Ingegneria sociale, ovvero come sfruttare i punti deboli dell’uomo

Gli specialisti informatici si occupano di garantire la sicurezza su tutti i livelli del modello ISO/OSI, ma spesso le vulnerabilità maggiori non si trovano nella rete, bensì nel fittizio livello 8, a 40 centimetri dallo schermo, dove gli utenti in carne e ossa interagiscono con la tecnologia. Lo sanno bene i truffatori che sfruttano le tipiche qualità dell’uomo e i comportamenti comuni come la disponibilità, la fiducia nel prossimo, il rispetto, la fierezza, la riconoscenza, l’evitare i conflitti o la paura, per riuscire ad avere accesso illegalmente ai sistemi IT, usando il famoso metodo dell’ingegneria sociale, che provoca ogni anno miliardi di danni su scala globale. Per le aziende è perciò indispensabile sensibilizzare appropriatamente i lavoratori su questo tema e stabilire delle chiare linee guida per sapere come gestire le informazioni confidenziali.

Anche la password più sicura offre poca sicurezza, se affiora sulle labbra degli utenti mentre parlano con gli sconosciuti. L’ingegneria sociale comprende diversi trucchetti psicologici che vengono impiegati nell’ambito dello spionaggio industriale, per strappare ai lavoratori informazioni importanti. Gli hacker utilizzano queste tecniche per infiltrarsi nei sistemi informatici e avere accesso ai dati sensibili di un’azienda: si parla così anche di social hacking. Inoltre, l’ingegneria sociale viene utilizzata per indurre i dipendenti ad azioni sconsiderate, come ad esempio l’installazione di un programma sconosciuto o transazioni finanziarie sospette. Non è richiesto un contatto diretto tra il truffatore e la vittima. Anche le e-mail di phishing, che mirano a ingannare gli utenti, si basano sull’ingegneria sociale. Un classico è anche ricevere una chiamata di un presunto amministratore di sistema a cui serve la password della segretaria per risolvere velocemente un problema improvviso.

L’idea dell’ingegneria sociale sembra banale, ma si dimostra nella pratica uno dei metodi più efficaci di infiltrazione perché fa leva sulle caratteristiche positive e negative, che si trovano in quasi tutte le persone. Infatti in quasi tutti gli ambienti si cerca di essere socievoli, gentili e sempre pronti ad aiutare. Molte persone hanno difficoltà a rifiutare di fare un favore in una situazione di emergenza e per paura di reagire in modo sbagliato in situazioni sconosciute, molti decidono di essere cooperativi.

Ma non sono sempre le qualità dell’uomo ad essere al centro dei tentativi di manipolazione. Anche l’essere orgogliosi del proprio lavoro o dei propri successi può spingere lavoratori e dirigenti a vantarsi di informazioni sensibili, ad esempio durante una valutazione della soddisfazione dei clienti o un colloquio di lavoro. Spesso la tendenza ad evitare conflitti comporta che vengano eseguite azioni poco sicure contro ogni buon senso. Invece, la paura fa compiere azioni avventate, come ad esempio quella di fornire informazioni dettagliate sul router e sulla sua configurazione ad un presunto tecnico al telefono che paventa un pomeriggio senza Internet. Chiamate di questo tipo intimidiscono soprattutto i lavoratori con poche conoscenze informatiche perché sono piene di termini tecnici a loro sconosciuti. I “social hacker” si approfittano anche della paura dei superiori, infatti un tipico trucco è fingere un ordine di pagamento da parte del capo.

Per ingannare le loro vittime, i truffatori si fingono solitamente colleghi, superiori o candidati. Gli hacker si calano così nel ruolo di un impiegato del servizio che deve raccogliere informazioni sul grado di soddisfazione dei clienti o che deve condurre per conto di un istituto di ricerca un sondaggio del settore.

I così chiamati ingegneri sociali non si limitano necessariamente ad un unico contatto. È possibile anche chiedere alla vittima dopo un certo periodo alcuni piccoli favori o continuare a farsi risentire di tanto in tanto. Il tentativo di hacking vero e proprio avviene solo quando si è instaurato un certo rapporto di fiducia e l’hacker ha raccolto le informazioni necessarie per poter ingannare la vittima facilmente. Ma uno spionaggio di questo tipo presuppone una ricerca dispendiosa. Tra le possibili fonti di informazione rientrano, oltre alla pagina aziendale, i social network come Facebook o LinkedIn e alcuni criminali si spingono addirittura molto oltre con il “dumpster diving”, ricercando nel cestino della vittima documenti di lavoro buttati senza pensarci troppo.

L’ingegneria sociale per e-mail o per telefono è molto comune perché permette l’automatizzazione di questi attacchi con pochi accorgimenti tecnici. Il rischio di rivelare inavvertitamente segreti aziendali o dati di accesso esiste anche nei mezzi pubblici o in luoghi come bar, ristoranti o locali, quando più colleghi conversano in un’atmosfera rilassata sui numeri, i processi o i contatti dell’azienda. Anche i dipendenti che hanno conversazioni di lavoro al telefono discutono spesso di informazioni riservate alla luce del giorno e senza preoccuparsi di possibili ascoltatori.

Una variante dell’ingegneria sociale basata su un software si appoggia su programmi dannosi specifici, che impauriscono gli utenti e li inducono così a compiere precise azioni: si parla in questo caso di scareware. I programmi di questo tipo seguono questo schema: gli utenti vengono informati da un software su una specifica minaccia e gli viene mostrata allo stesso tempo una semplice soluzione, che comprende in genere l’azione voluta dall’hacker. Spesso lo scareware viene posizionato prima sul computer della vittima. Un punto di appoggio è offerto qui dalla fiducia riposta in marchi conosciuti, aziende o istituzioni. Per invogliare l’utente ad installare spontaneamente un malware, i truffatori usano, tra gli altri, nomi e loghi che si confondono facilmente con prodotti famosi affidabili.

Così uno scareware si può ad esempio nascondere in un programma antivirus gratuito, che suggerisce all’utente, dopo l’installazione, una serie di infezioni fittizie e offre come soluzione al problema il download della versione completa a pagamento. Dopo che l’utente ha pagato, gli avvisi vengono semplicemente disattivati.

L’uso di scareware non prevede necessariamente un’infiltrazione nel sistema, ma può anche iniziare ad esempio tramite un’animazione su un sito, che fa credere alla vittima di aver subito un attacco hacker. Le “misure di sicurezza” offerte dallo scareware comprendono in questo caso il download di un trojan, che consente poi l’attacco vero e proprio. In una variazione di questo schema di attacco il messaggio di errore non viene mostrato sul sito, ma viene semplicemente attivato come un avviso del browser. Sono anche possibili delle finestre pop-up, che imitano i conosciuti avvisi del sistema di Windows.

Per proteggere efficacemente la propria azienda dall’ingegneria sociale, bisogna sensibilizzare i dipendenti che sono in possesso di informazioni riservate. Per concentrare l’attenzione sul tema spionaggio industriale si possono organizzare dei corsi in cui si spiegano tutti gli schemi di attacco comuni degli hacker e le loro conseguenze. Inoltre si consiglia di stabilire delle regole per procedere con i dati aziendali sensibili. Ad ogni dipendente dovrebbe essere chiaro quali informazioni dovrebbero rimanere segrete e dove è possibile utilizzare e salvare i dati sensibili.

I procedimenti standard per compiti amministrativi danno sicurezza ai lavoratori e indicano come ci si dovrebbe comportare in caso di situazioni critiche. Se ai dipendenti viene suggerito di non chiedere mai password personali dell’azienda per e-mail o al telefono, sarà difficile per i truffatori avervi accesso tramite uno di questi canali.

Visto che l’ingegneria sociale si basa sull’errore umano, non è possibile eliminare del tutto il rischio solo ricorrendo a misure preventive. Prestando attenzione ai seguenti punti, diventa più difficile per i truffatori avere accesso a informazioni sensibili:

• Diffidare di persone che non fanno parte dell’azienda: più un’azienda è grande, più è facile per persone non appartenenti all’azienda, dire di essere dei lavoratori o dei fornitori. Di solito diffidando degli estranei diminuisce il rischio di rivelare informazioni riservate dell’azienda, infatti si dovrebbero fornire dati sensibili solo ai colleghi, la cui identità è nota.
  
  
• Informazioni al telefono: non bisognerebbe dare informazioni sensibili al telefono, soprattutto nel caso si tratti di telefonate in entrata o di interlocutori sconosciuti. Anche informazioni apparentemente secondarie possono aiutare i truffatori a raccogliere informazioni sull’azienda e trarre magari in inganno altri colleghi.
  
  
• E-Mail con mittente sconosciuto: se il mittente di un’e-mail non è chiaramente identificabile, si consiglia di procedere con cautela. I lavoratori dovrebbero consultare in ogni caso un superiore o il reparto IT, prima di rispondere a messaggi simili. Se nel messaggio viene richiesto il compimento di un’azione inaspettata, ad esempio si chiede di effettuare eccezionalmente un bonifico, si consiglia di chiamare il presunto mittente per verificare la situazione.
  
  
• Cautela nel cliccare sui link e nell’aprire gli allegati delle e-mail: gli utenti trovano sempre più spesso e-mail nella loro casella di posta, che comprendono link nel testo. I truffatori utilizzano tecniche di questo tipo per ottenere dati bancari, password o codici cliente, ma pratiche di questo tipo sono poco comuni in ambito commerciale. Le banche, negozi online seri o istituti assicurativi non richiedono ai clienti di aprire un sito e di inserirvi i loro dati sensibili. Si consiglia sempre di stare attenti ad aprire gli allegati, perché possono contenere malware, che si installano a vostra insaputa, fornendo accesso al sistema a persone non autorizzate. È possibile ridurre questo rischio, esortando i dipendenti ad aprire solo allegati alle e-mail di mittenti conosciuti.
  
  
• Protezione dei dati sui social network: la preparazione di attacchi di ingegneria sociale avviene generalmente molto prima rispetto all’attacco vero e proprio. Oltre al sito aziendale, anche i social network offrono spesso ai truffatori informazioni sufficienti per confezionare i loro tentativi di manipolazione in una storia credibile. Generalmente vale il fatto che più un dipendente fornisce informazioni su di sé in rete, più si espone ai rischi dell’ingegneria sociale diventando un facile bersaglio. Per questo bisognerebbe informare i dipendenti sulle opzioni offerte nelle impostazioni della sfera privata e stabilire delle chiare regole su come procedere per i contenuti relativi all’azienda sui social network.

La complessità del tema e la varietà degli schemi di attacco rendono però impossibile per i dipendenti essere preparati a tutti i possibili tipi di attacchi di ingegneria sociale. Tenere regolarmente corsi sulla protezione dei dati riporta l’attenzione su questo tema e crea una maggiore consapevolezza dei potenziali rischi. Tuttavia, non bisognerebbe esagerare con le misure di prevenzione, perché è difficile ottenere una collaborazione proficua, se si lavora in un clima dove regna una costante paura di sbagliare e diffidenza generale nei confronti degli altri.