Social Engineering: cos’è e come funziona

Social Engineering o ingegneria sociale, nel contesto della sicurezza delle informazioni, si riferisce alla manipolazione psicologica al fine di carpire, informazioni sensibili e segreti personali, che possono essere utilizzati dal malintenzionato per aggirare sistemi informatici, o raccogliere segreti aziendali.

Per fortuna con l’avanzare della tecnologia, e dei sistemi, lo sviluppo dei software presenta sempre meno bug (errori commessi dagli sviluppatori durante la scrittura del codice), dunque anche un esperto Hacker/Cracker, in mancanza di errori nella progettazione e nella scrittura, avrà serie difficoltà tecniche, per poter violare quel sistema o software.

E qui che si fonde l’informatica con la psicologia. E’ un argomento abbastanza complesso e articolato, quanto scritto è solo una sintesi generica di quello che realmente è.

Quando il bug non è nel software basta utilizzare l’errore più grande della storia, il cervello umano, per quanto possa essere complesso e intelligente, è stupido e pieno di bug.

 

Chi è l’ingegnere sociale

Per prima cosa l’ingegnere sociale è un hacker, ossia una persona che ha come abitudine, trovare soluzioni a problemi al fine di trarne un beneficio personale.

Può essere una qualsiasi persona capace di sfruttare le vulnerabilità della mente umana, con una buona capacità di mentire e fingere, cambiando il suo comportamento e le sue manie in base alla personalità della vittima.

 

Come funziona

Le tecniche di ingegneria sociale si basano quasi tutte su bias cognitivi ossia euristiche inefficienti, che portano l’uomo a commettere errori, possiamo dunque affermare che sono i bug del cervello umano, se sei uno psicologo o studi psicologia avrai già capito cosa voglio intendere.

L’uomo al contrario di ogni macchina ha delle emozioni, sentimenti, e le sue decisioni al 90% sono influenzate da questo.

Un esempio banale, un dirigente aziendale egocentrico, tenderà a ignorare le idee dei propri dipendenti, e cercherà di intraprendere azioni che possono solo ed esclusivamente arrecargli guadagno e prestigio, un hacker potrebbe sfruttare questa sua vulnerabilità facendo credere alla vittima che un’azione, (voluta dall’hacker) possa portargli un beneficio personale.

Ammettiamo che un hacker non utilizzi l’ingegneria sociale per raggiungere il suo scopo dovrà obbligatoriamente seguire questi passaggi:

  1. Utilizzo degli strumenti (software e hardware indispensabili per l’attacco).
  2. Accesso al sistema per mezzo degli strumenti.
  3. Recupero dei risultati grazie all’accesso.
  4.  Conseguimento del suo obbiettivo.

Attraverso l’uso dell’ingegneria sociale i passaggi saranno:

  1. Utilizzo della manipolazione psicologica. (Social Engineering)
  2. Recupero informazioni (risultati).
  3. Conseguimento del suo obbiettivo

Come si può notare risulta molto meno faticoso.

Fasi dell’ingegneria sociale
  1. Analisi preliminare: Studiare il comportamento della vittima, le sue manie le sue perversioni, i suoi hobby e passioni, creando così un profilo psicologico.
    1. Sfruttare i social network: l’hacker grazie ai social network si trova la strada spianata, può conoscere una persona senza neanche averla vista mai di persona, conoscere i suoi figli, sua moglie, le sue manie, le passioni condivise, i pensieri politici o religiosi, si possono ottenere numerosissime informazioni riguardanti la vita privata, e fungono da attack vector.
    2. Attacchi Informatici: Creare attacchi per ricavare informazioni, esempio abbiamo già sentito parlare di MITM (man-in the-middle) un attacco Session Hijacking, grazie a questo si potrebbe ad esempio ascoltare una conversazione in voip.
  2. Attacco: Una volta creato un profilo comportamentale della vittima l’hacker inizierà il vero e proprio attacco.
    1. Elicitazione dell’interesse: Consiste nel creare interesse nella vittima, e mantenere quell’interesse costante, o meglio far crescere l’interesse con il passare del tempo. A questo punto l’hacker sarà obbligato a variare il suo comportamento in base a quello del soggetto.
    2. Abbattimento delle difese: Sono tutte quelle tecniche di persuasione che rendono la vittima sicura dell’hacker.
      1. Creare una sorta di autorità e marcare questa posizione.
      2. Evitare di rispondere alle obiezioni della vittima, ritardando nelle risposte (marca il senso di figura autoritaria).
      3. Girare la frittata in modo da chiudere ogni ragionamento della vittima che possa andare a sfavore dell’hacker.
      4. Prendere in considerazione fenomeni irrazionali, come ad esempio la religione, esperienze extrasensoriali, purtroppo molte persone sono influenzate da argomenti simili.
      5. Utilizzare frasi fatte, (fallo per te, non perdere l’occasione, il treno passa una volta sola)
      6. Creare scenari perfetti, irreali e allettanti.
      7. Sfruttare il principio di coerenza. Se un individuo afferma di credere in una divinità religiosa, difficilmente cambierà le sue ideologie, rimarrà coerente, per questo motivo potrebbe compiere azioni a favore dell’hacker.
      8. Cercare di non avere fretta, il raggiungimento dell’obbiettivo finale passa in secondo luogo, l’obbiettivo attuale e guadagnare la fiducia e allettare la vittima.
  3. Conferma: Una volta raggiunto l’obbiettivo l’hacker non sparirà nel nulla, continuerà ad essere quello di prima e inizierà a svanire lentamente, questo crea una sorta di sicurezza nella vittima, e si illude del fatto che non sia accaduto nulla di strano.

 

Come difendersi
  • Evitare di inserire informazioni strettamente personali sui social network.
  • Impostare la privacy di ogni piattaforma social in modo da rendere disponibili meno informazioni possibili.
  • Evitare di accettare amicizie da persone sconosciute.
  • Evitare di condividere le credenziali d’accesso o codici carta di credito tramite sms, messaggistica o email.
  • Quando si inizia una conversazione con una nuova persona mantenere un atteggiamento neutrale, e evitate di credere a qualsiasi promessa.