Alzi la mano chi non ha mai ricevuto un’e-mail o un sms che per un attimo lo hanno lasciato perplesso…un’intuizione cruciale che, se correttamente indirizzata e non ignorata, può concretamente fare la differenza tra un mancato ed un riuscito incidente informatico. La Polizia Postale e delle Telecomunicazioni segnala in aumento le attività di phishing e simili a danno delle aziende.
L’ingegneria sociale, nel campo della sicurezza informatica, si basa sullo studio del comportamento di una persona al fine di individuare i suoi punti deboli e utilizzare la tecnica migliore per carpire informazioni utili all’attaccante.
È stato provato, nel contesto di studi socio-psicologici, che l’essere umano è un soggetto a razionalità limitata, pertanto potrebbe costituire l’anello debole di qualsiasi catena di sicurezza informatica. L’attaccante cerca quindi di sfruttare caratteristiche comuni alla maggior parte delle persone, piuttosto che tipiche della persona nel mirino se si stia cercando di confezionare un attacco mirato, al fine di spingere le persone a compiere le azioni richieste. L’ingegneria sociale è quindi una tecnica molto usata da parte di hacker esperti e spie. Trovare il punto di cedimento di una persona è di fatto un’arte, alcune persone reagiscono all’autorità o al senso di urgenza, altre hanno bisogno di comprensione, per altre ancora la leva giusta è la paura o l’imbarazzo. Se ne possono trovare vari esempi tra i video in rete: uno fra tutti utilizza l’imbarazzo creato da una intervista improvvisata per strada che porta, attraverso una serie di domande, le persone a rivelare senza rendersene conto la propria password. Una persona che voglia sfruttare l’ingegneria sociale quindi deve saper fingere per ingannare gli altri sulla propria identità ed essere un fine osservatore.
L’attacco di tipo informatico inizia con la raccolta di informazioni sulla vittima per cercare di ricavare tutti gli indizi più utili a capire il bersaglio: e-mail, recapiti telefonici, account social personali ed aziendali. Dopo aver raccolto sufficienti informazioni l’attaccante cercherà di verificare se sono attendibili, ad esempio telefonando in azienda e chiedendo della vittima designata.
Se la vittima prescelta è una società a cui rubare denaro o segreti industriali i bersagli prediletti saranno gli assistenti degli Amministratori, poiché hanno accesso diretto alle informazioni più riservate ma sono allo stesso tempo sensibili all’autorità.
Sono molte le tecniche utilizzate dagli esperti di social engineering, una delle più comuni è phishing ovvero un attacco subdolo realizzato via email o chat (smishing) che punta ad un bacino ampio di utenti confidando sulle probabilità statistiche che un buon numero di persone “abbocchi all’amo”.
Esempio di phishing
L’esempio più classico di phishing consiste in una e-mail, apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione (web-mail, e-commerce ecc.). Il messaggio invita con una certa urgenza, causa problemi di registrazione o di altra natura, a fornire le credenziali riservate di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un link al sito web dell’istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato allestito ad arte per essere il più possibile identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.
Con la medesima modalità si può concretizzare un pericolo più subdolo che deriva dall’utilizzo dei messaggi di phishing per veicolare virus informatici. Le modalità di infezione sono diverse: la più diffusa è sempre il classico allegato al messaggio di posta elettronica; oltre ai file eseguibili, i virus si diffondono celati da false fatture o avvisi di consegna pacchi, che giungono in formato .doc o .pdf . Nel caso si tratti di un c.d. “financial malware” o di un “trojan banking”, il virus si attiverà per carpire dati finanziari. Altri tipi di virus si attivano allorquando sulla tastiera vengono inseriti “userid e password”, c.d. “keylogging”, in questo caso i criminali sono in possesso delle chiavi di accesso agli account di posta elettronica o di e-commerce.
Awareness
La strategia migliore per difendersi dagli attacchi di ingegneria sociale è formare il proprio personale a riconoscere i campanelli di allarme ed attivare i corretti comportamenti per evitare un incidente o per rispondere in modo efficace e resiliente al concretizzarsi di una minaccia. Nel caso dell’ingegneria sociale i peggiori nemici sono la poca conoscenza delle dinamiche di queste attività criminali, che toglie strumenti di prevenzione alle persone, e la falsa confidenza che si crea dall’abitudine all’utilizzo quotidiano di uno strumento come l’e-mail.
Per approfondire la tematica del phishing visita https://www.axsym.it/phishawareness.
