Sfruttare le debolezze e le emozioni umane per mettere a segno attacchi hacker. Così possiamo riassumere il fenomeno del social engineering, noto anche come ingegneria sociale, che viene utilizzato dai cybercriminali per sottrarre informazioni sensibili, come password e dati bancari, a malcapitati utenti.
Difendersi dal social engineering non è facile, perché fa leva proprio sul fattore umano delle vittime, che le porta a sottovalutare il pericolo di una mail o di un link che possono contenere virus e malware
Sono quindi esempi di ingegneria sociale le e-mail che sembrano provenire da contatti fidati e che invitano a scaricare un file dannoso, oppure quelle di phishing che invitano l'utente ad accedere ad un suo account online. Ecco come riconoscere le principali tecniche di social engineering e difendersi.
Social engineering: cos’è e come funziona
L’ingegneria sociale è un insieme di tecniche che vengono utilizzate dai cybercriminali per manipolare e raggirare le loro vittime, convincendole con l’inganno a farsi rivelare dati sensibili e sfruttando quello che viene definito come “fattore umano”.
Si pensi a una situazione apparentemente innocua, come un estraneo che ci incontra per strada: se ci farà una domanda, tenderemo istintivamente a rispondere, soprattutto se ci appare come una persona “normale”.
La stessa cosa accade nel mondo online: quando un contatto invia una e-mail in cui chiede di scaricare un allegato, o di aprire un link per vedere una foto, istintivamente si tenderà ad aprirla, spinti dalla curiosità di vedere cosa riguarda la comunicazione.
Dietro al contatto ritenuto fidato, però, potrebbe celarsi un cybercriminale, che userà il “fattore umano” dell’utente per spingerlo ad aprire il file o fare clic sul link che avvierà il download di file pericoloso
Il social engineering punta quindi a generare nella vittima un’emozione che la spinga ad abbassare le sue difese, così da superare tutti i livelli di sicurezza e riuscire a sottrarre le informazioni necessarie a mettere a segno un attacco hacker. Sfruttando le debolezze umane, gli hacker riescono così a rubare credenziali di accesso agli account, numeri di telefono, identità digitali e dati bancari.
Social engineering: dall’antichità agli hacker
Le tecniche di ingegneria sociale non nascono con l’era di Internet, ma da molto prima: sono alla base di tutte le attività dei truffatori. Una delle truffe più antiche risale al 1580 ed è chiamata la truffa del “prigioniero spagnolo”: la ricca vittima viene contattata da una persona che sostiene di rappresentare un ricco e nobile proprietario terriero e la sua bellissima figlia, che sono tenuti prigionieri illegalmente in Spagna sotto falsa identità. La vittima viene convinta a consegnare denaro all’intermediario così da corrompere le guardie, permettere al ricco proprietario terriero di fuggire e poi ricompensarlo grazie alle sue ingenti risorse finanziarie.
Ogni volta che la vittima consegna il denaro, però, qualcosa va storto e gli verrà chiesto altro denaro, fino a quando non verrà derubata di tutti i suoi averi o si rifiuterà di continuare a pagare
Il “fattore umano” che permette ai truffatori di agire può essere di diverso tipo. C’è chi si lascia raggirare perché è dotato di qualità come gentilezza, compassione e senso di giustizia. Altri invece lo fanno per avidità, sperando nei facili profitti promessi. In entrambi i casi, si viene facilmente raggirati. La truffa del prigioniero spagnolo a molti sembrerà già sentita, probabilmente, perché nel mondo online è stata sostituita dal “principe nigeriano”, che chiede via e-mail soldi alle sue vittime per sbloccare millantati tesori da condividere poi con chi lo aiuterà.
Social engineering: come riconoscerlo e difendersi
Le tecniche di social engineering permettono ai cybercriminali di mettere a segno tanti e diversi tipi di attacchi, che spesso si rivelano difficili da riconoscere. C’è però un tratto comune che può mettere in guardia gli utenti, ed è il senso di urgenza: alla vittima viene richiesto di scaricare con urgenza un file, aprire un link oppure recuperare le credenziali del suo account perché altrimenti qualcosa di brutto accadrà a breve.
Il messaggio subliminale che viene inviato, di volta in volta in forme diverse, è “devi agire subito, non hai tempo di fermarti a pensare”
Gli hacker puntano proprio su questo aspetto, cioè che la vittima cada presa dalla fretta non riconosca il tranello. Alcuni esempi di classici attacchi hacker che sfruttano l’ingegneria sociale sono le e-mail di phishing, che sembrano provenire da un mittente attendibile e chiedono di accedere subito al proprio account personale per risolvere un problema o evitarne il blocco. La vittima finisce così su un sito fotocopia del servizio a cui crede di accedere, rivelando le sue credenziali che verranno poi utilizzate per scopi illeciti.
Il social engineering non passa solo dal web, ma ha moltefacce. Gli attacchi possono avvenire anche telefonicamente, ad esempio quando un dipendente di un’azienda riceve una chiamata da un presunto esperto di un supporto tecnico che chiede se abbiano fatto qualcosa che non avrebbero dovuto, come aprire un sito web non permesso, e li convince ad aprire e-mail con allegati contenenti un virus, oppure a rivelare le credenziali di accesso alla rete aziendale.
Le facce dell'ingegneria sociale sono molte e per riconoscerle è necessario fare molta attenzione e non farsi trovare impreparati
Il modo migliore per difendersi, infatti, è avere consapevolezza delle proprie emozioni e cercare di non lasciarsi prendere dall’urgenza di una risposta. Per questo motivo, quando si ricevono e-mail di questo tipo è sempre bene verificare che il mittente sia attendibile e, nel caso, procedere a ottenere conferme tramite canali di contatto diversi, oltre che applicare tutte le buone pratiche di sicurezza online previste per quando si ricevono e-mail sospette.