Social Engineering: un’introduzione
La mente umana è un’invenzione meravigliosa. È interessante notare quanto riesca a essere creativa la gente quando si tratta di inventare modi subdoli per ottenere quanto le pare o per togliersi da una situazione spinosa. Dovete usare la medesima creatività e immaginazione per proteggere i sistemi informatici e di informazione nei settori pubblici e privati. Perciò, gente, quando pensate alle politiche di sicurezza delle vostre aziende […] siate creativi e pensate fuori dal sentiero tracciato. (Kevin Mitnick, L’Arte dell’Inganno, 2002.)
Sono trascorsi venti anni esatti dalla pubblicazione del libro L’Arte dell’Inganno, in cui il già famigerato Kevin Mitnick, primo hacker della storia, spiegava al mondo come fosse riuscito a violare il perimetro di sicurezza cibernetica di grandi imprese, agenzie governative e banche, facendo leva sulle fragilità psicologiche delle persone.
Chi era Kevin Mitnick, l’hacker più famoso della storia
Il giovane Mitnick non ebbe un’infanzia facile. A causa dei problemi in famiglia divenne un giovane introverso e riflessivo, poco socievole, ma estremamente scaltro. Dedicando molto tempo allo studio delle reti di comunicazione, imparò presto a muoversi nei sistemi informatici delle compagnie telefoniche presenti nella sua zona, mascherando sempre la propria utenza e scovando i varchi da cui accedere indisturbato alle apparecchiature di trasmissione. Quando incontrava un sistema realmente difficile da violare, Mitnick escogitava trucchi elementari ma efficaci, come telefonare con un numero interno facendo finta di essere il responsabile di qualcosa, chiedendo password, documenti riservati e tutto ciò che poteva tornargli utile. Come ebbe modo di spiegare anni più tardi nei suoi libri, in molti gli credevano, inviandogli tutto il materiale che lui chiedeva. Facendo ricerche e memorizzando il gergo dei dipendenti, arrivò ad impersonare chiunque, facendosi consegnare codici e numeri telefonici top-secret, che gli consentivano di alterare linee telefoniche, accedere a numeri non in elenco, effettuare chiamate interurbane gratuite e Incaricare i dipendenti di effettuare o interrompere le intercettazioni telefoniche.
Ad un certo punto aveva il controllo dell’intera rete della Pacific Bell. A tal proposito, Mitnick disse:
Una cosa che ho fatto per far credere alla persona al telefono che ero un dipendente della compagnia telefonica, è stato di usare la pubblicità di Pacific Telephone, quella che parte quando si è in attesa. Ho registrato questi annunci creando un nastro in loop. Quindi, ogni volta che chiamavo l’ufficio interno della compagnia telefonica, trovavo un modo per dire “oh, ho un’altra chiamata, lascia che ti metta in attesa.” Lasciavo che sentissero le loro stesse pubblicità, così, inconsciamente, si creava quella fiducia che faceva credere loro che io fossi realmente uno del gruppo. Una volta che fai parte del “gruppo”, ottieni cooperazione. Ottieni conformità.
Secondo Mitnick il fattore umano è veramente l’anello più debole nella sicurezza delle informazioni; dunque, l’unico approccio efficace per affrancarsi dai truffatori è di anticiparne i pensieri, imparando a ragionare come loro. “Per catturare un ladro ci vuole un ladro” disse ancora Mitnick, riproponendo un concetto già espresso dal grande prestigiatore James Randi (1928 – 2020), che si dilettò per tutta la vita a smascherare sedicenti maghi, guaritori, medium e parapsicologi. Anche Randi, grazie alla sua formazione da illusionista, dimostrò come essi ricorressero quasi sempre ad elementari giochi di prestigio, per simulare poteri occulti e abilità paranormali.
Che cos’è l’ingegneria sociale
C’è quindi un filo rosso che lega l’ingegneria sociale alla prestidigitazione, ossia lo sfruttamento dell’ingenuità. Ciò che rende possibile un attacco di ingegneria sociale non è affatto dissimile da ciò che spinse molti scienziati e ricercatori, anche quotati, a scambiare dei banali giochi di prestigio per prodigiosi fenomeni paranormali. Quando l’inganno viene ingegnerizzato, ovvero preparato su misura per colpire i punti deboli della vittima, fra cui abitudini, aspettative, timori, trascorsi, non è facile affrancarsene confidando sul proprio discernimento. Individuare elementi specifici che possono essere usati per influenzare il giudizio, predisponendo la mente ad accettare qualcosa che in circostanze normali non sarebbe neppure considerato plausibile, è il primo passo di ogni attacco di social engineering.
> Ti interessa l’argomento? Iscriviti al webinar Social Engineering: The Human Hacking
Gli attacchi più famosi
Nel 1987 uno studente tedesco della Technische Universität Clausthal programmò il primo worm distruttivo della storia, chiamato Christmas Tree EXEC, che possedeva la capacità di copiarsi ed autoinvitarsi via e-mail a tutti i contatti della rubrica di posta elettronica. Per convincere gli utenti ad aprire l’allegato contenente il worm, il suo geniale creatore decise di mascherarlo da biglietto di auguri natalizi, iniziando a diffonderlo proprio nel mese di dicembre, a ridosso delle festività natalizie. Chi poteva dubitare di un biglietto di auguri sotto le feste?
Un decennio dopo accadde qualcosa di analogo con ILOVEYOU, il virus più famoso della storia, anch’esso capace di diffondersi autonomamente attraverso l’elenco dei contatti di posta elettronica. In questo caso, l’allegato recante il codice maligno aveva l’aspetto di una lettera d’amore e risultava provenire da un contatto presente nel proprio elenco, infondendo un falso senso di sicurezza, se non anche di euforia, per coloro ai quali il mittente della lettera risultava essere proprio la persona amata.
ILOVEYOU ha causato danni stimati in 5,5 miliardi di dollari, costringendo Pentagono, CIA, e Parlamento britannico a spegnere temporaneamente i loro servizi di posta elettronica per liberarsene. Miliardi di file importanti, documenti contabili, cartelle mediche, file musicali e multimediali, furono sostituiti dal virus con copie di sé stesso, causando effetti collaterali e disagi tanto imprevedibili da non poter essere quantificati con certezza.
L’abitudine a scambiarsi lettere d’amore, che aveva accompagnato quella generazione di utenti, sin dall’infanzia, sommata alla fiducia nell’identità dei propri contatti e nel proprio servizio di posta elettronica, trasformò ILOVEYOU in una tempesta perfetta. Oggi, probabilmente, un siffatto attacco non avrebbe lo stesso impatto, perché le persone non si aspettano più di ricevere lettere d’amore ed usano servizi di messaggistica più immediati della posta elettronica per le comunicazioni intime o informali. Questo per chiarire che il successo di un attacco di social engineering sta proprio nel trovare il giusto pretesto, nel trovare una collocazione coerente nella quotidianità delle vittime.
> Inizia gratuitamente il corso Cyber Security Awareness
Social Engineering: il presente e il futuro
Gli attuali attacchi di social engineering sono quindi adattati al nostro tempo, sebbene tendano a fare leva su meccanismi di coercizione psicologica costanti, come autorevolezza, senso di colpa, panico, ignoranza, desiderio, avidità, compassione e molti altri. Anche gli obbiettivi degli hacker che praticano l’ingegneria sociale sono rimasti sostanzialmente stabili. In genere si tratta di sottrarre informazioni riservate per venderle illegalmente, ricattare le vittime, acquisire ascendente su uomini politici e d’affari, avvantaggiarsi nei contesti di lavoro, o vendicarsi di un torto subito.
Secondo un articolo pubblicato su Cisco Magazine a marzo 2021, la pandemia di Covid-19 ha aumentato in modo consistente il numero di utenti attivi su tutti i servizi on-line, oltre alla quantità di persone impiegate in remote working. Questi cambiamenti hanno fatto registrare un aumento di alcune tipologie di attacchi basati sul social engineering, fra cui il cosiddetto consent phishing che prevede la diffusione di applicazioni apparentemente innocue, come semplici videogames per passare il tempo o componenti aggiuntivi, che richiedono permessi di accesso ai file e alle funzionalità del dispositivo per essere abilitati. In questo modo, l’utente viene convinto a concedere tali permessi per sbloccare le funzionalità dell’applicazione, sebbene questo comporti l’accesso e la condivisione di molti dati e risorse che non dovrebbero essere condivisi.
Un’altra insidia in forte ascesa è il Deepfake. Si tratta di una tecnica per la sintesi di filmati di esseri umani che parlano, ottenuta combinando e sovrapponendo immagini e video esistenti con altri originali, tramite l’intelligenza artificiale e l’apprendimento automatico. I più esposti a questo tipo di attacchi sono gli utenti dei social media, su cui vengono postati video artefatti di politici, influencer e personaggi pubblici, che paiono pronunciare discorsi e prendere posizioni del tutto inesistenti. Benché il reale impatto dei Deepfake debba ancora essere quantificato, appare chiaro come questi si prestino a diffondere fake news, suscitare indignazione, diffidenza o odio, in particolare contro istituzioni e personalità di riferimento per le comunità. Molti esperti ritengono che questa tecnologia rappresenti ad oggi l’uso più preoccupante dell’intelligenza artificiale, che potrebbe persino cambiare i paradigmi della comunicazione uno a molti nel prossimo futuro.
Un’altra tipologia di attacchi che continua a fare scalpore, causando ingenti danni economici alle imprese, sono i ransomware. Questi malware vengono veicolati attraverso flash drive o applicazioni apparentemente innocue, ed una volta installati limitano l’accesso ai dati cifrandoli. In seconda battuta viene poi proposto all’utente il pagamento di un riscatto, generalmente in criptovaluta, per ripristinare i documenti in una forma leggibile, o recuperare il controllo del dispositivo infettato, senza garanzie. Il ransomware più noto è stato battezzato WannaCry, responsabile di un’epidemia su larga scala, che a partire dal 2017 ha infettato più di 200.000 computer in 150 paesi, causando danni per miliardi di dollari.
È ormai chiaro che gli attacchi basati sull’ingegneria sociale diventano ogni giorno più sofisticati e frequenti, sfruttando i punti deboli delle persone per penetrare nei perimetri di sicurezza delle organizzazioni, vanificando eventuali misure di sicurezza logica e fisica. Poiché il fattore umano rappresenta ancora un valore insostituibile nella maggior parte delle attività di impresa, non è possibile eliminare completamente questa vulnerabilità, ma la probabilità di successo degli attacchi di ingegneria sociale si riduce drasticamente quando gli utenti vengono formati e sensibilizzati su questi temi. Educare all’identificazione dei segnali di pericolo, oltre a svelare in anticipo trucchi e malizie impiegati dagli hacker, contribuisce a creare la consapevolezza che le apparenze ingannano e che ogni informazione condivisa, per esempio sui social network, potrebbe essere usata contro di noi.
> Scopri anche il corso Social Engineering: formazione e prevenzione