Abbiamo già parlato di Social Engineering, riferendoci ad essa come una delle principali minacce alla sicurezza informatica del nostro Paese.
La maggior parte degli attacchi Ransomware, infatti, utilizza tecniche di Ingegneria Sociale, come il Tailgating o il Phishing (a chi non è mai capitato di ricevere una mail da mittente noto con invito a cliccare su un link o scaricare un allegato, così da riscattare un premio o aggiornare i dati del proprio conto corrente?).
In quell’occasione, abbiamo anche detto che la Social Engineering sfrutta l’anello più debole del sistema informatico: gli utenti.
Si tratta, infatti, di una tecnica (criminale) che studia il comportamento individuale delle persone al fine di manipolarle. In particolare, è usata dai criminali informatici per ottenere con l’inganno dati riservati o confidenziali (password, accesso a conti correnti, informazioni finanziarie etc.), estorcere denaro o addirittura rubarne l’identità.
Il Social Engineer non è necessariamente un esperto o guru informatico: generalmente, è solo una persona molto sveglia e brillante, abile nel manipolare il carattere umano e acquistare la fiducia nel prossimo, dotata di un grande talento: mentire.
Ma come opera in concreto? Vediamo insieme le 4 fasi della Social Engineering.
Le 4 fasi della Social Engineering
Qualunque sia il mezzo utilizzato dal Social Engineer (telefono, e-mail, cellulare o di persona), è possibile distinguere 4 fasi, che riassumiamo come segue:
1. Raccolta delle informazioni (c.d. footprinting)
Prima di sferrare l’attacco vero e proprio, il primo step del Social Engineer è raccogliere tutte le informazioni possibili sulla vittima designata, che può essere una persona fisica o giuridica: dati e interessi personali, numero di telefono, e-mail, rete di contatti, organigramma aziendale, misure di sicurezza IT etc.
Informazioni, pubbliche o private, anche apparentemente insignificanti, ma che, nel loro insieme, vanno a definire il contesto personale, lavorativo e sociale del target (oppure il quadro della situazione aziendale).
Il Social Engineer è un ottimo osservatore: studia, cioè, anche il carattere, la personalità, il lavoro e le abitudini personali della vittima. In questo modo, è sempre un passo avanti rispetto ad essa, ne ha il controllo e la prevedibilità.
Questa fase può durare anche settimane.
Lo scopo è acquisire familiarità con la vittima, definire l’obiettivo criminale e le modalità di attacco (nonché lo specifico mezzo da utilizzare). A poco a poco, il Social Engineer si costruisce abilmente un personaggio, si finge qualcun altro, tessendo una relazione di fiducia con la vittima.
La psicologia alla base del convincimento (e dell’inganno), infatti, passa attraverso la capacità del Social Engineer di fingersi un’altra persona, impersonificare autorità o cariche autorevoli, mascherare stati d’animo. Solo in questo modo, il criminale acquista credibilità e, soprattutto, riesce a nascondersi e ad essere letteralmente chiunque: un tuo amico, un collega, un superiore, un’autorità che rispetti etc..
Sviluppo di una relazione con la vittima
Il passo successivo consiste nell’entrare in contatto e stabilire una relazione con la vittima, al fine di guadagnarne la fiducia (fondamentale per ottenere la sua collaborazione).
A tal fine, l’aggressore può sfruttare l’emotività della vittima oppure effettuare un trasferimento “a caldo”, c.d. warm-transfer.
Nel primo caso, il Social Engineer approfitta della componente emotiva del target per creare empatia e stabilire una relazione di fiducia e complicità (ad es. condividendo un problema comune o una situazione che entrambi hanno già sperimentato in passato).
Nel caso del trasferimento “a caldo”, invece, il criminale viene introdotto alla vittima tramite un terzo personaggio, che ha già ottenuto la sua fiducia (ad es. un collega, un amico, un superiore etc.). In questo modo, verificata la sua identità grazie al terzo attore in gioco, il Social Engineer riesce a bypassare facilmente le barriere di diffidenza, assicurandosi sin da subito la fiducia del target.
3. Manipolazione psicologica
In questa fase, il Social Engineer sfrutta le informazioni raccolte e la relazione costruita con la vittima per abbattere le difese (fisiche o psicologiche) di quest’ultima e sferrare l’attacco vero e proprio.
Come? Utilizzando la precedente fase di studio per influenzare, persuadere o ingannare la vittima, costruendo una menzogna (credibile), ad es. un problema all’account di posta elettronica o al conto corrente bancario che può essere tranquillamente risolto aggiornando le informazioni anagrafiche o confermando le credenziali di accesso.
Il target viene così manipolato dall’aggressore “fidato” affinché riveli dati o informazioni confidenziali (ad es. login, password etc.) oppure compia un’azione specifica (ad es. cliccare su un link, creare un account fasullo, compilare un form, inserire una chiavetta USB nel proprio computer etc.).
4. Esecuzione
In quest’ultima fase, il Social Engineer consolida il risultato ottenuto, stabilizzandolo nel modo più naturale possibile.
Il talento dell’aggressore consiste nel rimanere impassibile, mascherando emozioni in grado di tradire la realtà dei fatti (soprattutto se l’attacco si è svolto di persona).
La vittima viene così rassicurata, eliminando ogni dubbio o rischio di venire scoperti (ad es. cancellando i log del PC o eventuali tracce informatiche in grado di far risalire al colpevole).
Conclusione
Come abbiamo visto spesso l’uomo è l’anello più debole del sistema informatico. Per questo motivo se sei una PMI o un studio professionale è fondamentale proteggere i tuoi dati e applicazioni.
Gli attacchi di Social Engineering sono sempre più in aumento, soprattutto a causa delle innumerevoli informazioni personali disponibili in rete grazie ai social network e alla mancanza di preparazione e cultura informatica, che spesso porta ad ignorare (o peggio, sottovalutare) le minacce che non sfruttano le falle del sistema IT, ma la debolezza dell’uomo.
I tuoi dati sono al sicuro? Scopri subito, con il test di UnoCloud Backup: compila il box sulla destra e imparare a conoscere le minacce alla tua azienda.
Fonti: http://amslaurea.unibo.it/2701/1/melis_andrea_tesi.pdf