Questa voce o sezione sull'argomento sicurezza informatica non cita le fonti necessarie o quelle presenti sono insufficienti.
Commento: alcune sezioni ed affermazioni notevoli sono completamente prive delle fonti necessarie per garantirne la veridicità e le poche fonti presenti sono obsolete o di scarsa autorevolezza.
L'ingegneria sociale (dall'inglesesocial engineering), nel campo della sicurezza informatica, consiste nell'utilizzo, da parte dei cracker, di metodi che hanno come scopo quello di ottenere informazioni personali tramite l'inganno.
Descrizione generale
Questa tecnica è anche un metodo (improprio) di crittanalisi quando è usata su una persona che conosce la chiave crittografica di un sistema e viene usata anche dalla polizia. Può essere, secondo gli esperti, un modo efficiente per ottenere la chiave, soprattutto se comparato ai metodi crittanalitici.
Le fasi dell'attacco
L'ingegnere sociale comincia con il raccogliere informazioni sulla vittima per poi arrivare all'attacco vero e proprio.
Durante la prima fase (che può richiedere anche alcune settimane di analisi), l'ingegnere cercherà di ricavare tutte le informazioni di cui necessita sul suo bersaglio: e-mail, recapiti telefonici, ecc.
Superata questa fase, detta footprinting, l'ingegnere passerà alla fase successiva,
Seconda fase, l'ingegnere verifica se le informazioni che ha ricavato sono più o meno attendibili, anche telefonando all'azienda del bersaglio e chiedendo cortesemente di parlare con la vittima.
Terza fase, la più importante, quella che determinerà il successo dell'attacco, è lo studio dello stile vocale della persona per la quale vuole spacciarsi (ad esempio cercando di evitare in tutti i modi l'utilizzo di espressioni dialettali e cercando di essere quanto più naturale possibile, sempre utilizzando un tono neutro e cortese). In questa fase l'attaccante avrà sempre vicino a sé i propri appunti con tutte le informazioni raccolte nella fase di footprinting, dimostrandosi pertanto sicuro nel caso gli venisse posta qualche domanda.
La ricerca si suddivide in due parti: 1. di contesto, si trovano tutte quelle informazioni che sono pubbliche e dunque facilmente reperibili, per capire che domande rivolgere e soprattutto a chi.
2. cumulativa si raccolgono tutti questi dati e si utilizzano per fare delle richieste maggiormente complesse alla vittima, includendo anche nomi del personale, competenze e tutto il necessario per acquisire più fiducia possibile.[1]
Tecniche psicologiche
Le tecniche psicologiche utilizzate nell'ingegneria sociale sono molteplici, ma le più comuni riguardano lo sfruttamento di strumenti quali autorevolezza, senso di colpa, panico, ignoranza, desiderio, avidità e compassione. Tutte queste, se riconosciute, possono a loro volta aiutare la vittima ad evitare di essere attaccata, ed è dunque importante nel mondo della sicurezza informatica tenerle in considerazione per aumentare la consapevolezza degli utilizzatori della rete.[2]
Autorevolezza
Se un'informazione o un comando viene comunicato attraverso un messaggio con caratteristiche tipiche di una certa autorità (es: azienda, ente governativo, banca), questo può essere interpretato e preso in considerazione con una certa importanza a seconda dell'ente interessato. Più un attaccante simula un messaggio di questo tipo mettendo anche immagini o particolarità tipiche, più l'utente sarà vulnerabile nell'accettare e seguire le azioni illustrate nel messaggio. Si può applicare in ambiti come email o siti web (phishing), dove l'attacco punta tutto sul creare un ambiente di visualizzazione il più simile possibile a quello dell'autorità coinvolta (loghi, slogan, azioni da svolgere).
Senso di colpa
Facendo sentire in colpa un determinato utente, lo si spingerà ulteriormente a risolvere la situazione scomoda con qualsiasi mezzo a sua disposizione. Conoscendo soprattutto le debolezze della persona, l'ingegnere sociale è in grado di creare una condizione per cui l'utente si sente in colpa e dunque vincolato nel prendere una scelta, tanto da fare azioni particolari e inconsuete. Per esempio si può far credere alla persona di essere a conoscenza dei suoi download illeciti da Internet e di obbligarlo a pagare una multa online in modo da reperire non solo i soldi, ma anche i dati associati al pagamento.
Panico
Un altro strumento utilizzato nell'ingegneria sociale è il panico. Creando una situazione di questo genere, è più semplice convincere una persona a compiere un'azione che sembra possa risolvere un problema che ha sconvolto un contesto tranquillo e normale della vittima (consuetudine). Cadendo nel panico si cerca in tutti i modi di risolvere la questione anche con atti sconsiderati che ci sembrano i più veloci ed efficaci. Per esempio, tramite una mail si viene avvisati di un nuovo e pericoloso virus che è in grado di mettere fuori uso un qualsiasi sistema e che nel messaggio è presente un allegato che ci permette di difenderci da questo attacco. Tale file potrebbe contenere facilmente a sua volta un malware o altro, in grado di insinuarsi nella rete locale.
Ignoranza
Nel mondo di Internet è difficile essere a conoscenza di tutti gli strumenti software e hardware utilizzati. In questo modo gli utenti possono trovarsi disorientati nel caso un messaggio contenga una terminologia ricercata e molto tecnica, creando i presupposti per portare la vittima a fare le azioni consigliate nel testo senza curarsi del vero significato del messaggio. Dunque diventa importante documentarsi prima di attuare azioni sconsiderate di fronte a messaggi complessi e chiedere consiglio ad utenti più esperti e molto preparati. Va sottolineato come il tempo impiegato per condurre le necessarie verifiche, non è perso, anzi è il miglior investimento che si possa fare per non cadere sistematicamente nelle trappole della rete e dei ladri d'identità.
Desiderio
Il desiderio porta molto spesso a navigare in parti di Internet che sono appetibili per l'utente. Particolarmente per gli utenti di genere maschile è molto facile far presa con contenuti di tipo pornografico.[3] Un esempio molto famoso si è presentato nella popolarissima rete sociale Facebook, dove dall'inizio del 2015 sono comparsi collegamenti a finti video pornografici sulla bacheca virtuale di alcuni utenti, su cui venivano citati anche alcuni amici dei malcapitati. Il collegamento portava ad un malware che si insinuava nei dispositivi e rubava dati riservati delle persone attaccate.[4] Il tutto è stato reso noto anche dalla Polizia di Stato italiana in un comunicato del 16/02/2015 di cui viene riportato un breve estratto: "Si tratta di un programma "malevolo" che ha la capacità di sottrarre i dati sensibili. Questo virus, inoltre, si può trasmettere da contatto a contatto, ad esempio si può insinuare nella chat, quindi se chattate con un amico "infetto" potreste essere infettati anche voi."[5]
Avidità
L'utente può trovare delle offerte che sembrano imperdibili per acquisire un oggetto in particolare. Se una cosa sembra essere facilmente accessibile, in molti casi questa può essere solo una via per far abboccare qualche malcapitato, che si sente coinvolto in un acquisto facile ed eccezionale. Anche in questo caso si è presentato un attacco, comparso per la prima volta nel 2012, all'interno della rete sociale Facebook. Si è diffuso un evento riguardo ad un giorno casuale in cui l'azienda Ray-Ban avrebbe messo in vendita degli occhiali a basso costo, evidenziando dunque un'opportunità incredibile per gli acquirenti per risparmiare facilmente. L'evento si è rivelato essere un falso in cui ovviamente non era coinvolto il famoso produttore di occhiali, e conteneva un collegamento che portava a scaricare un malware in grado di accedere ai dati personali. L'attacco è stato attuato anche in diverse maniere, sempre mantenendo il sistema di tagging a scopo di diffondere il malware.[6]
Compassione, gratitudine e buoni sentimenti
Per acquisire fiducia e gratitudine l'ingegnere sociale può fingere di fornire un servizio o un aiuto ad una persona qualsiasi in azienda (per esempio simulando un "help desk"). La vittima, sentendosi al sicuro, farà tutto quello che le viene detto mettendo a disposizione informazioni importanti per l'attaccante. Viceversa, se l'ingegnere sociale facesse finta di essere un collega e di trovarsi in difficoltà, la vittima potrebbe mostrare compassione e fornire le informazioni necessarie pur di aiutarlo.[1]
Facendo leva sui buoni sentimenti si può giungere a condurre alcune persone a fare donazioni o a scaricare applicazioni particolari. Mentre nel genere maschile si fa affidamento sulla tecnica del desiderio, in questo caso è molto più semplice fare breccia sull'altro sesso attraverso finte organizzazioni benefiche o siti e applicazioni riguardanti l'amore e la vita di coppia. Un esempio famoso di tale tipologia di attacco è il virus ILOVEYOU diffusosi nel 2000, in cui si utilizzava un allegato all'interno di una mail il quale sembrava essere un semplice file di testo con titolo "LOVE-LETTER-FOR-YOU.TXT", ma in realtà era un comune file eseguibile.
Strumenti e metodi di attacco
Gli strumenti fisici utilizzati nell'ingegneria sociale sono vari, ma il principale rimane il telefono, attraverso il quale è possibile utilizzare il linguaggio desiderato e l'approccio esatto per aggirare il malcapitato. Anche email e siti web vengono utilizzati nell'attacco, creando un contesto in cui le immagini e i messaggi possono portare il malintenzionato a ottenere dati riservati con l'utilizzo di web form o applicazioni vere e proprie. Con la diffusione delle reti sociali negli ultimi anni, l'ingegneria sociale è tornata a svilupparsi, avvantaggiandosi anche di sistemi semantici o crawler di informazioni.[7] Strumenti non meno importanti sono banalmente la voce e il vocabolario dell'ingegnere sociale, che attraverso lo studio del sistema da attaccare riesce ad adattarsi alla situazione in cui deve lavorare a scopo di non destare sospetti.[1]
Le metodologie di attacco sfruttano principalmente tali tecnologie, avvantaggiandosi di tecniche psicologiche.[8]
Pretexting
Il pretexting (letteralmente "creazione di un pretesto") consiste nel creare una falsa ambientazione con lo scopo di spingere un utente a divulgare delle informazioni o a commettere azioni che non sarebbero consuete nel contesto in cui opera. L'attaccante si immedesima in una certa entità, sfruttando alcuni dati acquisiti in precedenza (data di nascita, identificativo della carta d'identità,...), per penetrare maggiormente nella mente della vittima. In alcuni casi, l'attaccante può simulare il comportamento di una certa autorità importante come polizia o banca, spingendo la vittima a rispondere a tutte le domande che gli vengono poste senza esitazioni. Quando il tutto viene fatto attraverso il telefono, l'utilizzo di un tono autoritario crea uno scenario ancora più realistico per la vittima.[9]
Phishing e vishing
Il phishing è una tecnica per ottenere informazioni in maniera fraudolenta. Solitamente si invia una mail alla vittima, facendola assomigliare il più possibile ad un messaggio inviato da una certa compagnia. La persona viene spinta a scaricare un allegato che presenta un malware o a cliccare su un collegamento interno alla mail che porta ad una pagina web molto simile a quella originale del fornitore del servizio, presentando un form da compilare dove in genere sono presenti campi come codice PIN bancario o password. Nell'ambito dell'ingegneria sociale è di uso frequente il phishing telefonico, anche chiamato vishing, nel quale viene simulato un contesto particolare come un centro chiamate, attraverso il quale è possibile ricevere maggiore fiducia da parte della persona coinvolta nell'attacco.
Della tecnica appena descritta è stato un grosso esponente Kevin Mitnick durante le sue scorrerie informatiche, tanto da scrivere un libro proprio su questo tema, L'arte dell'inganno.
Baiting e spazzatura informatica
Altro mezzo diffuso è il baiting che consiste, come si può intuire dal nome, nell'utilizzare un'esca per una persona in grado di accedere ad un determinato sistema (una sorta di cavallo di Troia). In pratica viene lasciato incustodito in un luogo comune (ingresso dell'azienda, bagno pubblico) un supporto di memorizzazione come una chiavetta USB o un disco rigido in modo da stimolare la curiosità della vittima che con una certa probabilità prenderà l'oggetto (facendo leva dunque su desiderio e avidità). In seguito lo strumento potrà essere utilizzato nel sistema nel quale lavora l'attore coinvolto, accedendo così molto più facilmente ai dati personali o aziendali essendo già all'interno della rete locale (LAN).
Altro metodo utile per ottenere informazioni sulle persone, è attraverso la spazzatura. Molto spesso l'hardware viene buttato senza curarsi del fatto che i dati possano essere ancora presenti nel dispositivo e dunque ricavabili da altri. Per esempio, per cancellare i dati da un disco rigido non basta fare una formattazione completa, ma è necessario applicare azioni fisiche sul dispositivo, come creare dei veri e propri buchi sui dischi. Bisogna ricorrere a queste misure drastiche poiché esistono software di ricostruzione dati particolarmente avanzati, in grado di riuscire a ricavare i dati eliminati anche in seguito a più formattazioni.[10]
Altri metodi
Sfruttando il metodo del quid pro quo, l'ingegnere sociale fa alcune chiamate casuali a diverse compagnie fingendo di garantire un supporto tecnico. Nel caso in cui la vittima sia a conoscenza di un problema che può aver provocato all'interno del contesto in cui lavora, sarà maggiormente possibile fargli seguire tutti i passaggi che portano all'acquisizione di dati utili. Si può notare che il senso di colpa in questo caso, spinge la persona coinvolta a fare tutto quello che gli viene detto dall'attaccante. Un esperimento al riguardo è stato condotto nel 2003 dalla Information Security ed è stato constatato che il 90% delle persone coinvolte (con lavoro da ufficio) era disposto a comunicare la password del proprio PC in cambio di una penna economica.[11] Un caso interessante si presentò anche nel 2007 nella filiale ABN Amro ad Anversa, quando un truffatore riuscì ad impadronirsi di diamanti e gemme dal valore di 120000 carati, non attraverso strumenti tecnologici, ma acquistando cioccolatini per il personale e presentandosi come una persona gentile e disponibile. In questo modo ottenne la fiducia dei dipendenti e le chiavi del posto dove erano custoditi i gioielli.[12]
Nel caso in cui un attaccante voglia accedere fisicamente ad un luogo sicuro, può essere necessario avere una chiave particolare o una sorta di riconoscimento come una carta RFID. A questo scopo è possibile applicare la tecnica del pedinaggio, che consiste nel seguire la persona che accede a tale locazione per provare a irrompere in quel luogo facendo finta di aver smarrito la chiave oppure chiedendo semplicemente una cortesia. In alcuni casi, l'attaccante può anche essere munito di un identificativo falso.[13]
Il furto di materiale o informazioni può avvenire anche per dirottamento (diversion theft). Il metodo viene anche chiamato "Corner Game"[14] ed è originario della parte Est di Londra. Consiste semplicemente nel variare la destinazione del corriere senza che lui possa accorgersene, ricavandone dunque il materiale di interesse. Allo stesso modo il tutto è applicabile anche su Internet, variando il destinatario di un determinato messaggio.
Possibili contromisure
Per contrastare i tentativi di ingegneria sociale non si può fare affidamento sulle tecnologie fisiche adottate per la sicurezza informatica come firewall o antivirus. Poiché infatti in questo caso l'anello debole è l'essere umano, la consapevolezza e la diffidenza diventano armi importanti nella difesa contro l'ingegneria sociale.
Per limitare gli attacchi di questo tipo, in ambito aziendale, si possono seguire alcuni accorgimenti quali:
Creare un'infrastruttura di fiducia per gli impiegati e il resto del personale (specificare dove, come, quando e da chi devono essere trattati i dati).
Capire quali informazioni sono sensibili e valutare il loro livello di esposizione verso l'esterno.
Stabilire protocolli di sicurezza, politiche e procedure per i dati sensibili.
Allenare il personale di interesse nelle procedure di sicurezza di interesse.
Testare casualmente, senza riferirlo, tale infrastruttura.
Utilizzare un servizio di gestione dei rifiuti con depositi chiusi con lucchetti apribili solamente dal personale di pulizia autorizzato (i rifiuti informatici possono essere utili per i possibili attaccanti).
A livello personale, sono consigliate inoltre tali contromisure:[16]
Diffidare da mail o telefonate non sollecitate, specialmente se da parte di persone che chiedono informazioni sui dipendenti o riguardo all'azienda (anche finanziarie). Documentarsi prima su chi richiede tali dati (autorità).
Non diffondere informazioni sensibili in rete senza verificare il livello di sicurezza e attendibilità del sito.
Controllare sempre la URL del sito web, poiché potrebbe contenere alcune lievi differenze rispetto all'originale.
Documentarsi meglio sul mittente del messaggio, senza far riferimento solamente alle informazioni di contatto, ma andando a ricercare i possibili attacchi nelle liste di phishing trovabili tramite motore di ricerca.
Evitare di aprire allegati o file eseguibili di dubbia provenienza.
Se si è a conoscenza di essere stati vittima di un attacco di ingegneria sociale:
In ambito aziendale è importante comunicare il tutto agli amministratori di rete e ai responsabili della sicurezza interna.
Nel caso siano stati coinvolti dei conti bancari, è necessario contattare la banca di interesse mettendo sotto controllo il saldo e i movimenti.
Se sono state comunicate delle password, bisogna cambiarle anche negli altri siti dove le medesime erano utilizzate.
Considerare anche la comunicazione verso un'autorità competente (es: Polizia postale).
^ Luigi Cristiani, ABC della sicurezza: Social Engineering, su techeconomy.it. URL consultato il 16 aprile 2016 (archiviato dall'url originale il 21 aprile 2016).
^No Tailgating, su Information Security Tips from Westfield Insurance. URL consultato il 13 aprile 2016 (archiviato dall'url originale il 10 giugno 2016).
^Train For Life, su trainforlife.co.uk, 5 gennaio 2010. URL consultato il 13 aprile 2016 (archiviato dall'url originale il 5 gennaio 2010).
^Mitnick, K., & Simon, W. (2005). "The Art Of Intrusion". Indianapolis, IN: Wiley Publishing.