Le tecniche di base
Nell’arsenale psicologico dell’aggressore ci sono vari grimaldelli per scardinare le vostre difese mentali:
* autorevolezza
* colpa
* panico
* ignoranza
* desiderio
* avidità
* buoni sentimenti
L’aggressore li usa singolarmente o in combinazione per ottenere il risultato desiderato.
Autorevolezza
C’è qualcosa nell’e-mail che ci induce a credere istintivamente alla sua autenticità. Probabilmente è il fatto che l’e-mail, essendo visualizzato con caratteri tipografici, eredita l’autorevolezza della carta stampata o delle comunicazioni burocratiche ufficiali. Con i programmi di posta cosiddetti “evoluti”, che visualizzano anche le immagini allegate ai messaggi, un e-mail può anche contenere un logo aziendale o un altro marchio di fiducia, che ne aumenta ancora l’autorevolezza (reale o apparente).
Ma il mittente di un e-mail è falsificabile con estrema facilità, e anche un sito è altrettanto facilmente falsificabile. Un e-mail che sembra arrivare da un indirizzo Microsoft, per esempio, è facilissimo da confezionare, con tanto di marchi e icone indistinguibili dagli originali. Inoltre siamo tutti un po’ condizionati ad accettare l’autorità altrui e a ubbidire ai comandi se impartiti con autorevolezza.
L’aggressore fa leva sul cosiddetto principio d’autorità: si spaccia per una fonte autorevole (un’azienda, un ente, un governo) e ci manda un messaggio in cui ci chiede per esempio di installare subito il software allegato (per esempio un falso “aggiornamento di sicurezza” di Windows) oppure di leggere il documento allegato o visitare un certo sito-trappola, oppure di mandargli le nostre password “per un controllo”. L’allegato o il sito contengono software che veicola l’infezione o ruba i codici di accesso, ottenendo i risultati desiderati dall’aggressore.
Sono richieste che ignoreremmo istintivamente se provenissero da una fonte non autorevole, ma il principio d’autorità ci fa abbassare le difese.
Colpa
Tutti ci sentiamo colpevoli di qualche cosa, e probabilmente lo siamo. Non ditemi che non avete mai visitato un sito porno o usato software pirata o scaricato una canzone o un film da Internet. L’aggressore fa leva su questo principio di colpa per piegarvi al suo volere: vi fa credere di essere a conoscenza di un vostro misfatto e vi offre un modo per nasconderlo. In questo modo crea una complicità, si presenta come vostro salvatore, e voi cadete nella trappola di ubbidire ai suoi comandi.
Per esempio, potreste ricevere un e-mail in cui un “Ente di Sorveglianza Internet” vi dice di essere al corrente di una vostra attività online illecita e vi propone di regolarizzare la vostra posizione installando il programma allegato all’e-mail. Sappiamo tutti che non si devono eseguire allegati di fonte sconosciuta, ma il senso di colpa tenderà a farcelo dimenticare. Naturalmente il programma allegato è un virus o simile.
Panico
Un altro degli strumenti preferiti degli aggressori è suscitare il panico. Quando siamo spaventati, le nostre facoltà razionali si annebbiano e diventa più facile ingannarci. L’aggressore può, per esempio, inviarci un e-mail in cui dice che è in circolazione un pericolosissimo virus che non viene ancora rilevato dai normali antivirus, ma che viene debellato dal programma allegato; però bisogna fare presto!!
Ancora una volta, se la richiesta di eseguire l’allegato giungesse in un messaggio normale, non abboccheremmo: ma siccome siamo spaventati dal contenuto del messaggio, tendiamo a cadere nella trappola.
Ignoranza
Ammettiamolo, è praticamente impossibile sapere tutto del funzionamento di Internet e di tutti i complicatissimi apparecchi che ci circondano. Così l’aggressore può confezionare un messaggio che sembra serio e affidabile perché dice un sacco di cose che non capiamo ma che hanno l’aria molto tecnica e (nella nostra ignoranza) plausibile.
Per esempio, difficilmente abboccheremo a un messaggio di uno sconosciuto che dice “Ciao, installa questo allegato!”, ma sarà più facile cadere nel tranello se il messaggio proviene da uno sconosciuto che invece dice “l’interocitore rilevato nel Suo computer è disallineato rispetto ai compensatori di Heisenberg e sta disturbando le comunicazioni della nostra rete. Si consiglia vivamente di eseguire l’allegato programma di riallineamento, codice identificativo AXZ-176-TOO74, certificato AF709-SOFT-001″.
Desiderio
Certi istinti primordiali sono una manna dal cielo per chi vuol fregarvi. Per esempio, l’idea di poter scaricare immagini e filmati porno manda in pappa il cervello di quasi tutti gli utenti maschi. Se un maschietto riceve un e-mail che gli promette formose visioni (magari di qualche personaggio famoso) se solo esegue l’allegato programmino o visita un certo sito, state certi che abboccherà quasi sempre, anche se in circostanze normali sarebbe stato più guardingo.Il sesso è una molla classica degli inganni online: gli anni passano, ma funziona sempre.
Avidità
Anche l’avidità è uno strumento prezioso per l’aggressore. E’ difficile resistere al richiamo di chi sembra offrirci un “affare eccezionale” o un “sistema infallibile” per diventare ricchi o piratare il software o avere qualcosa a scrocco (musica, suonerie per cellulari, vincite alla lotteria). Purtroppo si tende sempre a dimenticare che se una cosa sembra troppo bella per essere vera, probabilmente è perché non è vera.
Buoni sentimenti
La pornografia è il grimaldello ideale per far vittime fra i maschi, ma con il gentil sesso non attacca. Ci vuole un approccio più sofisticato, più soft. In questo caso gli aggressori usano sedurre le proprie vittime ricorrendo a espedienti che fanno leva sull’amore o sui buoni sentimenti (meglio se un po’ sdolcinati).
Per esempio, l’aggressore invia un e-mail in cui dice che “qualcuno ti sta pensando, se vuoi sapere chi è, clicca sull’allegato”. Uno dei virus più devastanti si chiamava I love you dal titolo del messaggio che lo accompagnava: quest’anonima dichiarazione d’amore fu sufficiente a indurre milioni di utenti (maschi e femmine) ad aprire l’allegato, attratti dall’esplicita lusinga, facendosi sistematicamente infettare.
Un altro esempio di questa tecnica è dato dai tanti e-mail che contengono strazianti appelli per salvare bambini malati o nidiate di gattini o per fare donazioni a favore di enti più o meno sconosciuti: sono quasi sempre trucchi per indurvi a comunicare i dati della vostra carta di credito o a visitare un sito che tenterà di infettarvi. Gli enti benefici veri, quelli legittimi, difficilmente distribuiscono appelli via e-mail.
Come difendersi
Ora che conoscete per sommi capi le tecniche di social engineering, siete già in gran parte vaccinati: vi mancano soltanto una regola fondamentale, facile da seguire, e un po’ di allenamento nel riconoscere i sintomi del social engineering.
La regola fondamentale è questa:
Non fidatevi di nessuno su Internet fino a prova contraria. Nessuno!
Ho accennato a quanto è facile spacciarsi per qualcun altro su Internet. Più sotto ne troverete alcuni esempi notevoli. Chi vuole fregarvi cercherà di conquistarsi la vostra fiducia spacciandosi per un vostro amico, collega o conoscente (lo fanno quasi tutti i virus) o per una fonte autorevole (Microsoft, America Online, Telecom Italia, Ebay, PayPal o la vostra banca, per esempio). Qualsiasi messaggio che vi chieda di fare qualcosa va verificato prima di decidere cosa farne. Chiamate il vostro amico/collega o informatevi in giro tramite Google sull’esistenza di un comunicato ufficiale che confermi l’autenticità del messaggio. Nel dubbio, non fate nulla e soprattutto non eseguite le istruzioni ricevute.
Per quanto riguarda l’allenamento, invece, vi propongo qui sotto una carrellata di esempi reali di social engineering perpetrato tramite Internet. Probabilmente riconoscerete messaggi che avete ricevuto anche voi. Questa breve rassegna illustra l’astuzia e la creatività dimostrate da chi ordisce questi raggiri telematici.
fonte: http://www.attivissimo.net/security/soceng/soceng.htm
libri consigliati: l arte dell' intruzione e l' arte dell inganno
Nessun commento:
Posta un commento