In­ge­gne­ria sociale, ovvero come sfruttare i punti deboli dell’uomo

Gli spe­cia­li­sti in­for­ma­ti­ci si occupano di garantire la sicurezza su tutti i livelli del modello ISO/OSI, ma spesso le vul­ne­ra­bi­li­tà maggiori non si trovano nella rete, bensì nel fittizio livello 8, a 40 cen­ti­me­tri dallo schermo, dove gli utenti in carne e ossa in­te­ra­gi­sco­no con la tec­no­lo­gia. Lo sanno bene i truf­fa­to­ri che sfruttano le tipiche qualità dell’uomo e i com­por­ta­men­ti comuni come la di­spo­ni­bi­li­tà, la fiducia nel prossimo, il rispetto, la fierezza, la ri­co­no­scen­za, l’evitare i conflitti o la paura, per riuscire ad avere accesso il­le­gal­men­te ai sistemi IT, usando il famoso metodo dell’in­ge­gne­ria sociale, che provoca ogni anno miliardi di danni su scala globale. Per le aziende è perciò in­di­spen­sa­bi­le sen­si­bi­liz­za­re ap­pro­pria­ta­men­te i la­vo­ra­to­ri su questo tema e stabilire delle chiare linee guida per sapere come gestire le in­for­ma­zio­ni con­fi­den­zia­li.

Anche la password più sicura offre poca sicurezza, se affiora sulle labbra degli utenti mentre parlano con gli sco­no­sciu­ti. L’in­ge­gne­ria sociale comprende diversi truc­chet­ti psi­co­lo­gi­ci che vengono impiegati nell’ambito dello spio­nag­gio in­du­stria­le, per strappare ai la­vo­ra­to­ri in­for­ma­zio­ni im­por­tan­ti. Gli hacker uti­liz­za­no queste tecniche per in­fil­trar­si nei sistemi in­for­ma­ti­ci e avere accesso ai dati sensibili di un’azienda: si parla così anche di social hacking. Inoltre, l’in­ge­gne­ria sociale viene uti­liz­za­ta per indurre i di­pen­den­ti ad azioni scon­si­de­ra­te, come ad esempio l’in­stal­la­zio­ne di un programma sco­no­sciu­to o tran­sa­zio­ni fi­nan­zia­rie sospette. Non è richiesto un contatto diretto tra il truf­fa­to­re e la vittima. Anche le e-mail di phishing, che mirano a ingannare gli utenti, si basano sull’in­ge­gne­ria sociale. Un classico è anche ricevere una chiamata di un presunto am­mi­ni­stra­to­re di sistema a cui serve la password della se­gre­ta­ria per risolvere ve­lo­ce­men­te un problema im­prov­vi­so.

L’idea dell’in­ge­gne­ria sociale sembra banale, ma si dimostra nella pratica uno dei metodi più efficaci di in­fil­tra­zio­ne perché fa leva sulle ca­rat­te­ri­sti­che positive e negative, che si trovano in quasi tutte le persone. Infatti in quasi tutti gli ambienti si cerca di essere socievoli, gentili e sempre pronti ad aiutare. Molte persone hanno dif­fi­col­tà a rifiutare di fare un favore in una si­tua­zio­ne di emergenza e per paura di reagire in modo sbagliato in si­tua­zio­ni sco­no­sciu­te, molti decidono di essere coo­pe­ra­ti­vi.

Ma non sono sempre le qualità dell’uomo ad essere al centro dei tentativi di ma­ni­po­la­zio­ne. Anche l’essere or­go­glio­si del proprio lavoro o dei propri successi può spingere la­vo­ra­to­ri e dirigenti a vantarsi di in­for­ma­zio­ni sensibili, ad esempio durante una va­lu­ta­zio­ne della sod­di­sfa­zio­ne dei clienti o un colloquio di lavoro. Spesso la tendenza ad evitare conflitti comporta che vengano eseguite azioni poco sicure contro ogni buon senso. Invece, la paura fa compiere azioni avventate, come ad esempio quella di fornire in­for­ma­zio­ni det­ta­glia­te sul router e sulla sua con­fi­gu­ra­zio­ne ad un presunto tecnico al telefono che paventa un po­me­rig­gio senza Internet. Chiamate di questo tipo in­ti­mi­di­sco­no so­prat­tut­to i la­vo­ra­to­ri con poche co­no­scen­ze in­for­ma­ti­che perché sono piene di termini tecnici a loro sco­no­sciu­ti. I “social hacker” si ap­pro­fit­ta­no anche della paura dei superiori, infatti un tipico trucco è fingere un ordine di pagamento da parte del capo.

Per ingannare le loro vittime, i truf­fa­to­ri si fingono so­li­ta­men­te colleghi, superiori o candidati. Gli hacker si calano così nel ruolo di un impiegato del servizio che deve rac­co­glie­re in­for­ma­zio­ni sul grado di sod­di­sfa­zio­ne dei clienti o che deve condurre per conto di un istituto di ricerca un sondaggio del settore.

I così chiamati ingegneri sociali non si limitano ne­ces­sa­ria­men­te ad un unico contatto. È possibile anche chiedere alla vittima dopo un certo periodo alcuni piccoli favori o con­ti­nua­re a farsi risentire di tanto in tanto. Il tentativo di hacking vero e proprio avviene solo quando si è in­stau­ra­to un certo rapporto di fiducia e l’hacker ha raccolto le in­for­ma­zio­ni ne­ces­sa­rie per poter ingannare la vittima fa­cil­men­te. Ma uno spio­nag­gio di questo tipo pre­sup­po­ne una ricerca di­spen­dio­sa. Tra le possibili fonti di in­for­ma­zio­ne rientrano, oltre alla pagina aziendale, i social network come Facebook o LinkedIn e alcuni criminali si spingono ad­di­rit­tu­ra molto oltre con il “dumpster diving”, ri­cer­can­do nel cestino della vittima documenti di lavoro buttati senza pensarci troppo.

L’in­ge­gne­ria sociale per e-mail o per telefono è molto comune perché permette l’au­to­ma­tiz­za­zio­ne di questi attacchi con pochi ac­cor­gi­men­ti tecnici. Il rischio di rivelare inav­ver­ti­ta­men­te segreti aziendali o dati di accesso esiste anche nei mezzi pubblici o in luoghi come bar, ri­sto­ran­ti o locali, quando più colleghi con­ver­sa­no in un’atmosfera rilassata sui numeri, i processi o i contatti dell’azienda. Anche i di­pen­den­ti che hanno con­ver­sa­zio­ni di lavoro al telefono discutono spesso di in­for­ma­zio­ni riservate alla luce del giorno e senza pre­oc­cu­par­si di possibili ascol­ta­to­ri.

Una variante dell’in­ge­gne­ria sociale basata su un software si appoggia su programmi dannosi specifici, che im­pau­ri­sco­no gli utenti e li inducono così a compiere precise azioni: si parla in questo caso di scareware. I programmi di questo tipo seguono questo schema: gli utenti vengono informati da un software su una specifica minaccia e gli viene mostrata allo stesso tempo una semplice soluzione, che comprende in genere l’azione voluta dall’hacker. Spesso lo scareware viene po­si­zio­na­to prima sul computer della vittima. Un punto di appoggio è offerto qui dalla fiducia riposta in marchi co­no­sciu­ti, aziende o isti­tu­zio­ni. Per in­vo­glia­re l’utente ad in­stal­la­re spon­ta­nea­men­te un malware, i truf­fa­to­ri usano, tra gli altri, nomi e loghi che si con­fon­do­no fa­cil­men­te con prodotti famosi af­fi­da­bi­li.

Così uno scareware si può ad esempio na­scon­de­re in un programma antivirus gratuito, che sug­ge­ri­sce all’utente, dopo l’in­stal­la­zio­ne, una serie di infezioni fittizie e offre come soluzione al problema il download della versione completa a pagamento. Dopo che l’utente ha pagato, gli avvisi vengono sem­pli­ce­men­te di­sat­ti­va­ti.

L’uso di scareware non prevede ne­ces­sa­ria­men­te un’in­fil­tra­zio­ne nel sistema, ma può anche iniziare ad esempio tramite un’ani­ma­zio­ne su un sito, che fa credere alla vittima di aver subito un attacco hacker. Le “misure di sicurezza” offerte dallo scareware com­pren­do­no in questo caso il download di un trojan, che consente poi l’attacco vero e proprio. In una va­ria­zio­ne di questo schema di attacco il messaggio di errore non viene mostrato sul sito, ma viene sem­pli­ce­men­te attivato come un avviso del browser. Sono anche possibili delle finestre pop-up, che imitano i co­no­sciu­ti avvisi del sistema di Windows.

Per pro­teg­ge­re ef­fi­ca­ce­men­te la propria azienda dall’in­ge­gne­ria sociale, bisogna sen­si­bi­liz­za­re i di­pen­den­ti che sono in possesso di in­for­ma­zio­ni riservate. Per con­cen­tra­re l’at­ten­zio­ne sul tema spio­nag­gio in­du­stria­le si possono or­ga­niz­za­re dei corsi in cui si spiegano tutti gli schemi di attacco comuni degli hacker e le loro con­se­guen­ze. Inoltre si consiglia di stabilire delle regole per procedere con i dati aziendali sensibili. Ad ogni di­pen­den­te dovrebbe essere chiaro quali in­for­ma­zio­ni do­vreb­be­ro rimanere segrete e dove è possibile uti­liz­za­re e salvare i dati sensibili.

I pro­ce­di­men­ti standard per compiti am­mi­ni­stra­ti­vi danno sicurezza ai la­vo­ra­to­ri e indicano come ci si dovrebbe com­por­ta­re in caso di si­tua­zio­ni critiche. Se ai di­pen­den­ti viene suggerito di non chiedere mai password personali dell’azienda per e-mail o al telefono, sarà difficile per i truf­fa­to­ri avervi accesso tramite uno di questi canali.

Visto che l’in­ge­gne­ria sociale si basa sull’errore umano, non è possibile eliminare del tutto il rischio solo ri­cor­ren­do a misure pre­ven­ti­ve. Prestando at­ten­zio­ne ai seguenti punti, diventa più difficile per i truf­fa­to­ri avere accesso a in­for­ma­zio­ni sensibili:

• Diffidare di persone che non fanno parte dell’azienda: più un’azienda è grande, più è facile per persone non ap­par­te­nen­ti all’azienda, dire di essere dei la­vo­ra­to­ri o dei fornitori. Di solito dif­fi­dan­do degli estranei di­mi­nui­sce il rischio di rivelare in­for­ma­zio­ni riservate dell’azienda, infatti si do­vreb­be­ro fornire dati sensibili solo ai colleghi, la cui identità è nota.
  
  
• In­for­ma­zio­ni al telefono: non bi­so­gne­reb­be dare in­for­ma­zio­ni sensibili al telefono, so­prat­tut­to nel caso si tratti di te­le­fo­na­te in entrata o di in­ter­lo­cu­to­ri sco­no­sciu­ti. Anche in­for­ma­zio­ni ap­pa­ren­te­men­te se­con­da­rie possono aiutare i truf­fa­to­ri a rac­co­glie­re in­for­ma­zio­ni sull’azienda e trarre magari in inganno altri colleghi.
  
  
• E-Mail con mittente sco­no­sciu­to: se il mittente di un’e-mail non è chia­ra­men­te iden­ti­fi­ca­bi­le, si consiglia di procedere con cautela. I la­vo­ra­to­ri do­vreb­be­ro con­sul­ta­re in ogni caso un superiore o il reparto IT, prima di ri­spon­de­re a messaggi simili. Se nel messaggio viene richiesto il com­pi­men­to di un’azione ina­spet­ta­ta, ad esempio si chiede di ef­fet­tua­re ec­ce­zio­nal­men­te un bonifico, si consiglia di chiamare il presunto mittente per ve­ri­fi­ca­re la si­tua­zio­ne.
  
  
• Cautela nel cliccare sui link e nell’aprire gli allegati delle e-mail: gli utenti trovano sempre più spesso e-mail nella loro casella di posta, che com­pren­do­no link nel testo. I truf­fa­to­ri uti­liz­za­no tecniche di questo tipo per ottenere dati bancari, password o codici cliente, ma pratiche di questo tipo sono poco comuni in ambito com­mer­cia­le. Le banche, negozi online seri o istituti as­si­cu­ra­ti­vi non ri­chie­do­no ai clienti di aprire un sito e di inserirvi i loro dati sensibili. Si consiglia sempre di stare attenti ad aprire gli allegati, perché possono contenere malware, che si in­stal­la­no a vostra insaputa, fornendo accesso al sistema a persone non au­to­riz­za­te. È possibile ridurre questo rischio, esortando i di­pen­den­ti ad aprire solo allegati alle e-mail di mittenti co­no­sciu­ti.
  
  
• Pro­te­zio­ne dei dati sui social network: la pre­pa­ra­zio­ne di attacchi di in­ge­gne­ria sociale avviene ge­ne­ral­men­te molto prima rispetto all’attacco vero e proprio. Oltre al sito aziendale, anche i social network offrono spesso ai truf­fa­to­ri in­for­ma­zio­ni suf­fi­cien­ti per con­fe­zio­na­re i loro tentativi di ma­ni­po­la­zio­ne in una storia credibile. Ge­ne­ral­men­te vale il fatto che più un di­pen­den­te fornisce in­for­ma­zio­ni su di sé in rete, più si espone ai rischi dell’in­ge­gne­ria sociale di­ven­tan­do un facile bersaglio. Per questo bi­so­gne­reb­be informare i di­pen­den­ti sulle opzioni offerte nelle im­po­sta­zio­ni della sfera privata e stabilire delle chiare regole su come procedere per i contenuti relativi all’azienda sui social network.

La com­ples­si­tà del tema e la varietà degli schemi di attacco rendono però im­pos­si­bi­le per i di­pen­den­ti essere preparati a tutti i possibili tipi di attacchi di in­ge­gne­ria sociale. Tenere re­go­lar­men­te corsi sulla pro­te­zio­ne dei dati riporta l’at­ten­zio­ne su questo tema e crea una maggiore con­sa­pe­vo­lez­za dei po­ten­zia­li rischi. Tuttavia, non bi­so­gne­reb­be esagerare con le misure di pre­ven­zio­ne, perché è difficile ottenere una col­la­bo­ra­zio­ne proficua, se si lavora in un clima dove regna una costante paura di sbagliare e dif­fi­den­za generale nei confronti degli altri.