In questi ultimi anni nell’ambito della Cybersecurity si è iniziato a parlare di Ingegneria Sociale. In realtà il termine nasce nel contesto delle scienze sociali e si definisce come lo studio dei comportamenti degli utenti online per influenzarne le interazioni nel web.
Si tratta di una vera e propria strategia che può essere utilizzata in diversi contesti digitali. Ad esempio, nei social network risulta utile per incrementare le interazioni con le pagine e i post ma, soprattutto, viene spesso usata dai criminali per le truffe online.
Gli hacker, infatti, sfruttano prevalentemente tecniche psicologiche che fanno leva su alcuni sentimenti umani per spingere le persone a condividere dati personali sensibili.
Come funziona l’Ingegneria sociale?
Un attacco di ingegneria sociale generalmente si compone di tre fasi:
- Profilazione
- Verifica dati
- Preparazione attacco
Nella prima fase di profilazione, l’hacker cerca di reperire tutti i dati necessari dell’utente oggetto del suo bersaglio come: email, recapiti telefonici, immagini, contatti e amicizie. Ogni dettaglio condiviso online sulla propria vita privata può essere sfruttato per rendere più credibile l’attacco.
La fase della verifica dei dati è quella in cui l’hacker cerca di verificarne la validità chiamando, ad esempio, la vittima attraverso i contatti reperiti.
Durante la terza fase della preparazione dell’attacco, l’hacker individua la tipologia di azione di maggiore successo per la vittima prescelta. Ad esempio, se sceglie di fingersi una persona vicina al bersaglio, analizzerà la dialettica usata da questa per essere più credibile agli occhi della vittima. Questo è possibile studiando il cosiddetto bag of words, ovvero il set di parole e costrutti grammaticali più usati dal bersaglio, una sorta di impronta digitale grammaticale che aiuta a identificare le persone con cui parliamo online.
Gli strumenti dell’attacco di Ingegneria sociale
Una volta concluse queste fasi, l’hacker organizza l’attacco vero e proprio sfruttando 7 strumenti che possono maggiormente influenzare il comportamento umano:
- autorevolezza: informazioni o comandi provenienti da fonti di autorità possono spingere l’utente a compiere le azioni desiderate senza porsi troppi dubbi;
- senso di colpa: l’hacker a conoscenza di azioni illecite dell’utente può spingere il bersaglio ad azioni inconsuete per nascondere i propri comportamenti scorretti;
- paura: fare leva su accadimenti gravi per spingere l’utente ad azioni che possano fornire informazioni cruciali. Ad esempio, messaggi dalla banca su possibili problemi sul conto corrente personale possono spingere gli utenti ad accedere o scaricare dati da siti illeciti;
- mancate competenze: sfruttando la scarsa conoscenza degli utenti di alcuni software, usando un linguaggio eccessivamente ricercato, si può spingere l’utente a seguire istruzioni senza porsi troppe domande;
- desiderio e avidità: spingendo sui desideri più comuni della gente, come soldi o contenuti pornografici, si può indurre l’utente a scaricare o fornire dati sensibili;
- compassione: l’hacker, spacciandosi per una persona vicina all’utente in difficoltà oppure cercando di fare leva sui suoi buoni sentimenti, può convincere l’utente a condividere i propri dati personali.
Cosa fare per difendersi?
Per ridurre il rischio e la possibilità di successo di questo tipo di attacchi, gli esperti consigliano alcune procedure che includono:
- formazione sulla sicurezza che, insieme a politiche di sicurezza dei dati, può aiutare a capire come proteggere i propri dati sensibili e come rilevare e rispondere agli attacchi di ingegneria sociale;
- politiche di controllo degli accessi come, ad esempio, l’autenticazione a più fattori e l’autenticazione adattiva che possono limitare l’accesso dei criminali informatici alle informazioni sensibili sulle reti aziendali;
- tecnologie di sicurezza informatica come i filtri antispam e gateway di email sicuri possono impedire che alcuni attacchi di phishing raggiungano i dipendenti; oltre a firewall e software antivirus che possono ridurre l’estensione degli eventuali danni causati degli aggressori che hanno avuto accesso alla rete.