convincere i propri genitori a fare qualcosa che non volevano fargli fare? Vi siete mai chiesti come avete fatto ad ottenere un regalo oppure un premio anche senza meritarvelo?
Siete mai riusciti a far parlare a qualcuno di un’argomento privato oppure di vostra esclusiva curiosità, partendo magari da molto lontano ed arrivando con calma e precisione all’obbiettivo?
Ebbene queste tecniche che molti di noi sin da bambini riusciamo ad applicare con naturalezza per ottenere ciò che vogliamo, sono le basi di una materia bizzarra ed assai profonda, come quella dell’Ingegneria Sociale.
L’Ingegnere Sociale è di fatto un Hacker, una persona che si impegna nell’affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte in tutti gli aspetti della sua vita.
L’Ingegnere Sociale è una persona curiosa di sapere soprattutto ciò che gli viene nascosto o proibito, e desideroso di superare i limiti che queste proibizioni comportano.
Il suo scopo principale è conoscere e scoprire, informare e divulgare ed il suo intento non è tendenzialmente distruttivo né particolarmente dannoso.
La figura dell’Ingegnere Sociale, non è necessariamente un’esperto informatico, ma una persona abbastanza acuta ed abile nel manipolare il carattere umano o semplicemente capace di utilizzare la più potente arma: saper mentire.
Le fasi dell’attacco
Per un’Ingegnere Sociale, ogni sfida che si pone consiste in un’attacco che normalmente prevede le seguenti fasi: analisi iniziale, costruzione dell’attacco, la fuga, le contromosse.
Analisi Iniziale
A differenza dei classici attacchi di sicurezza informatica, che spesso sono molto più tecnici e per i quali necessitano importanti conoscenze informatiche, nell’Ingegneria Sociale la prima fase che è anche la più importante è quella in cui si carpiscono il numero maggiore di informazioni che riguardano la vittima.
È qui che si vede la reale capacità di un hacker sociale nel trovare nuove originali tecniche per ottenere le più rilevanti informazioni.
In questa fase l’hacker metterà in gioco buona parte delle sue tecniche di influenzamento e manipolazione unite ad una ottima creatività e capacità nel sapere dove e come curiosare.
L’attacco
l’intrusione è il cuore dell’attacco che l’ingegnere informatico sferra alla propria vittima, in questa prima fase, l’attaccante tende a conquistarne la fiducia facendo domande apparentemente innocue, ma che semplicemente prevedono un secondo fine.
Come nel gioco degli scacchi, in questa fase preliminare la vittima è ancora in tempo a riconoscere l’attacco ed in grado di difendersi, se l’Ingegnere Sociale supera questa fase, per la vittima non ci saranno più speranze di riprendersi le informazioni sottratte, quindi “Scacco Matto”.
La Fuga
L’hacker o Ingegnere Sociale, dopo aver violato le difese della vittima ed aver ottenuto ciò che voleva, esce dalla scena, cancella le tracce, gli indizi e le eventuali prove della sua intrusione, lasciando tuttavia una porta socchiusa per potervi rientrare indisturbatamente e senza rischi.
La Difesa
Per garantire la propria incolumità e difenderci dagli attacchi, innanzitutto è necessaria l’adeguata educazione e cultura che ci consenta di riconoscere un’attacco e che ci metta in condizione di adottare azioni protettive e contro mosse psicologiche utili, anche quando l’attacco è già in corso.
Gli attacchi di Ingegneria Sociale
Nonostante i sistemi siano sempre più protetti dalle tecnologie, gli ingegneri sociali sono in grado con le proprie strategie di ottenere la fiducia di persone che inconsapevolmente potranno fornire le chiavi necessarie a violare un sistema anche se molto protetto.
Ogni giorno migliaia di aziende sono vittime di attacchi informatici e di Ingegneria Sociale, tuttavia queste tecniche sono sempre più adoperate anche per attaccare i privati.
Capita infatti di essere chiamati al telefono da un’operatore di call center che si spaccia per il nostro fornitore di energia o altro.
L’operatore è già in possesso di alcune nostre informazioni come il nome il cognome ed appunto il numero di telefono,
quando ci telefona ci fa effettivamente credere di essere un suo cliente, ma ad esempio con un semplice pretesto, quale quello di controllare eventuali anomalie sui consumi, ci chiede di prendere l’ultima bolletta e di leggergli il codice cliente per confermare l’anomalia.
Di fatto il suo scopo è quello di ottenere il codice di migrazione che potrà utilizzare a nostra insaputa per cambiarci il contratto con altro operatore per cui lavora.
Termineremo la chiamata con la certezza di aver fatto un semplice controllo, ma il mese successivo molto probabilmente riceveremo una fattura di un nuovo operatore e sarà già troppo tardi per poter tornare in dietro.
Riceviamo spesso anche email sospette, per esempio un messaggio che ci avvisa di aver vinto un premio e che per riceverlo ci basta inserire i nostri dati, oppure capita di essere avvisati che abbiamo un pacco in consegna e che alcuni dati non sono chiari per cui dovremmo per sicurezza fornirli nuovamente. Attenzione anche in questi potrebbe nascondersi un hacker dietro i messaggi.
Il postino che dichiarandosi tale suona al citofono, normalmente ci incute abbastanza fiducia per aprirgli il portone, ma effettivamente se non abbiamo il videocitofono per controllare, potremmo inconsapevolmente aprire la porta ad uno sconosciuto.
Come difenderci dagli attacchi di Ingegneria Sociale
Scopriamo ogni giorno che nuove tecniche vengono utilizzate per confezionare vere e proprie truffe a nostro discapito ed allora come possiamo proteggerci da questo fenomeno che si evolve continuamente?
La prima cosa fondamentale è tenere sempre le orecchie e gli occhi ben aperti quando si controllano le proprie email o si ricevono chiamate.
La parola d’ordine è non fidarsi mai a prescindere e prestare la massima attenzione
Soprattutto quando non siamo perfettamente certi dell’identità di chi ci contatta, porre sempre delle domande che ci permettano di capire con chi effettivamente si ha a che fare.
Chiedere le generalità complete della persona che ci contatta, oppure il nome e l’indirizzo dell’azienda, o meglio ancora chi ha fornito i nostri recapiti ed il nostro nome, comporta quasi certamente che il mal intenzionato si senta scoperto e desista dal proseguire con l’attacco.
Quando gli attacchi provengono dalla rete, tramite e mail, messaggi in chat o tramite i social, risulta ancora più difficile proteggersi se non si è ben preparati all’uso della rete e delle tecnologie, bisogna in ogni caso evitare di fornire i dati bancari o i dati della carta di credito a terzi, anche se la richiesta sembra provenire da una fonte attendibile.
Assicurarsi che un sito web appartenga effettivamente a un’organizzazione da noi conosciuta prima di inserire i propri dati.
Controllare attentamente l’URL nel browser o, se si riceve una richiesta insolita, controllare accuratamente l’indirizzo email da cui proviene il messaggio.
nel browser o, se si riceve una richiesta insolita, controllare accuratamente l’indirizzo email da cui proviene il messaggio.
Anche se il sito web può sembrare attendibile, l’URL potrebbe presentare variazioni ortografiche o usare un dominio simile realizzato al fine confondere il destinatario dell’attacco.
In sintesi valutare bene le seguenti circostanze
- Come faccio a sapere che questa persona è effettivamente chi sostiene di essere?
- Come faccio a sapere che questa persona è autorizzata ad avanzare una simile pretesa?
- Perché qualcuno vuole aiutarmi senza che ne abbia fatto richiesta?
- Perché mi vogliono offrirmi un premio se mi registro con i miei dati?
- Nella propria attività incoraggiare il personale a contestare le richieste.
- Mai fidarsi automaticamente di nessuno senza previa verifica.
Segni premonitori di un’attacco
- Rifiuto di dare un numero cui richiamare.
- Richieste fuori dall’ordinario.
- Urgenza
- Minacce di conseguenze spiacevoli in caso di non obbedienza.
- Segni di nervosismo quando interrogato.
- Citazione di nomi importanti.
- Lusinghe o piaggeria.
- Corteggiamento.
Conclusione
Alla fine di questa lettura se probabilmente non la conoscevi, avrai preso coscienza sull’esistenza dell’Ingegneria Sociale ed avrai qualche strumento in più per difenderti dall’attacco di un’Ingegnere Sociale.