Grazie alla diffusione dell’utilizzo del web, del mondo social e alle sue immense opportunità, stanno aumentando a dismisura anche gli attacchi hacker tramite social engineering. Si tratta di una tendenza che dall’inizio della pandemia non ha fatto altro che aumentare. Ma che cos’è in realtà il social engineering? E come possiamo difenderci dagli attacchi informatici che gli hacker ci tendono con queste tecniche?
Che cos’è il Social Engineering?
Partiamo dal principio. Durante l’intero periodo pandemico gran parte della nostra vita sociale si è spostata sui social network o comunque sul web, luoghi di relax e spensieratezza ma anche terreno minato per subire gli attacchi dei malintenzionati e dei cyber-criminali. Ed è proprio sui social (ma non solo) che i criminal hacker agiscono per aggredire un sistema e ottenere informazioni.
Il social engineering è essenzialmente un insieme di tecniche ingannevoli volte a spingere gli utenti di un servizio informatico a fornire di propria spontanea volontà informazioni sensibili e dati personali. Dati che vanno dalle password agli accessi, dai propri conti correnti bancari fino alle credenziali di un computer o di una rete.
Tecnicamente, il social engineering è lo studio del comportamento individuale di una persona al fine di carpire informazioni utili. Non a caso, i criminal hacker dediti a questa pratica, in una prima fase, si occupano proprio di raccolta di quanti più dati possibili riguardo alla vittima designata. Una fase, questa, che prende il nome di footprinting e che precede il vero e proprio attacco. Con essa, il cyber-criminale mira a scoprire tutto ciò che riguarda un determinato bersaglio.
Il footprinting avviene perciò raccogliendo informazioni pubbliche e facilmente reperibili: quelle che lasciamo sui social o i semplici dati di contatto presenti sia online che su liste tradizionali, come albi ed elenchi telefonici. Esso permette di tracciare un profilo ideale dell’obiettivo della truffa, in modo da rivolgergli domande specifiche e dimostrando di conoscere determinati dettagli. Tutto al fine di ottenere la sua fiducia.
Nelle fasi successive, l’ingegnere sociale cerca quindi di prendere contatti con la vittima, al fine di spingerla a fornire di sua spontanea volontà le proprie password, i propri dati bancari o d’accesso ad un sistema. L’attacco portato avanti nelle fasi di social engineering, dunque, in prima istanza non è diretto ad un sistema informatico ma all’anello debole di un sistema di sicurezza, ovvero l’essere umano. L’ingegneria social, infatti, riesce a sfruttare sensazioni tipicamente umane come la fiducia, la vanità e la buona fede. Sensazioni e stati d’animo “hackerabili” in maniera diretta e senza scrivere una riga di codice.
È infatti sulla manipolazione e sulla speranza di un errore che si basano gran parte delle tecniche di social engingeering. Esse si presentano spesso come proposte di aiuto o di consiglio, volte a risolvere problemi che talvolta non esistono neppure. È creando un rapporto di fiducia che spingono a fornire password o dati finanziari.
Come riconoscere il social engineering e le tecniche più note
Il primo passo per difendersi dai criminal hacker che fanno ricorso alle tecniche di social engineering è quello di riconoscere i loro metodi al fine di riuscire ad aggirarli senza alcuna conseguenza.
Il phishing, ad esempio, è una mail di adescamento inviata appositamente per far inserire informazioni personali alla vittima. Si tratta forse della tecnica di social engineering più nota, ma è affiancata da tantissime altre.
Il baiting è una tecnica basata sull’offerta di un servizio in cambio del download di un file che si rivela spesso un programma dannoso o uno spyware, talvolta contenente uno scareware. Quest’ultimo è un software fondamentalmente innocuo ma che spinge l’utente a credere che il proprio computer sia infetto. In cambio, quindi, offre una soluzione con cui infettarlo sul serio oppure che richieda il pagamento di una somma o l’inserimento di dati personali o coordinate bancarie.
Lo smishing è invece una truffa di social engineering che avviene solitamente via telefono. Essa consiste in un sms, ovvero un breve testo che spinge a comunicare informazioni di tipo confidenziale. Basata spesso sull’annuncio di un pacco in consegna, negli ultimi tempi fa riferimento anche sui sussidi del governo in materia di Covid-19 o di ristrutturazione. Tali sms redirigono poi a siti ingannevoli, sempre volti a carpire informazioni sensibili.
Un’altra tecnica basata su presupposti simili è quella del typosquatting. In questo metodo, i truffatori creano dei domini web fasulli, che appaiono del tutto identici a realtà note e affidabili della rete. È facile ad esempio finire per errore su yotube.com o goggle.com senza fare troppa attenzione ai caratteri modificati. Ebbene, questo tipo di siti funziona proprio come gli sms di smishing: cerca di far credere ai visitatori di trovarsi all’interno del sito legittimo al fine di carpirne i dati.
Il pretexting è un altro metodo tipico utilizzato nel social engineering. Il truffatore, in questo caso, si finge una persona degna di fiducia (referente di un’azienda, di una banca o di un istituto di credito) in modo da spingere il bersaglio, con menzogne piuttosto elaborate proveniente dai dati del footprinting, a fornire informazioni personali e riservate.
Ultimamente, con la proliferazione dei QR Code in ogni ambito della nostra vita personale, è molto facile da parte dei criminal hacker diffonderne di ingannevoli, volti a reindirizzare l’utente su siti da loro gestiti. Si tratta, in questo caso, di link volti a portare lo smartphone su destinazioni pericolose, che spesso conducono l’utente all’inserimento di dati sensibili o al download di app malevole.
Funzionano allo stesso modo le notifiche push dei browser desktop e mobile. Se esse rappresentano un utile strumento per rimanere aggiornati riguardo all’attività di un determinato sito web, nelle mani sbagliate possono essere un ottimo strumento di social engineering, facendo da trappola. Una volta acconsentito a riceverle, talvolta, ci ritroverà ad essere bersagliati da messaggi di phishing o notifiche che contengono malware.
Infine, nell’epoca dello smartworking, sono sempre di più i criminal hacker che prendono di mira professionisti che offrono i propri servizi a distanza, inviando loro file di progetti professionali in una mail che propone una collaborazione, ovviamente fasulla. Tali file, aperti in buonafede, contengono spesso malware o scareware capaci di infettare il device ospite e ottenere in cambio soldi o informazioni tramite le tecniche che abbiamo già illustrato precedentemente.
Come difendersi dai criminal hacker che utilizzano il social engineering
Difendersi dal social engineering e dai criminal hacker che fanno uso di social engineering sembra un’impresa complicata e dai tratti impossibili, ma che in realtà si basa essenzialmente sulla consapevolezza. È questo infatti il metodo principale per far fronte a questo tipo di minacce, che sempre di più insidiano la nostra vita quotidiana.
Alcune semplici azioni possono salvarci da una truffa o quanto meno da una infruttuosa perdita di tempo. Ad esempio, verificare sempre l’indirizzo mail di qualsiasi messaggio di posta elettronica ricevuto può aiutare ad assicurarsi che si tratti di un indirizzo legittimo. E questo porta a far sì che da indirizzi sospetti non si accetti mai alcuna offerta né richiesta, non si faccia click su alcun link a siti esterni né si fornisca alcuna password né dato bancario.
Il social engineering non è invece prevenibile tramite l’utilizzo di software antivirus, proprio perché è una tecnica che sfrutta la debolezza umana. Tuttavia, gli antivirus possono tornare utili in un secondo momento, una volta che ci si accorga di essere stati attaccati e di aver scaricato dei malware in grado di carpire i nostri dati personali e inviarli a terzi. È allo stesso modo consigliabile installare dei programmi di firewall e di affidarsi ai filtri antispam del proprio provider e-mail.
Per difendersi dai criminal hacker che sfruttano le tecniche di social engineering, le azioni da porre in essere sono però quasi esclusivamente umane. Nelle aziende, pertanto, è necessario effettuare un’operazione assidua di formazione del personale su queste tecniche, al fine di identificare eventuali vulnerabilità in via preventiva e di fornire gli strumenti adatti per contrastare un attacco.
Un’ulteriore forma preventiva di protezione dai rischi del social engineering riguarda la propria policy sulle password. Che si tratti di password personali o aziendali, è necessario che siano complesse. Utilizzare solo caratteri minuscoli o combinazioni di caratteri maiuscoli e minuscoli consente agli hacker di violare il sistema nel giro di poche ore. Inserire accanto alla combinazione di lettere maiuscole e minuscole anche simboli e numeri, invece, aumenta esponenzialmente la sicurezza delle password stesse rendendo il sistema meno violabile. Allo stesso modo, una modifica periodica delle proprie password permette di proteggersi ancora di più.
Durante la navigazione in rete, inoltre, è necessario proteggersi da siti web non integri o che eseguano plugin e parti di codice malevole. Esistono toolbar e applicazioni che svolgono correttamente queste operazioni di verifica della sicurezza e anche gran parte dei software antivirus offrono servizi simili, in grado di segnalare immediatamente eventuali rischi di navigazione.
Ma il metodo principale per difendersi dalle tecniche di social engineering è quello di valutare analiticamente l’affidabilità di ogni messaggio e notifica ricevuti, senza andare troppo di fretta. Farsi semplici domande aiuta ad evitare noiose rogne successivamente. Il senso di urgenza, infatti, rischia di far calare la soglia dell’attenzione facendo il gioco dei criminal hacker. Prendersi del tempo permette di valutare attentamente ogni situazione e, allo stesso tempo, di scoraggiare i malintenzionati. I social engineers, molto spesso, non hanno tempo da perdere e, nel momento in cui si accorgono di non poter più contare sull’effetto sorpresa, preferiscono mollare la presa.
