Gli attacchi di ingegneria sociale

di Fabio Capone

L’esponenziale e sistematica crescita del mercato dell’ICT si accompagna ad una crescente esigenza per imprese e privati di investire in sicurezza informatica. La storia, infatti, ci rivela un’inquietante retroscena, che K. D. Mitnick – noto informatico e “storico” hacker statunitense – ha così descritto: “A company can spend hundreds of thousands of dollars on firewalls, intrusion detection systems and encryption and other security technologies, but if an attacker can call one trusted person within the company, and that person complies, and if the attacker gets in, then all that money spent on technology is essentially wasted”.

In un contesto difatti caratterizzato dall’incessante ricerca di nuovi e più sofisticati sistemi tecnologici di difesa informatica, tali da rendere le reti sempre più impenetrabili ed i software sempre più sofisticati, precisi e privi di bug, ciò che indebolisce il processo di security dagli attacchi di cognitive hacking è proprio l’uomo (per un approfondimento sul tema, v. Phishing: identikit di un attacco di cognitive hacking)

È difatti l’essere umano la vittima prescelta degli attacchi di ingegneria sociale, ovvero di quella serie di tecniche basate su processi cognitivi di influenzamento, inganno e manipolazione che, sfruttando l’ingenua disponibilità e buona fede dell’attaccato – ma talvolta anche la sua ignoranza e poca attenzione – sono finalizzate all’ottenimento di informazioni riservate o sensibili.

Mitnick, a tal proposito, ha sostenuto che “Social engineering is using manipulation, influence and deception to get a person, a trusted insider within an organization, to comply with a request, and the request is usually to release information or to perform some sort of action item that benefits that attacker”. Infatti – sempre secondo Mitnick – “The key to social engineering is influencing a person to do something that allows the hacker to gain access to information or your network”.

Gli attacchi di social engineering rappresentano oggi una minaccia crescente per le principali organizzazioni pubbliche e private. Basti osservare che, stante al più recente rapporto Clusit, nel 2017 il social engineering e il phishing hanno avuto un incremento pari al 1.166,67% attestandosi, nella distribuzione delle diverse tecniche di attacco verso le tipologie di bersaglio maggiormente esposte quali Banking, Health e GDO, rispettivamente all’8%, al 6% e al 14%.

Aaron Dolan e il SANS Institute – una delle principali organizzazioni di computer security training – hanno ricondotto le tecniche di ingegneria sociale in primis ad una conoscenza fortemente basata sull’abilità di natura psicologica e sociale che, così come gli inganni comunicativi, le frodi e – più in generale – gli attacchi cognitivi fanno largo uso della capacità di ottenere la fiducia dalle persone alle quali si vogliono estorcere informazioni sensibili: se ciò non può avvenire attraverso un approccio diretto per non destare sospetti, spesso chi utilizza queste forme di attacco ricava tali informazioni attraverso una moltitudine di contatti ed interazioni brevi, in cui le richieste ed il coinvolgimento dell’interlocutore vengono percepite come minime.

In particolare, secondo l’autore, più ampie sono le organizzazioni all’interno delle quali vengono utilizzate queste tecniche, maggiore è la probabilità di stabilire un rapporto di fiducia, in quanto molto alta è la possibilità di minimizzare le singole richieste e massimizzare il numero di contatti: infatti non solo l’interazione sociale è rilevante, ma lo è anche il numero di interazioni sociali “disponibili”.

Le tecniche di social engineering spesso vengono ricondotte anche all’abilità di creare una situazione in cui sia l’attaccante a dover aiutare la vittima. Questi attacchi di “sabotage, advertising and assisting” – chiamati di ingegneria sociale inversa (reverse social engineering) – oltre ad essere un buon mezzo per costruire o rafforzare una relazione di fiducia, modificano la percezione e le credenze delle vittime inducendole ad essere riconoscenti nei confronti dell’attaccante.

Simili a queste ultime vi sono, infine, le situazioni in cui l’ingegnere sociale impersona un individuo che riveste un ruolo di peso, di rilievo o un’autorità, allo scopo di trarre in inganno, intimidire o semplicemente instaurare un rapporto di subalternità con la vittima.

Chi è dunque l’ingegnere sociale?

Un individuo da annoverare alla categoria degli hacker e, tra questi, è forse il più subdolo, perché la sua è un’azione premeditata, di studio approfondito della vittima da colpire.

Sotto il profilo criminologico viene descritto come un soggetto capace di gestire le proprie emozioni, con un grado di istruzione medio-alto, ben integrato nel contesto sociale in cui opera, che non manifesta problemi a rapportarsi con la persona che ha di fronte ed è abile a sfruttarne le debolezze. Particolarmente attento alle parole che pronuncia, è una persona amante dell’informatica e della psicologia, capace di trovare molteplici soluzioni alle problematiche che si trova a fronteggiare e determinata a conseguire profitti economici o vantaggi di altro tipo.

Riconoscere un ingegnere sociale tuttavia non è facile: non dovendo essere necessariamente un super esperto di informatica, tale figura potrebbe celarsi dietro una qualsiasi persona purché abbia, tra le sue virtù, la capacità di entrare “empaticamente” in contatto con l’interlocutore e riuscire a costruire un rapporto di fiducia nei propri confronti.

La vittima ideale è dunque una persona che appare facilmente manipolabile – come d’altronde sostengono i pentester e i security specialist: “there’s no patch for human stupidity” – scelta in base a diverse informazioni ed in relazione all’attacco che si intende sferrare. Ad esempio, la conoscenza dettagliata del ruolo che ricopre un individuo in ambito lavorativo, ma soprattutto le sue abilità informatiche, unitamente alla capacità dell’ingegnere sociale di leggere ed interpretare le policy aziendali per scovarne le lacune o sfruttare i bug presenti nei processi di lavoro, consentono di ottenere preziose informazioni finalizzate ad arrecare danni al core business di un’azienda oppure a mettere in crisi il sistema informatico o telematico, nel più totale anonimato e senza eccessivi rischi. Gli obiettivi di questi attacchi risultano infatti sempre più finalizzati a carpire o compromettere dati ed informazioni che finiscono per colpire una parte importante del patrimonio aziendale.

Indipendentemente dalle tecniche adottate – phishing, pretexting, pharming e scamming, SET (Social Engineering Toolkit), dumpster diving, citandone alcune – ogni ingegnere sociale si concentrerà sempre sui tratti comportamentali e psicologici del suo target quali, ad esempio, l’eccitazione per una vittoria, il timore delle autorità, il desiderio di essere utili, la paura di una perdita, la pigrizia, l’ego, l’ignoranza, così da realizzare stratagemmi che fanno leva sullo stato mentale della vittima allorquando reagisce a situazioni abilmente architettate: ad esempio, chi riceve una mail attestante un’ingente vincita viene preso dall’entusiasmo e, seguendo diligentemente le istruzioni ivi contenute, compie inconsapevolmente operazioni che finiscono per rendere il proprio sistema informatico vulnerabile agli attacchi di rete.

Ogni tipologia di attacco di ingegneria sociale è generalmente suddivisa in quattro fasi principali:

  1. footprinting: è il momento fondamentale di preparazione, la cui riuscita dipende quasi esclusivamente dall’attenzione e accuratezza prestata in sede realizzativa. Durante tale fase, che può protrarsi per un periodo medio-lungo a seconda della complessità dell’attacco, si recuperano informazioni sulla potenziale vittima e si studiano le modalità con cui entrarvi in contatto. Nel contesto aziendale, ad esempio, l’ingegnere sociale studia ed analizza i sistemi di comunicazione, le modalità di funzionamento della posta interna, i giorni e gli orari di pulizia, l’organigramma e gli uffici, il comportamento degli addetti alla sicurezza e delle segreterie, le mail, le telefonate e le informazioni in esse contenute, ecc.
    L’attaccante sfrutta ed elabora quello che Mitnick chiama “il valore nascosto dell’informazione” (hidden value of information), per cui qualsiasi dato acquisito – sia se considerato singolarmente, sia se connesso con altri – può essere utile per scoprire altre e più importanti informazioni;
  2. contatto: una volta individuata la vittima, l’attaccante cercherà di stabilire con lei un contatto, prestando particolare attenzione a non farla insospettire sui suoi intenti fraudolenti o, comunque, illeciti;
  3. manipolazione psicologica: è la fase in cui l’ingegnere sociale, utilizzando tecniche psicologiche e strumenti idonei ad influenzare e manipolare la vittima, cerca di carpirle quante più notizie o informazioni possibili. Successivamente potrà dirigersi verso un ulteriore target;
  4. fuga: terminato l’attacco, l’ingegnere sociale si allontana dal contesto in cui ha operato facendo perdere le proprie tracce.

Per concludere: quali possono essere gli strumenti a difesa degli “assalti” di ingegneria sociale alla mente umana?

Sebbene siano state elaborate, per ogni metodologia di attacco, diverse e specifiche contromisure in campo tecnologico – antivirus e anti-malware, firewall e IPS/IDS, etc. – l’elemento chiave di difesa è rappresentato dalla conoscenza e dalla formazione: in ambito aziendale ciò si realizza soprattutto implementando ed aggiornando le policy di protezione dei dati.

È essenziale infatti che, una volta definite le impostazioni di controllo delle informazioni e di chi vi abbia accesso, i dipendenti conoscano, attraverso la policy, il corretto utilizzo degli strumenti messi a loro disposizione al fine di evitare fenomeni di data breach: le minacce che essenzialmente possono derivare dall’attività lavorativa sono riconducibili alla diffusione, volontaria o meno, delle informazioni e all’utilizzo erroneo delle stesse. Accanto all’adozione di strumenti conformi alle misure adottate dal legislatore per cercare di arginare il problema – si veda al riguardo la figura dell’incaricato di cui all’art. 4, lett. h, d.lgs. n. 196/2003 (cd. Codice privacy) e, di prossima obbligatoria applicazione per tutte le imprese italiane ed europee, l’art. 39, comma 1, lett. a., Reg. UE 2016/679 (cd. GDPR), laddove viene assegnato al DPO il compito di formare e sensibilizzare il personale che partecipa ai trattamenti e alle connesse attività di controllo – una corretta e costante formazione ed istruzione periodica impartita ai dipendenti può portare, in termini di benefit aziendali, ad un maggior controllo e ad una consapevolezza di ciò che è consentito e lecito compiere in ambiente di lavoro.

È pertanto indiscutibile che la sensibilizzazione alla formazione e alla conoscenza resta il modo migliore per ridurre la vulnerabilità della mente umana ai tentativi di attacco di ingegneria sociale, da affiancarsi all’aggiornamento di un antivirus o all’adeguamento tecnologico quali misure che limitano i rischi di un attacco di rete ad un sistema informatico o telematico.

Bibliografia

D. Mitnick, L’arte dell’inganno, Milano, Feltrinelli, 2013
D. Mitnick, L’arte dell’intrusione, Milano, Feltrinelli, 2006
Enrici, La dimensione psicologica nella sicurezza informatica: un approccio cognitivo, Santarcangelo di Romagna, Maggioli Editore, 2011.
Dolan, SANS Institute InfoSec Reading Room, 2004, in http://www.sans.org.
Rapporto Clusit 2017 sulla sicurezza ICT in Italia


Autore:

 

en_USEnglish
it_ITItaliano en_USEnglish