Chi ha detto che gli hacker devono per forza utilizzare programmi sofisticatissimi per adempire al loro scopo? A volte basta qualche programmino facile facile ed un po di SOCIAL ENGINEERIGNG... A questo proposito nasce questa "guida" su cosa è...
Cos’è il social engineering?
Dietro quest’espressione altisonante si cela un concetto molto semplice: fregare il prossimo con la psicologia. Il social engineering è l’insieme delle tecniche psicologiche, non informatiche, usate dagli aggressori online per farci fare quello che vogliono: per esempio, indurci a dare loro i nostri codici di accesso, ad aprire i loro allegati infetti o a visitare un sito che contiene dialer o altro materiale pericoloso.
Ripeto: per fare social engineering non occorrono competenze informatiche: basta conoscere la psicologia di base delle persone, che è uguale per tutti. Reagiamo tutti allo stesso modo ad alcuni stimoli di base. Il furbo online che vi vuole fregare usa questa conoscenza per piegarvi al suo volere.
Lo scopo di quest’articolo non è insegnare a fregare il prossimo, ma insegnare a riconoscere i tentativi di fregarvi. Conoscere le tecniche di social engineering è il modo migliore per non finirne vittima. Troverete inoltre che le tecniche usate dagli imbroglioni online sono molto illuminanti per quanto riguarda il modo in cui la gente ragiona (o sragiona), in Internet e nel mondo reale.
A cosa serve il social engineering?
Serve ad arrivare là dove non si arriva con i normali strumenti di intrusione informatica. Uno dei principali problemi degli autori di virus, che ambiscono a raggiungere la massima propagazione possibile (è una sorta di gara a chi piscia più lontano), è che molti programmi di posta non sono così stupidi da eseguire automaticamente gli allegati, anche se le vecchie versioni di Outlook e Outlook Express sono notoriamente ingenue in questo senso, e molti utenti adottano le precauzioni elementari costituite da antivirus, firewall e buon senso.
Per scavalcare queste precauzioni c’è un modo molto semplice: indurre la vittima, tramite espedienti psicologici e non informatici, a fidarsi dell’allegato e quindi eseguirlo, in barba al buon senso.
Un altro scopo degli aggressori è indurre l’utente a fidarsi del contenuto del messaggio che mandano e quindi eseguirne i comandi: per esempio, un aggressore può creare un messaggio che indice l’utente a visitare un falso sito Web, costruito in modo da somigliare a uno autentico e affidabile (una banca o PayPal o Microsoft o quello di un provider, per esempio), e a immettervi i propri codici d’accesso. La vittima crede di comunicare con la propria banca, in realtà sta comunicando i propri PIN e password al malfattore, con tutte le ovvie conseguenze del caso.
A prescindere dal metodo, si tratta comunque di creare fiducia nella vittima. A quel punto può scattare la trappola, che può sfruttare le conoscenze informatiche più o meno sofisticate dell’aggressore.
Preconcetti da buttare
Non cominciate a dire “io sono troppo colto/intelligente per abboccare”. Essere vittima del social engineering non è una questione di lauree o di quoziente intellettivo. Ho in archivio casi spettacolari di social engineering perpetrato ai danni di professionisti, professori, ingegneri e primari d’ospedale. Ci casca chiunque non conosca le tecniche psicologiche del social engineering.
Non fate affidamento sul vostro antivirus, firewall o altro software di difesa. Il social engineering è fatto apposta per aggirarli. Nel vostro sistema di difesa informatica, siete voi (o i vostri dipendenti o colleghi) l’anello più debole: è inutile avere il più bel sistema di protezione dell’universo, se poi la vostra segretaria ne consegna la password a chiunque le mandi un e-mail spacciandosi per un tecnico Microsoft o simili.
Nel prossimo post analizzeremo i tipi di "attacco" che un ingeniere sociale utilizza per i suoi scopi.
Nessun commento:
Posta un commento