Non i bug o le vulnerabilità nascoste tra le righe di codice dei sistemi operativi o software utilizzati. Né, tanto meno, i vari malware che possono essere creati e diffusi tramite il dark web e il web "in chiaro". Il vero anello debole della "catena" della sicurezza informatica è rappresentato dall'utente: come dimostrano sempre più report redatti da analisti del settore, per gli hacker diventa sempre più semplice riuscire a bucare reti o sistemi informatici sfruttando la buona fede (che spesso si trasforma in creduloneria) degli internauti.
Per diffondere i malware più pericolosi – dai malware ai trojan horse responsabili delle botnet, tanto per fare due esempi – gli hacker si "affidano" proprio al fattore umano. Sono gli utenti, molto spesso inconsapevolmente, a rivestire il ruolo di vettore virale informatico: basta cliccare su una falsa pubblicità, leggere una fake news o scaricare un'app poco sicura per ritrovarsi con il computer bloccato da ransomware o all'interno di una botnet pronta a sferrare attacchi DDoS in tutto il mondo. O, nei casi peggiori, con il proprio account di posta elettronica o con il profilo social "bucato" dagli hacker. Insomma, a rischio sono le nostre informazioni personali.
Il merito, se così si può dire, è delle cosiddette tecniche di social engineering, metodologia di attacco informatico che non prevede utilizzo di malware o intrusioni in altri sistemi informatici. Tutto è affidato alla persuasione umana e alla psicologia.
Che cos'è la social engineering
Traducibile in italiano con ingegneria sociale, la social engineering è una tecnica di phishing molto avanzata, utilizzata soprattutto in casi di spionaggio industriale a livello internazionale e che sfrutta i principi dell'ingegneria sociale. L'obiettivo non è individuare i bug del sistema per riuscire ad hackerarlo ma, come detto, puntare sul fattore umano: può anche essere definita come l'arte di manipolare digitalmente le persone in modo che cedano volontariamente i loro dati personali (o permettano di accedere alle loro risorse informatiche).
Un social engineer(o ingegnere sociale ) studia la propria vittima per settimane, se non addirittura mesi, prima di riuscire a convincerlo di essere realmente un suo conoscente/amico e, a quel punto, sferrare l'attacco. Il suo lavoro può essere paragonato più a quello di uno psicologo piuttosto che a quello di un hacker: nelle fasi di studio, deve essere in grado di raccogliere/ottenere informazioni sulla vita della vittima così da poterle utilizzare successivamente per entrare in possesso dei dati e delle informazioni personali.
Come funziona l'ingegneria sociale
Un attacco di social engineering si compone di diverse fasi, solitamente raggruppate in tre macro-fasi. Inizialmente, come detto, l'attaccante deve studiare la vittima: deve reperire informazioni che siano utili per acquistare la sua fiducia e fargli abbassare la guardia. Una volta che si è entrati in confidenza, si possono mettere in tavola le "carte" che preparano all'attacco: l'hacker fa leva su alcuni aspetti psicologici della vittima, spingendolo a compiere le azioni desiderate. Solitamente si utilizza l'autorevolezza (dimostrandosi, ad esempio, esperti di un particolare settore come quello della sicurezza informatica), ma anche sentimenti come paura, senso di colpa e compassione possono tornare più che utili per i propri scopi. L'ultima tappa è quella relativa all'attacco informatico vero e proprio: grazie a tecniche di phishing o baiting si truffa definitivamente l'ignara vittima, costringendola a scaricare malware oppure cedere informazioni personali e riservate.
Quali sono gli attacchi di social engineering più comuni
Come già accennato nel paragrafo precedente, la stragrande maggioranza degli attacchi di ingegneria sociale che vengono messi a segno possono essere racchiusi in due grandi macro-categorie: da un lato si tratta di attacchi phishing, dall'altro di tentativi di baiting.
Nel primo caso, il più noto anche agli utenti comuni, il pirata informatico invierà messaggi (via posta elettronica o social network) utilizzando le informazioni raccolte nelle prime due fasi dell'ingegneria sociale. Potrà riguardare, ad esempio, un tema di cui vittima e carnefice avevano parlato tra di loro nella seconda fase; oppure contiene un invito implicito a compiere un'azione già descritta in precedenza. All'interno del messaggio l'utente-obiettivo potrà trovare un link verso un sito internet compromesso, oppure gli potranno essere richiesti dei dati personali da inviare via messaggio.
Il baiting (traducibile letteralmente con "adescamento") è invece preceduto da una fase nel corso della quale si crea un desiderio implicito nella vittima, soddisfatto (o almeno così deve apparire) successivamente grazie al contenuto di un messaggio di posta elettronica o di messaggistica istantanea. Si può trattare, ad esempio, di sconti molto elevati su smartphone e altri prodotti cercati da tempo, oppure informazioni riservate particolarmente appetibili. Insomma, una vera e propria esca seppur virtuale.
Come difendersi dalla social engineering
I consigli per difendersi da attacchi di ingegneria sociale si sovrappongono, a grandi linee, a quelli per non cadere vittima di phishing o baiting. Prima di tutto, evitare di cliccare su link che non conoscete (magari verificandoli prima con gli strumenti a disposizione online) o di fornire vostre informazioni personali – come l'indirizzo di casa, le password di accesso alla posta elettronica o al banking online – via email o messaggi su WhatsApp. Non bisogna mai fidarsi troppo, poi, di sconti eccessivi o di notizie apparentemente incredibili: in entrambi i casi ci sono moltissime probabilità che si tratti di falsi costruiti ad hoc. Cosa ancora più importante, non fidatevi di nessuno (o quasi) online: se dovesse contattarvi uno sconosciuto che sa sin troppe cose sul vostro conto, dubitate immediatamente della sua buona fede. Indagate e scoprite se si tratta effettivamente di chi dice di essere.