Purtroppo il social engineering è un fenomeno ben noto a migliaia di utenti Internet. Il termine è però polivalente, considerato che viene utilizzato per identificare diverse truffe che viaggiano sul web, spesso legandosi a tecniche hacker più o meno avanzate.
Tutti gli attacchi che rientrano sotto il cappello dell’ingegneria sociale fondamentalmente puntano allo stesso tipo di macro-obiettivo: ottenere dati personali e informazioni sensibili della vittima.
C’è poi un ulteriore elemento comune, di natura quasi concettuale. L’ingegneria sociale quasi sempre sfrutta malintesi e quid pro quo: punta alla mistificazione e all’inganno della vittima, spacciando qualcosa per qualcos’altro.
Allo stesso tempo le varie attività di social engineering, più o meno lecite, si distinguono in base a metodologie anche molto diverse tra loro. Ad esempio alcune passano per i social network, altre invece ricorrono a dispositivi fisici infetti come le chiavette USB.
Per imparare a difendersi dal social engineering bisogna dunque innanzitutto distinguere di attacco in attacco. Solo in questo modo è possibile applicare strategie difensive ed eventuali contromosse mirate.
Cosa sono pretexting e pharming
Credits Shutterstock
Il pretexting è l’esempio perfetto per comprendere quanto siano pericolose le attività legate al social engineering. Questo genere di attacco usa l’inganno per portare la vittima verso una condizione di vulnerabilità.
Si tratta di una truffa particolarmente subdola, considerato che spinge la vittima a fornire di sua sponte informazioni private e preziose. Informazioni che, in un contesto normale, non verrebbero mai rivelate o addirittura condivise.
La manipolazione mentale è la cifra distintiva del pretexting, che poi può svilupparsi in tante singole modalità. C’è chi punta a costruire un rapporto di fiducia con la vittima: spacciandosi per un conoscente, piuttosto che per il fornitore di un servizio particolarmente vantaggioso.
Ma c’è anche chi trova più efficace costruire una comunicazione all’insegna della minaccia. È il caso ad esempio di coloro che simulano messaggi provenienti dalle forze dell’ordine, annunciando multe o mandati di comparizione.
Pretexting e pharming sono due truffe distinte: la prima ricorre soprattutto all’inganno, la seconda a tecniche di hacking
Anche il pharming è una truffa di ingegneria sociale, ma si avvale anche di tecniche hacker complesse. Una su tutte il cracking, ovvero la capacità di forzare un sistema informatico per accedere alle informazioni che custodisce.
Generalmente il pharming viene distinto in base al tipo di obiettivo puntato dall’hacker. È infatti possibile che il malintenzionato punti a un server DNS di un Provider, così come è possibile che punti a un dispositivo privato.
Il pharming che attacca i server DNS degli Internet Service provider di solito modifica gli abbinamenti tra dominio e indirizzo IP. In questo modo la vittima, pur digitando un URL apparentemente corretto, finisce per atterrare su un server compromesso.
Il pharming che attacca i PC tende invece a installare trojan o altri file malevoli che applicheranno variazioni dei file hosts. In alternativa vanno a modificare i registri di sistema, andando a inserire nuovi server DNS predefiniti.
Anche in questo caso il risultato finale è lo stesso: la vittima finisce per utilizzare il server dell’hacker, condividendo credenziali preziose senza rendersene conto.
Cosa sono baiting e tailgating
Credits Shutterstock
L’elenco delle truffe di ingegneria sociale più pericolose prosegue con baiting e tailgating: altri due attacchi basati sull’inganno, che però si sviluppano tramite metodologie ben distinte.
La caratteristica che contraddistingue il baiting è che il malintenzionato sferra il proprio attacco utilizzando un dispositivo di memorizzazione infetto: ad esempio una chiavetta USB, ma anche un hard disk esterno.
Il dispositivo di memorizzazione viene opportunamente lasciato incustodito. Lo scopo è far sì che la vittima lo raccolga e provi a indagare sul suo contenuto, connettendolo a un PC.
Il baiting usa dispositivi di memorizzazione infetti. Il tailgating prevede la presenza fisica dell’hacker
Le chiavette USB utilizzate per il baiting contengono malware che si auto eseguono alla prima installazione. A questo punto il dispositivo della vittima risulta compromesso e il cyber criminale può navigare al suo interno a proprio piacimento.
Il baiting di solito prende di mira aziende, organizzazioni e, più in generale, realtà con più postazioni PC pronte per essere infettate. Un’altra minaccia legata in qualche modo al social engineering e che prende di mira i luoghi di lavoro è il tailgating (talvolta noto col nome di piggybacking).
Il tailgating è però un’azione innanzitutto fisica. In questo caso infatti il malintenzionato è presente nelle immediate vicinanze della vittima. Spesso e volentieri finisce letteralmente per seguirla, prestando attenzione a non essere scoperto.
Lo scopo primario del tailgating è individuare un dispositivo incustodito e provare a forzarlo. L’obiettivo finale generalmente è l’ottenimento di dati sensibili o di informazioni personali da usare a scopo ricattatorio.
Come difendersi dal social engineering
Credits Shutterstock
Le differenze metodologiche che caratterizzano gli attacchi di ingegneria sociale descritti nei capoversi precedenti aiutano a capire che non esiste un unico modo corretto per difendersi dal social engineering.
Tutto sta nell’individuare la soluzione più adatta a contrastare la singola minaccia. Nel caso del pretexting e del tailgating occorre innanzitutto prestare grandissima attenzione: ai messaggi che riceviamo sui social network, ma anche alle persone che ci circondano sul posto di lavoro.
Anche il baiting può essere prevenuto ricorrendo ad attenzione e buon senso. Da questo punto di vista il miglior consiglio consiste nell’evitare di collegare dispositivi sospetti al proprio pc, affidando il loro controllo a personale qualificato.
Nel caso del pharming esistono invece tecnologie e strumenti che possono aiutare gli utenti a migliorare il livello di sicurezza informatica durante la navigazione.
Ad esempio è consigliabile aggiornare costantemente firewall e antivirus del proprio dispositivo. Così come è consigliabile visitare soltanto siti sicuri, meglio se dotati di certificato digitale emesso da autorità riconosciute.
Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web