Close
INTELLIGENCE / Commenti

SOCIAL ENGINEERING:
Esempi e suggerimenti per la prevenzione

Di Benedetto Palombo - 08/11/2021

L’ingegneria sociale, sinteticamente, è l’”arte” di manipolare le persone in modo che forniscano informazioni riservate. I tipi di informazioni che questa categoria di criminali cerca possono variare, ma quando gli individui sono presi di mira, i criminali – di solito – cercano di indurre loro a fornire password o informazioni bancarie o ad accedere al loro computer per installare – segretamente – software dannoso, che darà loro accesso alla tua password, ad informazioni bancarie, oltre a dare loro il controllo sul loro computer.

Vengono usate tattiche di ingegneria sociale perché, di solito, è più facile sfruttare la naturale inclinazione delle persone alla fiducia che scoprire modi per hackerare il loro software. Ad esempio, è molto più facile ingannare qualcuno facendosi dare la sua password piuttosto che provare a hackerarla.

La sicurezza, un po’ semplicisticamente, consiste nel sapere di chi e di cosa fidarsi. È importante sapere quando non prendere una persona in parola e quando la persona con cui si comunica è realmente chi dice di essere? Lo stesso vale per le interazioni online e l’utilizzo dei siti Web: quando fidarsi della legittimità del sito Web che si sta consultando e se sia sicuro fornire le proprie informazioni?

L’anello più debole nella catena della sicurezza è l’essere umano che accetti una persona o uno scenario per ciò che sembra. Non importa quante serrature e catenacci ci sono a porte e finestre, o se vi siano cani da guardia, sistemi di allarme, riflettori, recinzioni con filo spinato e personale di sicurezza armato; se ci si fida della persona al cancello, che – ad esempio – dice di essere il portalettere e lo si fa entrare senza prima verificare la veridicità della sua funzione, si è completamente esposti a qualsiasi rischio.

 

Che aspetto ha un attacco di ingegneria sociale?

 

E-mail da un amico

 

Se un criminale riesce a hackerare o a modificare socialmente la password e-mail di una persona, ha accesso all’elenco dei contatti di quella persona e poiché la maggior parte dei semplici utenti usa una password per tutti o quasi i “log-in”, probabilmente ha accesso anche ai contatti sui social network di quella persona.

Una volta che il criminale ha l’account e-mail sotto il proprio controllo, invia e-mail a tutti i contatti della persona o lascia messaggi su tutte le pagine social dei suoi amici e, possibilmente, sulle pagine degli amici dell’amico della persona.

 

Approfittando della fiducia e della curiosità, questi messaggi:

  • Contengono un collegamento da “cliccare” e, poiché il collegamento proviene da un amico, ci si fida e si “clicca” senza timore. In tal modo si verrà infettati da malware che permettono al criminale di prendere il controllo del computer della vittima, raccogliendo informazioni sui contatti e ingannare questi altri malcapitati proprio come successo alla prima vittima.
  • Contengono un download di immagini, musica, film, documenti e così via contenente software dannoso “incorporato”. Se si effettua il download, cosa probabile poiché proveniente da un amico, si viene infettati. Ora il criminale ha accesso al computer, account e-mail, contatti “social” etc.e l’attacco si diffonde a tutti quelli che si “conoscono”. In teoria, ciò potrebbe andare avanti a lungo, e causare danni ingenti, soprattutto se non si usano computer diversi per ciò che è personale e ciò che riguarda la professione.

 

E-mail da altra fonte attendibile

 

Gli attacchi di phishing sono un sottoinsieme della strategia di ingegneria sociale che imita una fonte attendibile e inventa uno scenario apparentemente logico per la consegna delle credenziali di accesso o altri dati personali sensibili. Le istituzioni finanziarie rappresentano la stragrande maggioranza delle aziendedalle quali, una volta creato un indirizzo email falso a nomedell’istituzione finanziaria “x”, si ricevono email fraudolente, e – secondo il rapporto annuale sulle “Indagini sulla violazione dei dati” di Verizon – gli attacchi di ingegneria sociale, tra cui “phishing” e “pretexting” (si veda sotto) rappresentanoil 93% delle violazioni dei dati andate a buon fine.

 

Utilizzando una storia avvincente o un pretesto(“pretexting”), questi messaggi possono:

 

  • Chiedere urgentemente aiuto. Ad esempio, un “amico” è bloccato nel Paese X, è stato derubato, e picchiato, quindi è in ospedale. C’è urgente bisogno di inviare denaro affinché possa tornare a casa; seguono le indicazioni su come inviare il denaro al criminale.
  • Tentare di porre in essere un tentativo di phishing con l’aiuto di una apparente legittimità. In genere, un “phisher” invia un’e-mail, un messaggio istantaneo, un commento o un messaggio di testo che sembra provenire da un’azienda, una banca, una scuola o un’Istituzione legittima e nota.
  • Chiedere di donare per una raccolta fondi di beneficenza o a altra causa.  Con toni gentili e affranti, questi “phisher” chiedono aiuto o supporto per qualsiasi disastro, campagna di beneficenza etc. che al momento occupa le prime pagine dei giornali e dei siti d’informazione. Anche in questo caso si troveranno le istruzioni su come inviare denaro al criminale
  • Presentare un problema che richiede di “verificare” le informazioni facendo clic sul collegamento visualizzato e fornendo dati nel modulo. La posizione del collegamento può sembrare molto legittima con tutti i loghi e il contenuto corretti in quanto i criminali spesso copiano il formato e il contenuto esatti del sito reale. Poiché tutto sembra legittimo, ci si fida dell’e-mail e del sito fraudolento e vengono fornite le informazioni richieste dal truffatore. Questi tipi di phishing, in genere, includono un avvertimento su cosa accadrà se non si agisce entro pochi giorni. Ciò in quanto i criminali sanno perfettamente che se riescono a far agire la vittima prima che ci pensi su, è molto più probabile che la frode vada a buon fine.
  • Avvisare che si è “vincitori”.  In questa categoria rientrano le e-mail in cui si risulta essere “vincitori” di una nota lotteria nazionale, o eredi di un parente che viveva all’estero da decenni e ora defunto, etc. Naturalmente, per trasferire la “vincita” o l’”eredità” bisogna fornire il proprio IBAN (se la “vincita” arriva dall’estero bisogna fornire anche il Codice Bic/Swift), fornire l’indirizzo e il numero di telefono. Negli Stati Uniti, spesso viene richiesto di inserire anche il proprio numero di previdenza sociale. Questi sono i cosiddetti “Creed Phishes”(“Phishing dell’avidità”) in cui, anche se il pretesto è apparentemente debole, si fa leva sul desiderio (cupidigia?) delle persone che desiderano avere ciò che viene offerto loro, a torto o a ragione, e ciò determina – infine – il successo dell’attacco, con conseguente svuotamento del conto in banca e furto di identità.
  • Fingere di essere un superiore o un collega. Potrebbero essere richiesti aggiornamenti su un importante progetto proprietario su cui l’azienda per cui si lavora sta attualmente lavorando, informazioni di pagamento relative a una carta di credito aziendale o altre richieste mascherate da attività quotidiana. 

 

 

Scenari di “adescamento” (“Baiting”) 

 

Questi schemi di ingegneria sociale si basano sul semplice fatto che se si rende a portata di mano e “gratuitamente” un “oggetto del desiderio” comune, molte persone abboccheranno. Questi schemi si trovano spesso sui siti “peer-to-peer” che offrono il download di qualcosa come un nuovo film, musica, giochi, etc. Ma gli stessi si trovano anche sui“social network”, su siti Web dannosi che si reperiscono semplicemente attraverso i risultati di una ricerca e così via.

Oppure, lo schema potrebbe presentarsi come un ottimo affare su siti classificati, siti di aste, et similia. Per dissipare i sospetti, si fa apparire che il venditore ha una buona valutazione (tutto pianificato e realizzato in anticipo, naturalmente).

Le persone che cadranno nella trappola possono essere infettate da software dannoso in grado di generare un numero qualsiasi di nuovi “exploit” contro la vittima e i suoi contatti: il caso da manuale è quello di perdere i propri soldi senza ricevere l’oggetto “acquistato”.

 

Un altro scenario comune si presenta in forma di “assistenza” per un problema.

I “phisher” spesso fingono di rispondere ad una “richiesta di assistenza ”spacciandosi per un’azienda. Scelgono aziende che servono milioni di persone, come una società di software o una banca. Se non si utilizza alcun prodotto o servizio della sedicente azienda, si dovràignorare l’e-mail, la telefonata o il messaggio; ma se si è fruitori di un software o di un servizio fornito dal mittente, ci sono molte probabilità che si risponda perché è cosa comune aver bisogno di assistenza con un “prodotto”.

Ad esempio, anche se non si ha memoria di aver inviato una richiesta di assistenza, è probabileche si abbia un problema, solo per citare un caso, con il sistema operativo del computer e si cogliel’opportunità per risolverlo. Gratuitamente! Nel momento in cui si risponde, si è caduti nella trappola, si è concessa fiducia e ci sitrovain balia dellatruffa.

L’operatore, che in realtà è un criminale, chiederà al malcapitato di “autenticarsi”, accedendo al “sistema fraudolento” o concedendo l’accesso remoto al proprio computer in modo che possa “riparare ”l’inconveniente al posto dell’utente, oppure vengono dettati dei comandi in modo che si abbia l’impressione di risolvere il problema da soli, ma con l’assistenza dell’operatore. Ovviamente, alcuni dei comandi che verranno dettati per l’inserimento apriranno la strada al criminale per tornare nel computer “riparato” in seguito.

 

Un altro scenario comune è il cosiddetto “Creating distrust”, ovvero ingenerare sfiducia.

Una parte di ingegneria sociale riguarda anche la creazione di sfiducia o l’innesco di conflitti; ciò viene messo in atto – in genere – da estorsori che cercano di provocare caos, prima creando sfiducia nella mente della vittima riguardo altre persone, poi intervenendo come eroi, quindi, guadagnando la fiducia della vittima. L’intento è quello di manipolare le informazioni e poi minacciare di divulgarle.

Questa forma di ingegneria sociale inizia spesso ottenendo l’accesso ad un account di posta elettronica o un altro account di comunicazione su un client di messaggistica istantanea, social network, chat, forum, ecc. Si perpetra questo attacco tramite hacking, ingegneria sociale o – semplicemente – indovinando password molto deboli.

  • La persona malintenzionata può, quindi, alterare comunicazioni sensibili o private oltre che immagini, audio etc., utilizzando tecniche di editing di base e inoltrarle ad altre persone per arrecare danno, creare sfiducia, imbarazzo, etc. Si può fare in modo che l’invio di determinati file sembri sia stato accidentale.
  • In alternativa, può utilizzare il materiale alterato per estorcere denaro alla vittima hackerata.

 

Esistono migliaia di varianti agli attacchi di ingegneria sociale. L’unico limite al numero di modi in cui si possono “ingegnerizzare” socialmente gli utenti attraverso questo tipo di “exploit” è l’immaginazione del criminale. Inoltre, è possibile sperimentare più forme di “exploit” in un singolo attacco. Ciò rende possibile all’hacker di vendere le informazioni a terzi in modo che anche quest’ultimi possano eseguire i loro “exploit” contro la vittima, i suoi amici, gli amici degli amici e così via.

 

 

 

Semplici consigli per ridurre il rischio di diventare una vittima

 

Se, purtroppo, gli attacchi di phishing sono dilaganti, di breve durata e richiedono solo “poche” vittime-chiave affinché una “campagna” vada a buon fine, è anche vero che esistono dei piccoli accorgimenti per ridurre i rischi. In molti casi è sufficiente prestare la massima attenzione ai dettagli che compaiono di fronte all’utente. Di seguito alcuni consigli per non mettersi nelle condizioni ideali per diventare vittima di phishing: 

 

  • Evitare la fretta. Gli spammer vogliono che prima si agisca e poi si pensi. Se un messaggio trasmette un senso di urgenza o utilizza tattiche di vendita ad alta pressione, bisogna essere scettici; non lasciare mai che l’urgenza derivante dal messaggio influenzi un’attenta revisione.
  • Ricercare i fatti. È buona norma diffidare di eventuali messaggi non richiesti. Anche se l’e-mail sembra provenire da un’azienda con la quale si hanno rapporti, bisogna fare – comunque – delle ricerche. Basta utilizzare un motore di ricerca per accedere al sito della società reale, ed ottenere anche il numero di telefono.
  • Non lasciare mai che un “link” conduca l’utente sul sito cui punta (“redirectoring”). È importante mantenere il controllo cercando autonomamente su un motore di ricerca il sito web citato nel “link” per essere sicuri di visitare il giusto sito. Passando con il mouse sui collegamenti nell’e-mail comparirà chiaramente l’URL effettivo cui punta, anche se è possibile – ma solo da parte di hacker professionisti – indurre comunque in errore.
  • Il furto dell’account di posta elettronica è dilagante. Il fatto che hacker, spammer e ingegneri sociali prendano il controllo degli account di posta elettronica delle persone (e di altri account di comunicazione) è diventato fenomeno dilagante. Una volta che controllano un account di posta elettronica, sfruttano la fiducia dei contatti della persona. Anche quando il mittente sembra essere qualcuno che si conosce, se da lui non ci si aspetta un’e-mail con un collegamento o un allegato bisogna contattare il proprio amico prima di aprire i collegamenti o eseguire “download”.
  • Prestare attenzione a qualsiasi download. Se non si conosce personalmente il mittente e, al contempo, ci si aspetta un file da lui, scaricare qualsiasi cosa è un errore da non fare.
  • Le “offerte” straniere sono false. Se si riceve un’e-mail da una lotteria straniera o un concorso a premi, denaro da un parente sconosciuto o richieste di trasferimento di fondi da un Paese straniero di una parte del denaro, è certo che si tratta di una truffa.
  • Eliminare qualsiasi richiesta di informazioni finanziarie o password. Se viene chiesto di rispondere a un messaggio con informazioni personali, si tratta di truffa.
  • Rifiutare le richieste di assistenza o le offerte di assistenza. Le aziende e le organizzazioni legittime non contattano nessuno per fornire assistenza non richiesta. Se non si è proceduto ad una richiesta di assistenza specifica al mittente, bisogna considerare qualsiasi offerta di “help una truffa. Allo stesso modo, se si riceve una richiesta di aiuto da parte di un ente di beneficenza o da un’organizzazione con cui non si hanno rapporti, procedere direttamente con l’eliminazione. Per donare, basta cercare organizzazioni di beneficenza aventi buona reputazione per evitare di cadere in una truffa.
  • Impostare i filtri antispam su “alto”. Ogni programma di posta elettronica dispone di filtri antispam. Per maggior sicurezza, tra le opzioni delle impostazioni, scegliere “alto”: ricordare di controllare periodicamente la cartella dello spam per vedere se un’e-mail attendibile è rimasta accidentalmente intrappolata nello spam. 
  • Proteggere i dispositivi informatici. Installare software antivirus, firewall, filtri e-mail e mantenerli aggiornati. Impostare il sistema operativo per l’aggiornamento automatico. Utilizzare uno strumento anti-phishing offerto dal proprio browser web o da terze parti per ricevere avvisi di rischio.