• Valerio Maria Murgolo

Social Engineering, nuovi strumenti malevoli

Cosa si intende per social engineering?

Quali sono le principali tecniche?

Quali sono le principali difese?

Per social engineering si indica lo studio del comportamento delle persone con lo scopo di individuare le debolezze o punti deboli, per poterle manipolare e carpirne informazioni utili, come numero di carta di credito, di conto corrente, accesso ai social network, password, e-mail e tanto altro.


Si tratta quindi di tecniche che sfruttano la psicologia umana per estorcere informazioni con cui truffare utenti o rubarne l’identità.

Studi recenti hanno dimostrato come questi attacchi si stanno rivolgendo soprattutto agli utenti di smartphone, perché il principale device utilizzato oggi, perché solitamente si interagisce in modo distratto e impulsivo, ma anche perché spesso i dispositivi mobili non mostrano sempre tutte le informazioni legate ad un sito o e-mail, hanno schermi piccoli e le interazioni sono semplificate.


Le tecniche di social engineering sfruttano i “bias cognitivi”, ovvero meccanismi decisionali che portano le persone a fare scelte basate su pregiudizi o preconcetti.


Le principali tecniche di persuasione sono state classificate da Robert Cialdini nel suo celebre libro, e sono:


1. Reciprocità, la tendenza ad essere persuasi da un messaggio che contiene un dono o un omaggio che ci fa sentire in debito e porta a restituire un favore.


2. Impegno e coerenza, si basa sul concetto di iniziare qualcosa di poco impegnativo per poi proseguire in un impegno più importante.


3. Riprova sociale, è la tendenza a fidarci di ciò che dicono gli altri.


4. Simpatia, la tendenza ad essere persuasi da una figura piacente, persuasiva o con affinità comuni.


5. Autorità, se il messaggio giunge da qualcuno che reputiamo autorevole.


6. Scarsità, quando una risorsa ci arriva come rara e poco disponibile, siamo spinti dal desiderio di possederla.


A queste nel tempo è da aggiungere la tecnica dell’impersonation, quando si utilizza una falsa identità con l’obiettivo ingannare la vittima per estorcere informazioni utili.


Un attacco di social engineering si fonda su 4 fasi:


1. Raccolta delle informazioni, denominata footprinting, consiste nello studiare il soggetto e raccogliere tutte le informazioni utili, come per esempio dai social network, per comprendere gli interessi, le debolezze, le abitudini e i comportamenti della vittima.


2. Sviluppo della relazione, che consiste nel rapportarsi con la vittima per creare fiducia ed empatia, alcune volte si sviluppa con il metodo del warm-transfer, o trasferimento a caldo, quando il contatto arriva da un amico o collega, bypassando la diffidenza iniziale.


3. Manipolazione psicologica, il momento dell’attacco, quando il social engineer crea una menzogna credibile per far compiere un’azione alla vittima, sfruttando le informazioni raccolte e la relazione instaurata.


4. Esecuzione, il momento in cui si consolida la truffa e vengono cancellate tutte le tracce informatiche.


Le principali tecniche di social engineering sono:


· Phishing, basata sull’invio massivo di e-mail o messaggi, con riferimento a siti per noi noti, in cui è presente un link o un allegato che sposta l’utente su un sito fake oppure attiva un malware all’interno del device.


· Spear phishing, la procedura è la stessa del precedente, però molto più mirata e accurata perché rivolta ad un personaggio noto, politico o istituzionale, e quindi molto efficace.


· Man in the middle, quando l’aggressore intercetta e manipola il traffico internet, inserendosi all’interno della comunicazione tra due interlocutori, senza che questi se ne accorgano, con l’obiettivo far effettuare un pagamento o raccogliere informazioni riservate.


· Ceo Fraud, è l’invio di una e-mail proveniente apparentemente da un ruolo apicale, il Ceo per esempio, in cui si richiede un trasferimento di denaro, il target è manager o dirigenti con potere di effettuare trasferimenti di denaro.


Chiudiamo chiarendo che tutelarsi pienamente da un attacco di social engineering non è possibile, queste organizzazioni sono molto preparate e sempre alla ricerca di nuove soluzioni, è possibile, però, adoperare alcune misure preventive, sono:


· Controllare sempre l’Url del sito che si sta visitando, l’indirizzo e-mail da cui riceviamo il messaggio, scorrere con il mouse sul link prima di cliccare, si può vedere l’indirizzo


· Non aprire allegati o file eseguibili se non si è sicuri della fonte di provenienza


· Non diffondere informazioni sensibili se non si è verificata l’attendibilità del sito

· Non aprire e-mail sospette o se hai dubbi


· Investi tempo in consapevolezza.


Quindi, come sempre, formati, informati e non farti fregare…