Gli esseri umani commettono errori e sono facilmente manipolabili. Da qui muove il concetto di social engineering, un genere di attacco estremamente frequente che differisce dagli attacchi alla sicurezza informatica per il fatto di andare a sfruttare alcune debolezze psicologiche di coloro che ne sono vittima. Di norma, ad essere presi di mira sono i dati sensibili, ad esempio quelli fiscali e bancari, le credenziali di accesso e altre informazioni di carattere personale.
Si tratta di un attacco allo stesso tempo molto pericoloso. I dati sensibili trafugati dagli hacker, infatti, possono non solo essere utilizzati per sottrarre risorse finanziarie agli attaccati, ma anche finire sul Dark Web. Nella parte più nascosta di Internet, infatti, è estremamente fiorente il commercio di queste informazioni, le quali possono essere utilizzate per creare identità false per crimini o frodi di vario genere.
Social engineering: di cosa si tratta
Per social engineering si intende un tipo di attacco psicologico il quale va a sfruttare la tendenza degli esseri umani a fare errori. Chi le conduce punta a manipolare le controparti spingendole infine a rilasciare informazioni personali o confidenziali. Le stesse che saranno poi usate per attacchi di vario genere a loro danno o nei confronti delle aziende in cui prestano il loro operato.
Le truffe di social engineering hanno luogo anche al di fuori del web, ad esempio tramite conversazioni telefoniche o incontri. Online, però, chi le conduce vede agevolato il proprio compito dalla maggiore facilità di acquisire le informazioni desiderate. Se nel mondo fisico può scattare un campanello d’allarme in base alla valutazione dell’interlocutore, ad esempio scrutando modo di fare e ascoltando il tono della voce, su Internet tutto ciò non è possibile.
La comunicazione virtuale, infatti, non è in grado di cogliere queste sfumature. Gli attaccanti possono sfruttare loghi e marchi riconosciuti e presentarsi per ciò che non sono, senza eccessivo timore di essere smascherati. Ecco perché il web è considerato un universo pericoloso.
Come funziona il social engineering?
Le tattiche di social engineering sono scandite da una serie ben precisa di passi, i seguenti:
- la raccolta da parte di un hacker delle informazioni di base, che viene indicata come profilatura, con conseguente individuazione del punto di accesso;
- la presa di contatto con la vittima designata, istituendo una vera e propria relazione online;
- una volta che sia avvertito come un soggetto affidabile, l’hacker può inoltrare la richiesta delle informazioni con cui scatenare il proprio attacco decisivo;
- acquisite le informazioni riservate e dopo averle utilizzate a suo vantaggio l’hacker scompare dalla circolazione.
Se questa è la tattica, tra le tecniche più comuni in questo ambito, occorre ricordare in particolare:
- il phishing, condotto simulando la corrispondenza di una compagnia conosciuta, solitamente una banca, un fornitore di servizi o una catena di supermercati. A volte si chiede all’utente di aggiornare il proprio account per sbloccarlo o tenerlo al riparo da pratiche insolite, in altre occasioni si prospetta un’iniziativa promozionale imperdibile. La paura o il desiderio di sfruttare l’occasione spingono gli interessati a cliccare sul link fraudolento, che condurrà inevitabilmente ad un sito falso, ove immettere le informazioni richieste. A quel punto per gli hacker il gioco è praticamente fatto;
- il baiting, incentrato sull’utilizzo di esche, con il preciso intento di attirare chi è più incline alla curiosità o all’avidità. Basta in effetti creare un sito che offre file musicali o video, i quali saranno stati trattati in modo da veicolare malware. Sarà questo programma malevolo ad entrare nel sistema per raccogliere i dati desiderati;
- lo scareware, altro malware ideato per indurre in timore la controparte. Creando un falso allarme si spinge l’utente ad installare un software fraudolento, ma apparentemente legittimo, oppure a visitare un sito a sua volta incaricato di infettarne il sistema. Il paradosso è che viene solitamente usato un messaggio che promette di risolvere il problema il quale, al contrario, verrà creato, con questo sistema.
Come contrastare il social engineering
Contrastare il social engineering non è particolarmente complicato. Basta infatti seguire alcune norme di buon senso, tra cui:
- fare clic soltanto sui siti e i file provenienti da fonti conosciute e scartare tutti gli altri;
- installare un buon antivirus, avendo cura di mantenerlo aggiornato;
- utilizzare meccanismi di protezione per le credenziali e-mail, a partire dall’autenticazione a due fattori.
Si tratta di accorgimenti estremamente semplici che, però, troppo spesso non sono tenuti in conto. Soprattutto chi sul proprio dispositivo ha un wallet che utilizza per il trading di criptovalute, dovrebbe seguirli, in modo da tagliare la strada agli hacker.