Social engineering: cos’è, come funziona, come difendersi

Niccolò Ellena

17 Febbraio 2023 - 10:52

Il social engineering è utilizzato dagli hacker e si basa su una serie di tecniche psicologiche per ottenere delle informazioni con l’inganno.

Social engineering: cos’è, come funziona, come difendersi

Il social engineering, nell’ambito della sicurezza informatica, si basa sull’utilizzo di tecniche psicologiche da parte di alcuni hacker per ottenere delle informazioni con l’inganno, come password o altri dati sensibili.

Sebbene sia principalmente utilizzata dagli hacker per riuscire a perpetrare degli attacchi informatici illegali, il social engineering è usato anche - a scopi benevoli - dalle forze dell’ordine, da hacker etici e altre figure professionali simili.

Per mettere a punto un’efficacie strategia di social engineering è necessario passare attraverso un processo composto da più fasi, vediamo quali sono.

Social engineering: come funziona

Per perpetrare un attacco informatico sfruttando il social engineering è necessario seguire una tabella di marcia che si compone di tre fasi precedenti all’attacco vero e proprio:

  • prima fase, footprinting o ricerca: in questa prima fase, l’hacker deve cercare tutte le informazioni possibili sul suo bersaglio. Alcune tra le più utili sono il numero di cellulare, l’indirizzo email, dove lavora ecc. La ricerca può essere divisa a sua volta in due parti: di contesto e cumulativa: la prima riguarda le questioni più semplici, come ad esempio il settore dell’azienda in cui lavora la vittima o il nome di un collega; mentre la seconda riguarda informazioni più complesse e difficili da reperire, come ad esempio l’indirizzo di casa.
  • seconda fase, verifica: a questo punto è necessario verificare l’attendibilità delle informazioni che si sono raccolte.
  • terza fase, scelta di metodo e stile: una volta raccolte e verificate le informazioni di cui dispone, l’hacker è pronto per attaccare. Adesso è fondamentale decidere il mezzo da utilizzare per ingannare, generalmente la scelta può ricadere su una e-mail o una telefonata. Nel caso si scelga la prima, è importante scrivere in maniera precisa e convincente, utilizzando le espressioni tipiche della persona (o dell’istituzione, o dell’azienda) per cui si sta spacciando. Un discorso molto simile vale per la chiamata telefonica, in questo caso però sarà necessario calarsi ancora maggiormente nella parte e utilizzare uno stile vocale e un tono di voce ancora più convincenti.

Una volta completate queste prime tre fasi è possibile scegliere un metodo d’attacco: quelle oggi esistenti sono numerose, una delle più famose è senza dubbio il phishing, molto adatta truffe online. Ne esistono tuttavia anche altre, vediamo quali sono.

Social engineering: le tecniche psicologiche utilizzate

Trattando di social engineering, prima di analizzare i vari metodi di attacco, è necessario considerare le tecniche psicologiche, alla base di questa strategia.

Alcuni esempi di tecniche psicologiche sono l’autorevolezza, l’avidità e il panico. Se riconosciute tempestivamente, per la vittima è anche possibile contrattaccare, evitando così di essere raggirata. Vediamo quali sono in maniera più dettagliata.

  • Autorevolezza: comunemente utilizzata nelle e-mail, la tecnica psicologica dell’autorevolezza si basa sul far credere alla vittima di essere stata contattata da una figura o da un’istituzione autorevole per avere delle informazioni. Per rendere questa tecnica più credibile, gli hacker impostano il tono dell’e-mail il più istituzionale possibile, cosicché sia più credibile. Una volta che la vittima è convinta di essere in contatto con un rappresentante delle istituzioni, l’hacker chiede (e spesso ottiene), le informazioni che desidera.
  • Avidità: se l’hacker è a conoscenza di qualcosa che la vittima desidera particolarmente (ipotizziamo due biglietti aerei per andare e tornare da New York a un prezzo vantaggioso), questo è in grado di realizzare un messaggio (comunicabile sia via e-mail, sia via chiamata telefonica) e sfruttare la tecnica psicologica dell’avidità, in cui si promette all’utente di ricevere qualcosa in cambio di una determinata informazione. A questo punto si configura l’inganno e - di conseguenza - il furto dei dati.
  • Panico: tra le tecniche psicologiche per eccellenza, quando si tratta di social engineering, c’è il panico, che mette in condizione la vittima di dover prendere decisioni rapide e senza pensare. Ipotizziamo che, grazie alla ricerca condotta prima di attaccare, l’hacker sia venuto a conoscenza del mancato pagamento di una parte della retta universitaria della vittima. Egli potrebbe inviare una e-mail, affermando che, almeno che non si prema su un certo link o non si inviino dei soldi a un certo conto immediatamente, la carriera accademica della vittima verrà invalidata e i relativi esami cancellati. Certo, questo è uno scenario piuttosto estremo, tuttavia questa tecnica può essere applicata a un’infinità di ambiti, è perciò necessario prestarle attenzione, poiché più di altre fa leva su emozioni difficili da controllare.

Social engineering: come veniamo attaccati

Passiamo ora ai metodi veri e propri utilizzati dagli ingegneri sociali per condurre i loro attacchi.

  • Pretexting: il pretexting consiste nel creare uno scenario credibile, con l’obiettivo di spingere la vittima a cedere delle informazioni che generalmente non condividerebbe, come un codice bancario. Questo metodo può essere abbinato alla tecnica del panico, per cercare di fare leva sulle possibili implicazioni negative che una scelta mancata potrebbe avere. Questo metodo funziona specialmente se come mezzo di comunicazione si usa la chiamata telefonica, poiché veicola una comunicazione più immediata rispetto alla e-mail.
  • Phishing: metodo oggi davvero molto comune, il phishing consiste nell’ottenere informazioni in maniera fraudolenta. Molti tentativi di attacco phishing oggi vengono perpetrati attraverso invio di SMS con link malevoli, e-mail spam e attaccando in giro per le città QR code contenenti siti pericolosi. Proprio quest’ultimo metodo ha recentemente ricevuto un nome proprio, ossia QRishing, dal momento che è diventato molto diffuso. Il social engineering è fondamentale per il phishing, poiché molto del lavoro dell’hacker si basa sul rendere il messaggio veicolato (tramite qualsiasi mezzo) il più credibile possibile. Grazie ai metodi e alle tecniche di cui dispongono gli hacker, spesso sono in grado di realizzare messaggi davvero realistici.
  • Baiting: il baiting, anche chiamata esca, è un metodo di attacco molto semplice. Per metterlo in atto è necessario lasciare, ad esempio nella casella della posta di una persona, una chiavetta Usb o oggetti simili. Questa persona, (o le persone, qualora vengano lasciate in giro più esche), potrebbero incuriosirsi e connettere chiavetta al loro computer. Una volta connessa, il malware all’interno dell’hardware infetterà il PC della vittima e darà la possibilità all’hacker di accedere alle informazioni riservate presenti nel computer. Questo metodo d’attacco fa particolarmente leva sulla curiosità e sull’avidità delle vittime.

Come difendersi dal social engineering

Per non cadere negli inganni basati sul social engineering non è sufficiente dotarsi di potenti antimalware e infrastrutture IT solide, poiché purtroppo non sono queste ad essere l’anello debole, bensì le persone, e per quelle non esiste protezione.

Per non cadere in questi tranelli, la miglior difesa è la diffidenza: è molto raro che attori istituzionali richiedano informazioni riservate di qualsiasi genere, poiché oggi le leggi sulla privacy sono particolarmente stringenti.

Prima di aprire un qualsiasi link o dare delle informazioni considerate personali, è importante domandarsi se si ha o meno la certezza di sapere chi è la persona che ce le sta chiedendo. Qualora la risposta sia negativa, la cosa migliore da fare è declinare e fare maggiori ricerche.

Per prevenire raggiri basati sul social engineering a livello aziendale è opportuno formare adeguatamente il personale. Mettendo a conoscenza tutti componenti del team dei rischi connessi al social engineering sarà possibile limitarli a pochi casi isolati o a evitarli completamente.

Argomenti

# Hacker

Iscriviti a Money.it