Cos’è l’ingegneria sociale e come difendersi?
Non lasciatevi ingannare dalla etimologia della parola. L’ingegneria sociale non è un ingegnere che sta nei social o che sia socievole, anzi con questo termine di intente tutt’altra cosa che “piacevole”.
Con questo termine si intende la pratica sul convincere qualcuno a divulgare informazioni o a concedere l’accesso a reti di dati.
Per fare un esempio, un malintenzionato potrebbe fingersi un tecnico del servizio di assistenza ai clienti per farsi dare informazioni come nome utente o password. È incredibile quante persone non riflettano prima di rivelare simili informazioni, soprattutto se la richiesta sembra particolarmente convincente.
L’ingegneria sociale, quindi, è una tecnica di manipolazione che sfrutta l’errore umano per ottenere informazioni private, accesso o oggetti di valore. Nel crimine informatico, queste truffe di “hacking umano” tendono ad attirare utenti ignari affinché espongano dati, diffondano infezioni da malware o concedano l’accesso a sistemi con restrizioni. Gli attacchi possono avvenire online, di persona e tramite altre interazioni.
Le truffe basate sull’ingegneria sociale sono costruite attorno al modo in cui le persone pensano e agiscono. Pertanto, gli attacchi di ingegneria sociale sono particolarmente utili per manipolare il comportamento di un utente. Una volta che un utente malintenzionato capisce cosa motiva le azioni di un utente, può ingannare e manipolare l’utente in modo efficace.
Esistono diversi tipi di attacco, ognuna di esse con caratteristiche e modus differenti:
- Baiting: Il baiting (letteralmente “lanciare un’esca”) si basa sull’uso di una trappola, come una chiavetta USB piena di malware. Una persona curiosa di vedere cosa c’è sulla chiavetta, la inserisce nel computer infettando il sistema. Esiste addirittura una chiave USB capace di distruggere i computer caricandosi con energia dell’unità USB e poi rilasciandola come feroce scarica di potenza sul dispositivo in cui è stata inserita. (Questa chiavetta USB costa circa 50 euro);
- Pretexting: Questo attacco, come suggerisce il nome, sfrutta un pretesto per ottenere l’attenzione e convincere la vittima a fornire le informazioni. Ad esempio, un sondaggio su Internet potrebbe iniziare con domande che sembrano innocenti, per poi giungere a chiedere informazioni bancarie oppure, una persona che si presenta alla vostra porta sostenendo di stare conducendo una verifica interna di sistema, ma in realtà è un truffatore intenzionato a rubare le vostre informazioni più preziose. Esistono chiavette usb che se inserite nel pc possono rubare tutte le password che sono memorizzate. È facile e gratuito da procurare;
- Phishing: Gli attacchi phishing sfruttano un’e-mail o un messaggio di testo, apparentemente provenienti da una fonte fidata, che richiedono informazioni. Un classico sono le mail che sembrano provenire da una banca, che chiede ai propri clienti di “confermare” le informazioni di sicurezza, dirottandoli così su un falso sito dove le credenziali di accesso verranno registrate. Lo “spear phishing” prende di mira una singola persona all’interno di una azienda, inviando una mail che pare provenire da un dirigente di alto livello, che richiede informazioni confidenziali;
- Vishing e smishing: Questi tipi di attacco di ingegneria sociale sono varianti del phishing: vishing significa “voice fishing”‘(phishing vocale), cioè telefonare per richiedere dei dati. Il criminale potrebbe ad esempio fingersi un tecnico del servizio di assistenza di un’azienda, che ha bisogno delle informazioni di accesso. Lo “smishing” invece sfrutta i messaggi SMS per ottenere le stesse informazioni;
- Qui pro quo: Si dice che “il baratto non è un furto”, ma in questo caso lo è. Molti attacchi di ingegneria sociale fanno credere alle proprie vittime di ottenere qualcosa in cambio di un accesso a dei dati o di informazioni. Lo “scareware” funziona proprio così, promettendo agli utenti di computer un aggiornamento per risolvere un urgente problema di sicurezza, quando in realtà è lo scareware stesso, la minaccia;
- Spamming dei contatti e hacking delle e-mail: Questo tipo di attacco comporta l’entrare negli account di posta elettronica o social di qualcuno, per ottenere accesso ai contatti. Questi potrebbero poi ricevere un messaggio dove il presunto utente informa di essere stato derubato o di aver perso tutte le carte di credito, per cui chiede di inviare dei soldi su un determinato conto. Oppure, l'”amico” in questione potrebbe inviare un “video da guardare assolutamente”, che contiene un malware o un keylogger;
- Farming e hunting: Sappiate però che alcuni attacchi di ingegneria sociale sono molto più evoluti. Gli approcci che ho finora descritto sono definiti “hunting” (caccia). In parole povere entrano, prendono le informazioni e scappano. Tuttavia, altri tipi di attacco stabiliscono una forma di relazione con la vittima predestinata, per ottenere molte più informazioni nel corso di un periodo di tempo più lungo. Questa pratica si chiama “farming” (coltivazione), ed è più rischiosa per chi attacca: ci sono più probabilità di venire scoperti. Ma se l’infiltrazione va a segno, può fruttare molte più informazioni.
Gli attacchi di ingegneria sociale sono particolarmente difficili da contrastare perché sono appositamente ideati per far leva sui tratti naturali delle persone: la curiosità, il rispetto per l’autorità, il desiderio di aiutare un amico.
Ma ho alcuni consigli per riuscire a individuare gli attacchi di ingegneria sociale.
Come evitarli?
Verificate la fonte: Prendetevi un momento per riflettere sul mittente della comunicazione; non fidatevi ciecamente. Una chiavetta USB appare sulla vostra scrivania e non sapete cosa ci sia dentro? Una telefonata piove dal cielo informandovi che avete ereditato 5 milioni di euro? Un’e-mail dall’amministratore delegato chiede una montagna di informazioni a un singolo dipendente? Tutti questi scenari suonano altamente improbabili e andrebbero gestiti di conseguenza. Verificare la fonte non è difficile. Nel caso di una mail, ad esempio, basta controllare che l’intestazione sia la stessa delle mail precedenti dallo stesso mittente. Controllate dove conducono i link, gli hyperlink fasulli sono facili da individuare semplicemente muovendo il cursore del mouse sopra di essi (ma non fate clic!) Controllate la grammatica: le banche hanno reparti interi dedicati alla stesura delle comunicazioni con i clienti, un’e-mail che contiene errori evidenti è probabilmente falsa. In caso di dubbio, andate sul sito ufficiale e mettetevi in contatto con un dipendente che potrà confermarvi se l’e-mail/il messaggio sia vero o falso;
Cosa sanno: La fonte non possiede informazioni che davate per scontato avesse, come il vostro nome e cognome? Ricordate, se è la banca a telefonarvi, dovrebbe già avere tutti i dati pronti e vi farà sempre una domanda di sicurezza prima di permettervi di apportare modifiche al vostro conto. Se non lo fa, ci sono buone probabilità che si tratti di un’e-mail/una chiamata/un messaggio falsi, dovete fare molta attenzione;
Spezzate la catena: L’ingegneria sociale si basa spesso su una sensazione di urgenza. I criminali sperano che i loro bersagli non abbiano il tempo di pensare a quello che sta succedendo. Basta un attimo di riflessione per scoraggiare questi attacchi o smascherarli per quello che sono: truffe. Telefonate al numero ufficiale o visitate l’URL del sito principale invece di fornire i vostri dati al telefono o facendo clic su un link. Usate un altro mezzo di comunicazione per verificare l’attendibilità della fonte. Ad esempio, se ricevete una mail da un amico che vi chiede di inviargli dei soldi, mandategli un SMS o chiamatelo per controllare che sia davvero lui;
Chiedete un identificativo: Uno dei più classici attacchi di ingegneria sociale consiste nell’aggirare la sicurezza di un edificio, presentandosi con una grossa scatola o una pila di fogli in mano. Prima o poi, qualche persona gentile terrà aperta la porta d’ingresso. Non cascateci. Chiedete sempre di vedere un identificativo. Lo stesso vale per qualsiasi altro tipo di approccio. Controllare il nome e il numero di una persona, oppure chiedere chi sia il superiore a cui fa riferimento, dovrebbero essere risposte automatiche a chi pretende di avere informazioni da voi. Dopodiché, potrete semplicemente verificare nell’organico della ditta o sull’elenco telefonico chi sia questa persona, prima di fornire dati personali. Se non conoscete l’individuo che chiede le informazioni e non vi sentite tranquilli a rivelarle, rispondete che dovete prima verificare con un’altra persona e che li ricontatterete;
Usate un buon filtro antispam: Se la vostra casella di posta elettronica non filtra adeguatamente lo spam o non segnala le e-mail sospette, forse dovete modificarne le impostazioni. Un buon filtro antispam sfrutta vari tipi di informazioni per determinare quali e-mail sono probabilmente spazzatura. Ad esempio, rileva file o link sospetti, oppure ha una lista nera di indirizzi IP o ID mittente compromessi, oppure ancora analizza il contenuto del messaggio per stabilire se possa essere un falso;
È realistico: Alcuni attacchi di ingegneria sociale cercano di trarvi in inganno, non dandovi il tempo di razionalizzare e determinare se la situazione sia realistica. Fermatevi a riflettere. Ad esempio:
Se il vostro amico è davvero bloccato in Cina, è più probabile che vi mandi un’e-mail oppure che vi telefoni/mandi un messaggio?
Quanto è probabile che un principe nigeriano vi abbia lasciato un milione di dollari in eredità?
Una banca vi telefonerebbe per chiedervi il codice del bancomat? Per la precisione, la maggior parte delle banche registrano quando inviano e-mail o telefonano ai propri clienti. Quindi, se non siete sicuri, verificate.
Non andate troppo in fretta: Fate particolarmente attenzione quando avvertite un senso di urgenza provenire all’altro interlocutore. Questa è una tecnica da manuale dei criminali, per impedire alla vittima di pensare e riflettere sulla situazione. Se vi sentite messi sotto pressione, rallentate tutto. Dite che avete bisogno di tempo per procurarvi quell’informazione, che dovete chiedere al vostro manager, che non avete quei dettagli a portata di mano; qualsiasi cosa possa rallentare la situazione e darvi il tempo di pensare. Di solito, questo tipo di truffatori non tirerà troppo la corda, una volta capito di aver perso il vantaggio dell’effetto sorpresa;
Mettete al sicuro i vostri dispositivi: È anche importante mettere al sicuro i propri dispositivi, così che un attacco di ingegneria sociale, anche se andato a segno, possa ottenere un bottino limitato. I principi di base sono gli stessi, che si tratti di uno smartphone, una rete Internet domestica o un grosso sistema aziendale;
Mantenete i vostri software antimalware e antivirus aggiornati. Questo servirà a impedire ai malware che giungono attraverso e-mail di phishing di autoinstallarsi;
Aggiornate regolarmente software e firmware, fate soprattutto attenzione alle patch di sicurezza.
Non utilizzate un telefono con root o la vostra rete o PC in modalità amministratore. Anche se un attacco di ingegneria sociale dovesse ottenere la vostra password per il vostro account “utente”, non potrà comunque riconfigurare il vostro sistema o installarci software.
Non usate la stessa password per account diversi. Se un attacco di ingegneria sociale riesce a ottenere la password di un vostro account social, non volete certo che con la stessa possa sbloccare anche tutti gli altri vostri account.
Nel caso di account critici, usate l’autenticazione a due fattori, così che l’entrare in possesso della password non basti per accedere all’account. Questo potrebbe significare riconoscimento vocale, uso di un dispositivo di sicurezza, impronta digitale o codice di conferma via SMS.
Se avete appena comunicato la vostra password per un account e sospettate di essere stati truffati, modificatela immediatamente.
Restate aggiornati sui rischi di sicurezza informatica leggendo regolarmente forum e blog ufficiali tematici;
Pensate alla vostra traccia digitale: Considerate la vostra traccia digitale. Condividere eccessivamente le proprie informazioni online, come sui social media, può dare manforte agli hacker. Ad esempio, molte banche chiedono il “nome del vostro primo animale domestico” come domanda di sicurezza. Avete condiviso questa informazione su Facebook? Se la risposta è sì, potreste essere vulnerabili! Inoltre, molti attacchi di ingegneria sociale cercano di acquistare credibilità facendo riferimento a eventi recenti che potreste avere condiviso sui social. Vi consiglio di impostare i vostri social su “solo amici” e di fare attenzione a quello che condividete. Non c’è bisogno di diventare paranoici, basta essere cauti. Pensate ad altri aspetti della vostra vita che si trovano online. Se per esempio avete pubblicato il vostro curriculum, eliminate indirizzo, numero di telefono e data di nascita, tutte informazioni utili per qualcuno che pianifichi un attacco di ingegneria sociale. Alcuni attacchi non entrano in contatto ravvicinato con la vittima, altri invece sono studiati con cura; date a questi criminali meno informazioni su cui lavorare.
L’ingegneria sociale può essere molto pericolosa perché sfrutta situazioni perfettamente normali e le manipola a fini criminali. Tuttavia, se si ha piena consapevolezza di come funziona e si prendono delle precauzioni di base, è molto meno probabile caderne vittima.