Il social engineering – o ingegneria sociale – è una disciplina che sfrutta processi cognitivi di influenzamento, inganno e manipolazione per indurre una persona a compiere un’azione o a comunicare informazioni riservate.
L’attacco fa, dunque, leva su tratti caratteristici dell’essere umano, come la disponibilità e la buona fede dell’attaccato, l’ignoranza e la disattenzione o, ancora, la paura, l’urgenza, la gratitudine.
L’ingegneria sociale è un’arma potente ed efficace per i criminali informatici (si pensi, ad esempio, agli attacchi phishing), ma non nasce con l’informatica: lo stesso stratagemma del Cavallo di Troia, a ben guardare, altro non è stato che un attacco di ingegneria sociale (ottimamente perpetrato).
La vittima dell’attacco potrebbe pagare, ad esempio, la sua disponibilità ad aiutare qualcuno (tenendo aperto un cancello o una porta ad un estraneo, se questi fingesse di non trovare le chiavi o il badge), il rispetto per l’autorità o le divise (se l’attaccante indossasse gli abiti di un medico o di un agente delle forze dell’ordine), la paura (se gli fosse comunicato che un conoscente si trova in grave pericolo o che vi è l’urgenza di operare sul suo computer aziendale al fine di scongiurare un attacco hacker) o ancora la gratitudine e la sensazione di essere “fortunati” (se trovasse ad esempio a terra o accanto alla propria autovettura una chiavetta usb).
L’ingegnere sociale e la sua vittima
Da un punto di vista criminologico, l’ingegnere sociale viene descritto come un soggetto con un grado di istruzione medio-alto, ben integrato nel contesto sociale, abile nel gestire le proprie emozioni e nel rapportarsi con gli altri, sfruttando gli elementi tipici dell’essere umano, ma sapendo cogliere eventualmente anche le debolezze specifiche della persona che ha di fronte.
Non si tratta dunque necessariamente di un esperto informatico, ma senz’altro l’ingegnere sociale conosce fondamentali nozioni di sociologia e psicologia.
Non esiste, invece, una vittima ideale di un simile attacco, anzi, come sostengono gli esperti, “there’s no patch for human stupidity”: non c’è rimedio per la stupidità umana.
Non è detto, infatti, che la vittima sia uno sprovveduto o uno sciocco o un soggetto debole e facilmente manipolabile, poiché la scelta dipende, piuttosto, dall’attacco che si intende sferrare e, dunque, dal ruolo ricoperto o delle informazioni condivise sui social network o, più in generale, reperibili.
Gli attacchi di ingegneria sociale
Un attacco di ingegneria sociale si suddivide generalmente in quattro fasi principali:
- Preparazione (o footprinting) – l’attaccante ricerca le informazioni sulla vittima e sulle modalità con cui entrare in contatto (all’interno di un’azienda, ad esempio, come sono gestiti gli accessi? Chi è incaricato di svolgere il servizio di pulizia e quando? Com’è organizzata la segreteria? Come funziona la posta, sia essa elettronica o cartacea?);
- Contatto – una volta ottenute sufficienti informazioni sulla vittima, l’attaccante cerca di stabilire un contatto;
- Manipolazione – l’ingegnere sociale, una volta entrato in contatto con la sua vittima, utilizza tecniche psicologiche volte ad influenzarla e manipolarla, affinché questa comunichi informazioni riservate o compia un’azione (come, ad esempio, installare un software o aprire un accesso);
- Fuga– l’ultima fase è ovviamente quella in cui l’ingegnere sociale si allontana e fa perdere le proprie tracce.
Come difendersi dagli attacchi di ingegneria sociale
Per difendersi da attacchi di ingegneria sociale, le misure di sicurezza informatica e le misure organizzative sono fondamentali, ma non sufficienti: è necessario tenere costantemente alta l’attenzione delle persone, con appositi progetti di formazione e informazione.