Ingegneria sociale

Da Wikipedia, l'enciclopedia libera.
Nota disambigua.svg Disambiguazione – Se stai cercando gli sforzi per influenzare le società su larga scala, vedi Ingegneria sociale (scienze politiche).
Kevin Mitnick, autore dei libri L'arte dell'inganno e L'arte dell'intrusione

Nel campo della sicurezza informatica, l'ingegneria sociale (dall'inglese social engineering) è lo studio del comportamento individuale di una persona al fine di carpire informazioni utili.

Questa tecnica è anche un metodo (improprio) di crittanalisi quando è usata su una persona che conosce la chiave crittografica di un sistema e viene usata anche dalla polizia. Similmente al cosiddetto metodo del tubo di gomma (il quale è però una forma di tortura) può essere, secondo gli esperti, un modo sorprendentemente efficiente per ottenere la chiave, soprattutto se comparato ad altri metodi crittanalitici.

Con l'evoluzione del software, l'uomo ha migliorato i programmi a tal punto che essi presentano pochi bug (errori che i programmatori generalmente commettono quando creano un software). Per un cracker sarebbe impossibile attaccare un sistema informatico in cui non riesce a trovare bug. Quando ciò accade l'unico modo che il cracker ha per procurarsi le informazioni di cui necessita è quello di attuare un attacco di ingegneria sociale.

Un ingegnere sociale (social engineer) per definirsi tale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire.
Un social engineer è molto bravo a nascondere la propria identità, fingendosi un'altra persona: in tal modo egli riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale. Nel caso sia un cracker, può ricavare informazioni attinenti ad un sistema informatico. Il social engineering è quindi una tecnica per ricavare informazioni molto usata dagli hacker esperti e dalle spie, e dato che comporta (nell'ultima fase dell'attacco) il rapporto più diretto con la vittima, questa tecnica è una delle più importanti per carpire informazioni. In molti casi il cosiddetto ingegnere potrà riuscire a ricavare tutto ciò che gli serve dalla vittima ignara.

Tecniche psicologiche[modifica | modifica wikitesto]

Le tecniche psicologiche di ingegneria sociale utilizzate sono molteplici. Le più comuni sono: autorevolezza, colpa, panico, ignoranza, desiderio, avidità e buoni sentimenti. Tutte queste, se conosciute, a loro volta possono aiutare la vittima ad evitare di essere attaccati ed è dunque importante nel mondo della sicurezza informatica tenerle in considerazione per aumentare la consapevolezza degli utilizzatori della rete.[1]

Autorevolezza[modifica | modifica wikitesto]

Se un'informazione o un comando viene comunicato attraverso un messaggio con caratteristiche tipiche di una certa autorità (es: azienda, ente governativo, banca), questo può essere interpretato e preso in considerazione con una certa importanza a seconda dell'ente interessato. Più un attaccante simula un messaggio di questo tipo mettendo anche immagini o particolarità tipiche, più l'utente sarà vulnerabile nell'accettare e seguire le azioni illustrate nel messaggio. Si può applicare in ambiti come email o siti web (phishing), dove l'attacco punta tutto sul creare un ambiente di visualizzazione il più simile possibile a quello dell'autorità coinvolta (loghi, slogan, azioni da svolgere).

Colpa[modifica | modifica wikitesto]

Facendo sentire in colpa un determinato utente, lo si spingerà ulteriormente a risolvere la situazione scomoda con qualsiasi mezzo a sua disposizione. Conoscendo soprattutto le debolezze della persona, il social engineer è in grado di creare una condizione per cui l'utente si sente in colpa e dunque vincolato nel prendere una scelta, tanto da fare azioni particolari e inconsuete. Per esempio si può far credere alla persona di essere a conoscenza dei suoi download illeciti da Internet e di obbligarlo a pagare una multa online in modo da reperire non solo i soldi, ma anche i dati associati al pagamento.

Panico[modifica | modifica wikitesto]

Un altro strumento utilizzato nel social engineering è il panico. Creando una situazione di questo genere, è più semplice convincere una persona a compiere un'azione che sembra possa risolvere un problema che ha sconvolto un contesto tranquillo e normale della vittima (consuetudine). Cadendo nel panico si cerca in tutti i modi di risolvere la questione anche con atti sconsiderati che ci sembrano i più veloci ed efficaci. Per esempio, tramite una mail si viene avvisati di un nuovo e pericoloso virus che è in grado di mettere fuori uso un qualsiasi sistema e che nel messaggio è presente un allegato che ci permette di difenderci da questo attacco. Tale file potrebbe contenere facilmente a sua volta un malware o altro, in grado di insinuarsi nella rete locale.

Ignoranza[modifica | modifica wikitesto]

Nel mondo di Internet è difficile essere a conoscenza di tutti gli strumenti software e hardware utilizzati. In questo modo gli utenti possono trovarsi disorientati nel caso un messaggio contenga una terminologia ricercata e molto tecnica, creando i presupposti per portare la vittima a fare le azioni consigliate nel testo senza curarsi del vero significato del messaggio. Dunque diventa importante documentarsi prima di attuare azioni sconsiderate di fronte a messaggi complessi e chiedere consiglio ad utenti più esperti e molto preparati.

Desiderio[modifica | modifica wikitesto]

Il desiderio porta molto spesso a navigare in parti di Internet che sono appetibili per l'utente. Soprattutto per le persone di genere maschile, è molto facile far presa con contenuti di tipo pornografico.[2] Un esempio molto famoso si è presentato nel diffuso social network Facebook, dove dall'inizio del 2015 sono comparsi link a finti video pornografici sulla bacheca virtuale di alcuni utenti, su cui venivano citati anche alcuni amici dei malcapitati. Il collegamento portava ad un malware che si insinuava nei dispositivi e rubava dati riservati delle persone attaccate.[3] Il tutto è stato reso noto anche dalla Polizia di Stato italiana in un comunicato del 16/02/2015 di cui viene riportato un breve estratto: "Si tratta di un programma "malevolo" che ha la capacità di sottrarre i dati sensibili. Questo virus, inoltre, si può trasmettere da contatto a contatto, ad esempio si può insinuare nella chat, quindi se chattate con un amico "infetto" potreste essere infettati anche voi."[4]

Avidità[modifica | modifica wikitesto]

L'utente può trovare delle offerte che sembrano imperdibili per acquisire un oggetto in particolare. Se una cosa sembra essere facilmente accessibile, in molti casi questa può essere solo una via per far abboccare qualche malcapitato, che si sente coinvolto in un acquisto facile ed eccezionale. Anche in questo caso si è presentato un attacco, comparso per la prima volta nel 2012, all'interno del social network Facebook. Si è diffuso un evento riguardo ad un giorno casuale in cui l'azienda Ray-Ban avrebbe messo in vendita degli occhiali a basso costo, evidenziando dunque un'opportunità incredibile per gli acquirenti per risparmiare facilmente. L'evento si è rivelato essere un falso in cui ovviamente non era coinvolto il famoso produttore di occhiali, e conteneva un link che portava a scaricare un malware in grado di accedere ai dati personali. L'attacco è stato attuato anche in diverse maniere, sempre mantenendo il sistema di tagging a scopo di diffondere il malware.[5]

Compassione, gratitudine e buoni sentimenti[modifica | modifica wikitesto]

Per acquisire fiducia e gratitudine l'ingegnere sociale può fingere di fornire un servizio o un aiuto ad una persona qualsiasi in azienda (per esempio simulando un "help desk"). La vittima, sentendosi al sicuro, farà tutto quello che le viene detto mettendo a disposizione informazioni importanti per l'attaccante. Viceversa, se il social engineer facesse finta di essere un collega e di trovarsi in difficoltà, la vittima potrebbe mostrare compassione e fornire le informazioni necessarie pur di aiutarlo.[6]

Facendo leva sui buoni sentimenti si può giungere a condurre alcune persone a fare donazioni o a scaricare applicazioni particolari. Mentre nel genere maschile si fa' affidamento alla tecnica del desiderio, in questo caso è molto più semplice far breccia sull'altro sesso attraverso finte organizzazioni benefiche o siti e applicazioni riguardanti l'amore e la vita di coppia. Un esempio famoso di tale tipologia di attacco è il virus ILOVEYOU diffusosi nel 2000, in cui si utilizzava un allegato all'interno di una mail il quale sembrava essere un semplice file di testo con titolo "LOVE-LETTER-FOR-YOU.TXT", ma in realtà era un comune file eseguibile.

Strumenti e metodi di attacco[modifica | modifica wikitesto]

Gli strumenti fisici utilizzati nell'ingegneria sociale sono vari, ma il principale rimane il telefono, attraverso il quale è possibile utilizzare il linguaggio desiderato e l'approccio esatto per aggirare il malcapitato. Anche email e siti web vengono utilizzati nell'attacco, creando un contesto in cui le immagini e il messaggio possono portare il malintenzionato a ottenere dati riservati con l'utilizzo di web form o applicazioni vere e proprie. Con la diffusione dei social network degli ultimi anni, l'ingegneria sociale è tornata a svilupparsi, avvantaggiandosi anche di sistemi semantici o crawler di informazioni.[7] Ultimi strumenti non meno importanti sono semplicemente la voce e il vocabolario dell'ingegnere sociale, che attraverso lo studio del sistema da attaccare riesce ad adattarsi alla situazione in cui deve lavorare a scopo di non destare sospetti.[8]

Le metodologie di attacco sfruttano principalmente tali tecnologie, avvantaggiandosi di tecniche psicologiche.[9]

Pretexting[modifica | modifica wikitesto]

Il pretexting ("creazione di un pretesto") consiste nel creare una falsa ambientazione con lo scopo di spingere un utente a divulgare delle informazioni o a commettere azioni che non sarebbero consuete nel contesto in cui opera. L'attaccante si immedesima in una certa entità, sfruttando alcuni dati acquisiti in precedenza (data di nascita, identificativo della carta d'identità,...), per entrare maggiormente nella mente della vittima. In alcuni casi, l'attaccante può simulare il comportamento di una certa autorità importante come polizia o banca, costringendo maggiormente la vittima a rispondere a tutte le domande che gli vengono poste. Se il tutto venisse fatto per telefono, un tono autoritario creerebbe uno scenario ancora più coinvolgente per la vittima.[10]

Phishing e vishing[modifica | modifica wikitesto]

Il phishing è una tecnica per ottenere informazioni in maniera fraudolenta. Solitamente si invia una mail alla vittima, facendola assomigliare il più possibile ad un messaggio inviato da una certa compagnia. La persona viene spinta a scaricare un allegato che presenta un malware o a cliccare un link interno alla mail che porta ad una pagina web molto simile a quella originale del fornitore del servizio, presentando un form da compilare dove in genere sono presenti campi come codice PIN bancario o password. Nell'ambito dell'ingegneria sociale è di uso frequente il phishing telefonico, anche chiamato vishing, nel quale viene simulato un contesto particolare come un call center, attraverso il quale è possibile avere maggiore fiducia da parte della persona coinvolta nell'attacco.

Della tecnica appena descritta è stato un grosso esponente Kevin Mitnick durante le sue scorrerie informatiche. Su questo tema Mitnick ha scritto un libro, L'arte dell'inganno.

Baiting e spazzatura informatica[modifica | modifica wikitesto]

Altro mezzo diffuso è il baiting che consiste, come si può intuire dal nome, nell'utilizzare un'esca per una persona in grado di accedere ad un determinato sistema (una sorta di cavallo di Troia). In pratica viene lasciato incustodito in un luogo comune (ingresso dell'azienda, bagno pubblico) un supporto di memorizzazione come una chiavetta USB o un hard disk in modo da stimolare la curiosità della vittima che con una certa probabilità prenderà l'oggetto (facendo leva dunque su desiderio e avidità). In seguito lo strumento potrà essere utilizzato nel sistema nel quale lavora l'attore coinvolto, accedendo così molto più facilmente ai dati personali o aziendali essendo già all'interno della rete locale (LAN).

Altro metodo utile per ottenere informazioni sulle persone, è attraverso la spazzatura. Molto spesso l'hardware viene buttato senza curarsi del fatto che i dati possano essere ancora presenti nel dispositivo e dunque ricavabili da altri. Per esempio, per cancellare i dati da un hard disk non basta fare una formattazione completa, ma è necessario applicare azioni fisiche sul dispositivo, come creare dei veri e propri buchi sui dischi. Bisogna ricorrere a queste misure drastiche poiché è possibile ricavare i dati attraverso software avanzati di ricostruzione dei dati, in grado di ricavare i dati eliminati anche in seguito a più formattazioni.[11]

Altri metodi[modifica | modifica wikitesto]

Con il Quid pro quo il social engineer fa alcune chiamate casuali a diverse compagnie fingendo di garantire un supporto tecnico. Nel caso in cui la vittima sia a conoscenza di un problema che può aver provocato all'interno del contesto in cui lavora, sarà maggiormente possibile fargli seguire tutti i passaggi che portano all'acquisizione di dati utili. Si può notare che il senso di colpa in questo caso, spinge la persona coinvolta a fare tutto quello che gli viene detto dall'attaccante. Un esperimento a riguardo è stato condotto nel 2003 dalla information security ed è stato constatato che il 90% delle persone coinvolte (con lavoro da ufficio) era disposto a comunicare la password del proprio PC in cambio di una penna economica.[12] Un caso interessante si presentò anche nel 2007 nella filiale ABN Amro ad Anversa, quando un truffatore riuscì ad impadronirsi di diamanti e gemme dal valore di 120000 carati, non attraverso strumenti tecnologici, ma acquistando cioccolatini per il personale e presentandosi come una persona gentile e disponibile. In questo modo ottenne la fiducia dei dipendenti e le chiavi del posto dove erano custoditi i gioielli.[13]

Nel caso in cui un attaccante voglia accedere fisicamente ad un luogo sicuro, può essere necessario avere una chiave particolare o una sorta di riconoscimento come una carta RFID. A questo scopo è possibile applicare la tecnica del tailgating, che consiste nel seguire la persona che accede a tale locazione per provare a irrompere in quel luogo facendo finta di aver smarrito la chiave oppure chiedendo semplicemente una cortesia. In alcuni casi, l'attaccante può anche essere munito di un identificativo falso.[14]

Il furto di materiale o informazioni può avvenire anche per dirottamento (diversion theft). Il metodo viene anche chiamato "Corner Game"[15] ed è originario della parte Est di Londra. Consiste semplicemente nel variare la destinazione del corriere senza che lui possa accorgersene, ricavandone dunque il materiale di interesse. Allo stesso modo il tutto è applicabile anche su Internet, variando il destinatario di un determinato messaggio.

Le fasi dell'attacco[modifica | modifica wikitesto]

Il social engineer comincia con il raccogliere informazioni sulla vittima per poi arrivare all'attacco vero e proprio. Durante la prima fase (che può richiedere anche alcune settimane di analisi), l'ingegnere cercherà di ricavare tutte le informazioni di cui necessita sul suo bersaglio: e-mail, recapiti telefonici, ecc. Superata questa fase, detta footprinting, l'ingegnere passerà alla fase successiva, cioè quella che gli permetterà di verificare se le informazioni che ha ricavato sono più o meno attendibili, anche telefonando all'azienda del bersaglio e chiedendo cortesemente di parlare con la vittima. La fase più importante, quella che determinerà il successo dell'attacco, è lo studio dello stile vocale della persona per la quale vuole spacciarsi (ad esempio cercando di evitare in tutti i modi l'utilizzo di espressioni dialettali e cercando di essere quanto più naturale possibile, sempre utilizzando un tono neutro e cortese). In questa fase l'attaccante avrà sempre vicino a sé i propri appunti con tutte le informazioni raccolte nella fase di footprinting, dimostrandosi pertanto sicuro nel caso gli venisse posta qualche domanda.

La ricerca si suddivide quindi in due parti: di contesto e cumulativa. Nella prima si trovano tutte quelle informazioni che sono pubbliche e dunque facilmente reperibili, per capire che domande rivolgere e soprattutto a chi. Nella seconda parte si raccolgono tutti questi dati e si utilizzano per fare delle richieste maggiormente complesse alla vittima, includendo anche nomi del personale, competenze e tutto il necessario per acquisire più fiducia possibile.[16]

Contromisure[modifica | modifica wikitesto]

Non bisogna fare affidamento sulle tecnologie fisiche adottate per la sicurezza informatica come firewall o antivirus. In questo caso l'anello debole è l'essere umano, dunque la consapevolezza e la diffidenza diventano armi importanti nella difesa contro il social engineering.

Per limitare gli attacchi di questo tipo, in ambito aziendale, si possono seguire questi passaggi:

  • Creare un'infrastruttura di fiducia per gli impiegati e il resto del personale (specificare dove, come, quando,cda chi devono essere trattati i dati).
  • Capire quali informazioni sono sensibili e valutare il loro livello di esposizione verso l'esterno.
  • Stabilire protocolli di sicurezza, politiche e procedure per i dati sensibili.
  • Allenare il personale di interesse nelle procedure di sicurezza di interesse.
  • Testare casualmente, senza riferirlo, tale infrastruttura.
  • Manipolare e revisionare tutti i passaggi.[17]
  • Utilizzare un servizio di gestione dei rifiuti con depositi chiusi con lucchetti apribili solamente dal personale di pulizia autorizzato (i rifiuti informatici possono essere utili per i possibili attaccanti).

A livello personale, sono consigliate inoltre tali contromisure:[18]

  • Diffidare da mail o telefonate non richieste da persone che chiedono informazioni su dipendenti o riguardo l'azienda (anche finanziarie). Documentarsi prima su chi richiede tali dati (autorità).
  • Non diffondere informazioni sensibili nella rete senza verificare il livello di sicurezza e attendibilità del sito.
  • Controllare sempre la URL del sito web, poiché potrebbe contenere alcune lievi differenze rispetto all'originale.
  • Documentarsi meglio sul mittente del messaggio, senza far riferimento solamente alle informazioni di contatto, ma andando a ricercare i possibili attacchi nelle liste di phishing trovabili tramite motore di ricerca.
  • Evitare di aprire allegati o file eseguibili di dubbia provenienza.

Se si è a conoscenza di essere stati vittima di un attacco di social engineering:

  • In ambito aziendale è importante comunicare il tutto agli amministratori di rete e ai responsabili della sicurezza interna.
  • Nel caso siano stati coinvolti dei conti bancari, è necessario contattare la banca di interesse mettendo sotto controllo il saldo e i movimenti.
  • Se sono state comunicate delle password, bisogna cambiarle anche negli altri siti dove erano state utilizzate le medesime.
  • Considerare anche la comunicazione verso un'autorità competente (polizia).

Note[modifica | modifica wikitesto]

  1. ^ Paolo Attivissimo, social engineering, su www.attivissimo.net. URL consultato il 24 marzo 2016.
  2. ^ Pornografia e Internet. Il 12% dei siti sono porno. Tutte le statistiche, su www.piacenzanight.com. URL consultato il 16 aprile 2016.
  3. ^ Protezione Account: Nuova ondata di virus con video porno distribuiti da tag su Facebook, su www.protezioneaccount.com. URL consultato il 02 aprile 2016.
  4. ^ Dati a rischio su Facebook con il nuovo virus, su www.poliziadistato.it. URL consultato il 13 aprile 2016.
  5. ^ Mark Turner, Spammers are targeting Facebook photo albums, markturner.net. URL consultato il 16 aprile 2016.
  6. ^ (EN) Samuel T. C. Thompson, Helping the Hacker? Library Information, Security, and Social Engineering, in Information Technology and Libraries, vol. 25, nº 4, 13 gennaio 2013, pp. 222–225. URL consultato il 19 aprile 2016.
  7. ^ Le PA vittime ideali degli attacchi social engineering: per le lacune di cultura informatica, su forumpa.it. URL consultato il 19 aprile 2016.
  8. ^ (EN) Samuel T. C. Thompson, Helping the Hacker? Library Information, Security, and Social Engineering, in Information Technology and Libraries, vol. 25, nº 4, 13 gennaio 2013, pp. 222–225. URL consultato il 19 aprile 2016.
  9. ^ Difendersi da tecniche di ingegneria sociale per rubare dati personali e truffare, su Navigaweb.net. URL consultato il 31 marzo 2016.
  10. ^ How to Keep Your Personal Information Secure | Consumer Information, su www.consumer.ftc.gov. URL consultato il 13 aprile 2016.
  11. ^ How to Permanently Erase Data Off a Hard Drive, su wikiHow. URL consultato il 31 marzo 2016.
  12. ^ Hacking, Office workers give away passwords for a cheap pen, theregister.co.uk. URL consultato il 13 aprile 2016.
  13. ^ Luigi Cristiani, ABC della sicurezza: Social Engineering, techeconomy.it. URL consultato il 16 aprile 2016.
  14. ^ No Tailgating, su Information Security Tips from Westfield Insurance. URL consultato il 13 aprile 2016.
  15. ^ Train For Life, web.archive.org, 05 gennaio 2010. URL consultato il 13 aprile 2016.
  16. ^ (EN) Samuel T. C. Thompson, Helping the Hacker? Library Information, Security, and Social Engineering, in Information Technology and Libraries, vol. 25, nº 4, 13 gennaio 2013, pp. 222–225. URL consultato il 19 aprile 2016.
  17. ^ Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing.
  18. ^ Minacce: come evitare gli attacchi di phishing e Social Engineering - CERT Nazionale Italia, su CERT Nazionale Italia. URL consultato il 21 aprile 2016.

Bibliografia[modifica | modifica wikitesto]

Pubblicazioni[modifica | modifica wikitesto]

Voci correlate[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]