Il social engineering

Nel campo della sicurezza informatica il social engineering è lo studio del comportamento individuale e l'insieme delle strategie psicologiche usate dagli aggressori online al fine di ottenere dall'utente dati personali o sensibili oppure di indurlo a compiere una serie di azioni pericolose, superando le barriere di sicurezza.
Conoscere le tecniche di social engineering è il modo migliore per non diventarne noi stessi vittime.

Le strategie di attacco
Gli ingegneri sociali (social engineer) agiscono camuffando la propria identità, ingannando per infondere fiducia nella vittima, sfruttando la sua disponibilità, la buona fede e anche un pizzico di curiosità. Nella maggioranza dei casi sono abilissimi nei rapporti umani, risultano affascinanti, educati e simpatici. Quasi tutti ci basiamo sull'assunto che nessuno ci ingannerà mai. La persona che porta l'attacco è conscia di questa credenza comune e riesce a far sembrare tanto ragionevole la sua richiesta da non sollevare nessun sospetto mentre sfrutta la vittima. La rassegna delle astuzie escogitate da chi ordisce raggiri telematici è piuttosto variegata.
L'aggressore si spaccia per un vostro amico, un collega o per una fonte autorevole (per esempio Microsoft, Ebay, la vostra banca...), al fine di indurre l'utente ad aprire file contenenti virus o spyware. Il social engineer invia una e-mail in cui ci chiede, per esempio, di installare un software allegato (per esempio un falso "aggiornamento di sicurezza" di Windows) oppure di leggere un documento allegato o visitare un certo sito pericoloso. L'allegato o il sito contengono software che veicolano l'infezione o rubano dati personali, e così il social engineer ottiene i risultati sperati. Invece uno dei sistemi specifici di social engineering utilizzati per ricavare dal malcapitato nome utente e password di un suo account o codici di accesso ad esempio della propria banca è il phishing.
Le tecniche del social engineering agiscono anche via telefono fingendo ad esempio di essere un tecnico informatico e dopo aver descritto una situazione di pericolo sul nostro computer, propone una soluzione urgente che richiede di riferire una serie di informazioni riservate. A questo punto, nonostante i sistemi di sicurezza che avremmo adottato, con questo semplice stratagemma l'hacker ottiene tutte le informazioni desiderate.

Qui sotto riportiamo un esempio di social engineering perpetrato tramite messaggio di posta elettronica:

--------------------------------------------------

Da: Servizio_Tecnico@TopService.com
A: utente@provider.it
Oggetto: Software Internet Provider

Gentile Utente,

per offrirLe un miglior servizio abbiamo aggiornato il server software del ns. Internet Provider. Per problemi tecnici non ci è stato possibile importare il database Utenti, motivo per cui La preghiamo di volerci comunicare al più presto il suo username e la sua password, scrivendo al nostro indirizzo email: Servizio_Tecnico@TopService.com

La ringraziamo per la cortese attenzione.

Cordiali saluti

Dr. Antonio Brambilla
Resp. le Servizio Tecnico

--------------------------------------------------

Come difendersi
Per difenderci dai pericoli del social engineering i suggerimenti sono di:
  • verificare l'autenticità della fonte di qualsiasi richiesta ci venga fatta tramite le modalità che abbiamo visto, prima di decidere cosa farne, e chiedere conferma (ad es. alla banca, provider di servizi Internet...);
  • nel dubbio, meglio non eseguire le operazioni richieste;
  • essere prudenti nella trasmissione di informazioni: non comunicare dati confidenziali ad altre persone.