L’espressione “ingegneria sociale”, o “social engineering”, indica la pratica di manipolazione delle emozioni e del pensiero di un utente con lo scopo di ottenere informazioni riservate, e non solo. Attraverso precise tecniche psicologiche si può facilmente indurre un individuo ad agire in modo dannoso e compromettente, per poi ricattarlo. Vediamo insieme come funziona questo tipo di attacchi informatici e, più nel dettaglio, a quali espedienti ricorrono gli hacker.
L’ingegneria sociale e gli attacchi hacker
Chi ricorre alle tecniche di ingegneria sociale per attaccare un profilo virtuale agisce seguendo uno schema ben preciso. Generalmente, gli attacchi hacker si articolano nelle seguenti fasi:
1. Footprinting, la fase di analisi
L’ingegnere sociale si impegna per recuperare tutte le informazioni necessarie per colpire i suoi bersagli: indirizzo emai, recapiti telefonici, dati anagrafici e altre informazioni sensibili. Questa fase di analisi della vittima può richiedere anche settimane di ricerche. Tanto più si dispone di dati riguardanti vittima, tanto più l’attacco risulterà mirato ed efficace.
2. La fase di verifica
L’ingegnere sociale verifica l’attendibilità delle informazioni di cui dispone, rivolgendosi anche a terzi, o contattando direttamente la vittima con qualche stratagemma.
3. Lo studio dell’identità da imitare
A questo punto l’ingegnere sociale studierà la figura da impersonare per ingannare la sua vittima, assumendone lo stile comunicativo. Potrà quindi attaccare l’utente spacciandosi per una persona nota, o per un’istituzione di fiducia. Per farlo, ricorrerà a diverse tecniche psicologiche, facendo leva su diversi sentimenti umani.
Le basi psicologiche dell’ingegneria sociale
Gli esperti di ingegneria sociale ricorrono a diverse tecniche psicologiche per ingannare le loro vittime. Generalmente fanno leva su sentimenti umani molto forti quali l’autorevolezza, il panico, l’avidità, il senso di colpa, l’ignoranza, il desiderio e la compassione. Vediamo la cosa più nel dettaglio:
Autorevolezza
Una delle leve più efficaci per manipolare un utente è quella dell’autorevolezza. Spacciandosi per figure autorevoli come un’importante azienda, un ente governativo, o un istituto bancario, i criminali della rete riescono a ottenere facilmente grande autorevolezza. In questo caso, gli hacker studiano in modo molto dettagliato le forme espressive degli enti di riferimento, creando siti fraudolenti quasi identici agli originali, oppure inviando email con lo stesso template, gli stessi slogan e gli stessi servizi dell’ente che si sta imitando.
Panico
Il panico è un sentimento molto potente, che spinge le persone a risposte immediate e poco ragionate. In una situazione di panico una persona può essere quindi facilmente manipolata. Basterà convincerla del fatto che compiendo determinate azioni potrà risolvere l’imprevisto di cui è vittima e tornare quanto prima alle sue consuetudini. Prospettando a un utente l’incombere di un pericolo imminente, questo prenderà quanto prima delle contromisure. Spesso gli hacker inviano messaggi di allerta, allarmando l’utente in merito a presunti contagi da virus informatici. Questi messaggi spingono i riceventi a scaricare fantomatici antivirus che, una volta scaricati, riveleranno la loro natura di malware.
Avidità
Possedere un oggetto ambito e di moda è molto allettante, tanto più, se si riesce a ottenerlo a un ottimo prezzo. Per questo, molto spesso gli hacker sferrano attacchi ingannando gli utenti con la prospettiva di fare ottimi affari. Ricorrono all’utilizzo fraudolento di marchi famosi, offrendo prodotti molti noti a prezzi stracciati. Questo genere di annunci riguarda molto spesso accessori e capi di moda firmati, o prodotti tecnologici molto ambiti come l’ultimo modello di uno smartphone, e non solo.
Senso di colpa
Anche il senso di colpa è un sentimento molto forte. Se si spinge un utente a compiere un atto che lo farà sentire in colpa, sarà poi molto semplice manipolarlo. Un ingegnere sociale esperto sa bene come innescare una situazione che generi un profondo senso di disagio. Una volta innescato il meccanismo del senso colpa, una persona reagirà prontamente per uscire dall’impaccio. In questo contesto è facile ricattare un utente, spingendolo ad azioni inconsuete. Molto spesso in questi contesti gli hacker minacciano la diffusione di materiali compromettenti, chiedendo in cambio sostanziosi riscatti in denaro.
Desiderio
Il desiderio è uno stimolo potentissimo. Contenuti di tipo pornografico, o potenziali occasioni d’incontro, allettano moltissimi utenti della rete. La circolazione di video pornografici è un ottimo strumento per la propagazione di malware. Desiderio e curiosità inducono molti utenti ad aprire link infetti, installando software malevoli e contribuendo alla loro diffusione in rete attraverso email e social media.
Ignoranza
La tecnologia evolve sempre più rapidamente e non tutti gli utenti riescono a restare al passo con i cambiamenti in atto. Padroneggiare gli strumenti offerti dalla rete non è sempre semplice. In particolar modo, gli utenti più avanti con l’età possono trovarsi in seria difficoltà operando online. I criminali della rete sfruttano abilmente la mancanza di conoscenza degli strumenti informatici di alcuni utenti, inducendoli sistematicamente nell’errore.
Compassione
Anche i buoni sentimenti sono una leva molto potente per manipolare gli individui. Ricevere una richiesta di aiuto da parte di una persona in difficoltà ci tocca nel profondo e ci spinge ad agire rapidamente, tanto più se conosciamo personalmente chi ci chiede assistenza. Attraverso questa tecnica gli hacker possono indurre gli utenti a fare donazioni in denaro, a scaricare app o a cedere dati sensibili.
Come difendersi dagli attacchi hacker?
Per difendersi dalle insidie dell’ingegneria sociale è importante avere consapevolezza dei pericoli della rete e conoscere gli strumenti attraverso cui gli hacker operano. È fondamentale imparare a riconoscere gli schemi d’azione del crimine. La regola d’oro resta sempre quella di non mai fidarsi di richieste dubbie e di non cedere mai informazioni personali in rete. Nel caso ti arrivassero richieste di aiuto da parte di utenti noti, ti consigliamo sempre di contattarli preliminarmente per altre vie, ad esempio al telefono, così da accertarti della veridicità della loro richiesta prima di agire. È importante ricordare anche che banche e istituzioni governative non chiedono mai agli utenti di comunicare al telefono, o via email, i loro dati sensibili.
Non da ultimo, è essenziale utilizzare sistemi di sicurezza informatica sempre efficienti, aggiornati e in linea con le tue necessità particolari. Metti al sicuro le tue email con un efficiente servizio di Email Filtering. Ricorri a soluzioni integrate per la sicurezza della posta elettronica come Email Security. Scegli il servizio più adatto alla protezione della tua email aziendale, contattaci subito per ricevere una consulenza personalizzata Zimbra.