Phising
adv

Al giorno d’oggi il termine ingegneria sociale, o social engineering, riconduce più facilmente il lettore all’ambito informatico che a quello delle scienze sociali da cui si origina. In tale ambito, infatti, si è guadagnato fama negativa grazie all’uso che ne viene fatto per gli attacchi informatici. In cosa consiste?

In un’epoca in cui tutto è social, gli attacchi informatici non sono da meno. Quando pensiamo ad un hacker, pensiamo ad una figura con abilità quasi mistiche con il computer, in grado di smontare un programma e rimontarlo a suo piacimento.

Figure simili, capaci di carpire dati senza interazione della vittima, esistono ma spesso, per condurre un attacco, basta molto meno: credenziali d’accesso, informazioni sensibili e dati simili possono essere carpiti agevolmente anche con un po’ di manipolazione psicologica. Questa pratica va sotto il nome di social engineering.

Phishing

Classico esempio di social engineering è il phishing: l’invio di email in cui si richiede di rispondere fornendo dati oppure di collegarsi al link riportato ed inserire le credenziali. In questo tipo di attacco è fondamentale che l’email sia verosimile, così come il portale che si apre utilizzando il link in essa contenuto. Per fortuna, il più delle volte, tali email sono identificabili da segnali come:

  • Presenza di punti esclamativi e comandi che tendono a mettere sotto pressione la vittima per fargli compiere delle azioni

  • Grammatica scorretta

  • Indirizzi mittente complessi che non corrispondono all’indirizzo cui si risponderebbe se si eseguisse l’apposito comando sul client di posta

  • Incoerenza tra nomi, nella firma in calce alla mail, etc.

Email preparate a mestiere non richiedono neanche che si apra un allegato o si clicchi su un link (tecnica del click-jacking), basta cliccare all’interno del messaggio per attivare script nascosti.

La paura di un problema sul conto postale o bancario, la curiosità per il messaggio di qualche spasimante e messaggi simili ed il senso di urgenza in esso contenuti possono indurre la persona ad assecondare la richiesta.

Secondo uno studio condotto da KasperskyLab l’email è la prima forma di contagio dopo il web surfing (la classica navigazione sul web).

Baiting

Un colpo di fortuna fa sì che troviamo una chiavetta USB da 1GB di memoria “dimenticata” al tavolino del bar o caduta per terra, che peccato sarebbe non raccoglierla. All’interno della chiavetta, però, c’è un malware che può infettare il computer su cui viene letta. Anche qui la componente di social engineering induce la vittima ad usare l’oggetto fortuitamente trovato.

Shoulder surfing

Tecnica impropria che consiste nel semplice sbirciare alle spalle della vittima designata, cercando di cogliere informazioni utili. Diversi utenti si avvalgono di pellicole da applicare sullo schermo del laptop per inibire la visuale del monitor da prospettive angolate.

P2P e social network

Anche il download da siti peer-to-peer può nascondere insidie sotto forma di generatori di licenze per programmi, emulatori ed altri eseguibili utili che, oltre al loro lavoro, potrebbero compiere azioni secondarie.

I social network, invece, tendono a sedurre i visitatori con giochi e quiz o sfruttano la vanità per far inserire i propri dati e rivelare improbabili accostamenti a questo o quel personaggio famoso o protagonista di un racconto.

Altre fonti di rischio

Esistono attacchi che hanno delle componenti inusuali, come l’utilizzo di mezzi estranei ad internet. La componente di social engineering sta nell’indurre un falso senso di sicurezza nella vittima che, grazie all’estraneità, tenderà a scollegare la richiesta dalla frode informatica.

Alcuni attacchi cominciano via mail chiedendo, però, di inviare delle informazioni tramite vie non informatiche come il fax. Altri mandano a casa dei CD con aggiornamenti che, in realtà, contengono spyware. Quest’ultimo tipo di attacco è avvenuto in Giappone con alcuni clienti di una banca, i cui indirizzi erano stati rubati precedentemente dal DataBase della banca stessa.

Pur disponendo di ottime infrastrutture di sicurezza, la social engineering ci mostra, quindi, come gran parte delle debolezze di un sistema informatico risieda tra la tastiera e la poltrona.