In inglese è chiamata “social engineering” e, nell’ottica dei cyber criminali, l’ingegneria sociale è davvero paragonabile a una scienza, con regole e formule che i pirati informatici applicano in maniera rigorosa. Ma di cosa si tratta esattamente? Se consideriamo malware e strumenti di hacking come la parte tecnica di un attacco informatico, l’ingegneria sociale rappresenta la parte “umana”. L’elemento, cioè, che fa leva su meccanismi psicologici per indurre le vittime dei criminali a cadere in trappola.
Ingegneria sociale e phishing
Gli attacchi di phishing, che secondo il rapporto Clusit in Italia sono aumentati dell’81,9%, puntano solitamente ad attirare la vittima su un sito che contiene codice malevolo o su una pagina web appositamente creata per rubare le credenziali di accesso a un servizio. Per far cadere in trappola il bersaglio, i pirati informatici cercano di fare in modo che il messaggio di posta elettronica sembri provenire da un mittente affidabile, per esempio lo stesso soggetto che eroga il servizio di cui vogliono rubare le credenziali. I cyber criminali utilizzano uno stile grafico simile (a volte identico) a quello usato normalmente dall’azienda che vogliono impersonare e modificano le impostazioni del messaggio affinché l’indirizzo mail sembri appartenere al dominio ufficiale del soggetto stesso. Spesso inviano i messaggi “a pioggia”, ma nei casi di spear phishing, in cui l’attacco è mirato a un bersaglio specifico, si preoccupano di verificare in anticipo che il servizio sia effettivamente utilizzato dalla vittima.
L’impulsività è la nostra peggiore nemica
Nella composizione del testo, i cyber criminali utilizzano una serie di accorgimenti per indurre le potenziali vittime ad agire d’impulso, senza riflettere. Uno degli stratagemmi più semplici è quello di promettere un premio, un vantaggio o la possibilità di accedere a un’offerta speciale. Spesso, la promessa è accompagnata da un termine estremamente breve, per obbligare il destinatario del messaggio a prendere una decisione senza fare tutte le valutazioni del caso. Lo strumento più efficace per mettere pressione al bersaglio, però, è la paura. Molti messaggi di phishing la sfruttano attraverso un meccanismo piuttosto semplice, per esempio chiedendo alla vittima di adempiere a una verifica dell’account in assenza della quale il servizio verrà bloccato. In altri casi viene, paradossalmente, utilizzato un avviso in cui si suggerisce che l’account in questione sia stato violato e si chiede di accedervi per modificare la password prima che i pirati possano utilizzarla. Gli elementi comuni, comunque, sono quelli dell’urgenza e della minaccia di una conseguenza negativa in caso di inazione.
La curiosità uccise il gatto…
L’ingegneria sociale non viene sfruttata solo nelle campagne di phishing, ma anche per indurre i bersagli ad aprire file contenenti malware. La strategia dei pirati prevede, di solito, l’uso di file DOC, XLS o PDF che contengono codice malevolo in grado di attivarsi al momento dell’apertura. Si tratta di una tecnica di attacco che i cyber criminali usano spesso nei confronti delle aziende e che, purtroppo, continuano ad avere una straordinaria efficacia. Anche in questo caso, l’uso dell’ingegneria sociale fa leva sulle emozioni o, più semplicemente, sulla curiosità. Gli stratagemmi usati dagli hacker comprendono l’invio di falsi avvisi di consegna da parte di corrieri, con tanto di logo del vettore, ma anche di fatture per cifre esorbitanti apparentemente provenienti da operatori telefonici. Quando portano attacchi più strutturati, i pirati adottano tecniche più sofisticate, come quello di creare dei documenti che sembrano provenire da enti certificatori o autorità governative che si occupano del settore in cui opera l’azienda.
Un falso senso di sicurezza per l'ingegneria sociale
Per garantire la massima efficacia ai loro attacchi, i cyber criminali puntano sul fatto che il mittente del messaggio possa apparire credibile e “serio”. Un obiettivo che raggiungono introducendo elementi che apparentemente garantiscono la veridicità della comunicazione, come l’uso di indirizzi di posta certificata PEC, che nell’immaginario di molte persone rappresentano una garanzia dell’identità del mittente. In realtà, come ha registrato la cronaca recente, gli indirizzi utilizzati sono il frutto di altri attacchi, che hanno permesso ai pirati di ottenere l’accesso alle caselle PEC per poi sfruttarle come “trampolino” per nuovi attacchi. Una logica simile è quella che utilizza l’invio di allegati all’interno di archivi compressi protetti da password. In questo caso, però, l’obiettivo dei pirati è duplice: oltre a dare l’impressione che la comunicazione sia in qualche modo “più sicura”, l’uso della password rende più difficile l’analisi dei sistemi antivirus.
