Social Engineering, di che cosa si tratta?

Dopo aver parlato delle tecniche di hacking finalmente è arrivato il momento del social engineering. Tra tutte le tecniche di attacco hacker è forse quella più subdola poiché riesce a fare leva più sulle vulnerabilità umane più che su quelle tecnologiche.

Ma partiamo dalle fondamenta, la definizione di social engineering:

Il social engineering è lo studio del comportamento umano in funzione alle pressioni di un attaccante.
Questa scienza comprende tutte le tecniche che spingono un utente a rilasciare i suoi dati personali e bancari direttamente all’hacker.

La buona riuscita di un attacco di social engineering riesce a creare un legame di fiducia tra attaccante e vittima ignara, che porta quest’ultima a fornire dati riservati oppure a installare in autonomia un malware.

1. Che cos’è il social engineering?

2. Tipologie di social engineering

3. Esempi di social engineering

4. Come riconoscere il social engineering

5. Come si svolge un attacco di social engineering

6. Quali elementi di forza del social engineering

7. Tecniche più diffuse di ingegneria sociale

8. Ingegneria sociale: l’importanza della prevenzione

9. Come tutelarsi dal problema

Tutti gli attacchi di social engineering possono normalmente essere classificati in 3 macro-categorie:

1. Mobile-based attack: in questa categoria rientrano gli attacchi di ingegneria sociale che si diffondono tramite mobile (tablet, smartphone) e che in genere veicolano malware.
2. Computer-based: si tratta di una tecnica che coinvolge strumenti informatici più articolati e competenze che vanno aldilà dell’invio di semplici e-mail, sms.
3. Human based: si tratta di campagne di social engineering basate sul contatto diretto tra attaccante e vittima;

Quando diciamo che il social engineering è in grado di fare leva sulle emozioni e debolezze dell’essere umano per riuscire a sottrarvi dati e informazioni sensibili intendiamo esattamente questo. Ecco alcuni esempi pratici di attacco:

• E-mail che propongono sconti, premi in denaro o lavori miliardari stando seduti sul divano

Se ricevete un’email e state pensando: troppo bello per essere vero, bene, considerate che probabilmente non lo è. In questo caso, la tecnica di hacking fa leva sulla curiosità e sul desiderio di ricchezza degli utenti.

• Messaggi e-mail che provengono da banche o istituti di credito

Se avete ricevuto un e-mail o un SMS  proveniente da una banca nel quale vi viene detto che il vostro conto corrente è bloccato e che dovete assolutamente effettuare l’accesso per confermare i vostri dati (ad un link specifico) si tratta di social engineering. In questo caso, l’attaccante fa leva sulla paura e il timore.

• E-mail che provengono da aziende di Consegne e Spedizioni

Vi è mai capitato di ricevere un messaggio (SMS o e-mail) che vi diceva che il vostro pacco era bloccato in un centro spedizioni e c’era bisogno dei vostri dati per sbloccarlo? Anche in questo caso l’hacker sta sfruttando il social engineering per sollecitare la vostra curiosità nonché la vostra fretta di ricevere quanto avete ordinato, entro i tempi brevi.

• Messaggi provenienti dalla Polizia postale

Vi è mai capitato di navigare su un sito web e di incappare in un pop-up che dice: Stai navigando illegalmente, clicchi qui per pagare la sanzione! Ebbene, anche in questo caso si tratta di criminali informatici che tentano di ingannarvi.

Il social engineering è talmente trasversale come scienza da potersi presentare sotto diverse forme alle sue vittime. Tuttavia, dopo anni di esperienza all’interno del settore cybersecurity possiamo dirlo con certezza:

riconoscere il social engineering è possibile se avete un minimo di sensibilità e spirito critico.

Ecco che insieme definiremo qualche linea guida semplice per identificare e prendere le distanze da questa minaccia. All’interno delle molteplici tecniche di attacco informatico con ingegneria sociale esistono delle caratteristiche immediatamente riconoscibili

L’attacco informatico contenente la classica minaccia social engineering è il messaggio phishing.
Si tratta probabilmente del metodo più riconoscibile di ingegneria sociale poiché l’attaccante cerca di entrare in contatto con la vittima attraverso l’invio di messaggi SMS, e-mail o chiamate che possano in qualche modo attirare l’attenzione e fare leva su alcune emozioni tra le quali: paura, rabbia, senso di colpa, curiosità, fretta, apprensione.

Se ricevete un messaggio in cui:

• il mittente vi esorta ad effettuare l’accesso ad un’area riservata;
• l’interlocutore insiste sull’urgenza di effettuare una determinata azione;
• il mittente esorta a eludere i regolamenti o le consuetudini previste

In genere i mittenti degli attacchi di social engineering, si nascondono dietro falsa identità: sfruttano la popolarità e l’attendibilità di noti marchi per generare un’esca.

Per capire meglio da che cosa è determinata la pericolosità di un attacco di ingegneria sociale, proviamo ad elencare quali sono i passaggi che affronta l’attaccante:

• Selezione del target delle vittime

• Creazione di un legame con la vittima

• Richiesta di informazioni tramite manipolazione

Le vittime di un’attacco di ingegneria sociale variano a seconda dell’obiettivo dell’attaccante: questo significa che esistono casi in cui la vittima è una specifica categoria di utenti (magari i dipendenti di una singola azienda) oppure, il caso in cui le vittime siano scelte in maniera assolutamente casuale. In questa fase, l’hacker solitamente procede anche nella raccolta strutturata di informazioni circa i suoi bersagli basandosi prettamente su ciò che trova online, specialmente via social network. Inoltre, molte informazioni sugli utenti possono essere reperite su appositi portali posizionati nelle piattaforme nel deep web.

Successivamente, l’attaccante cercherà di instaurare un rapporto di vicinanza e possibilmente, fiducia con la vittima anche se superficiale grazie al quale creerà il terreno fertile per sferrare l’attacco. In questi casi dunque è probabile che, se la vittima è circoscritta ad uno specifico gruppo di persone l’attaccante effettui delle chiamate di ricognizione. Grazie a questo contatto ravvicinato, il criminale informatico riuscirà a delineare uno stile vocale, un contenuto testuale in grado di fare breccia sulla vittima: l’obiettivo sarà quello di sembrare il più credibile possibile.

Infine, il passo più importante è determinato dall’attacco vero e proprio: gli strumenti utilizzati nell’ingegneria sociale sono vari, ma il principale rimane il telefono, l’e-mail o i siti web. Ma teniamo sempre a mente che in affiancamento alla tecnologia, sono proprio le tecniche psicologiche il vero punto di forza.

Il cuore di un attacco di ingegneria sociale presuppone che nella truffa entri in gioco l’abilità del singolo hacker di manipolare in tutto e per tutto la propria vittima al fine di ottenere in cambio dati personali e informazioni riservate. Ecco che giunti a questo punto, l’attaccante cercherà di fare leva su questi elementi:

• Paura 
• Compassione
• Senso di colpa
• autorevolezza
• Ignoranza
• Avidità

A ragion veduta, ricevete un messaggio che provoca in voi una di queste sensazioni: fate bene attenzione, si tratta certamente di social engineering.

Pretexting

Letteralmente truffa o raggiro tramite pretesto. Questa tecnica consiste proprio nel creare un ambiente digitale che in qualche modo possa ingannare l’utente e costringerlo a rilasciare dati o a commettere azioni che normalmente farebbe in un contesto più sicuro. Naturalmente, in questo caso l’obiettivo dell’hacker sarà quello di raccogliere informazioni circa l’utente e per farlo simula il comportamento di un’autorità importante: polizia, ente governativo, Poste, istituto bancario. Così facendo la vittima risponderà a tutte le domande che gli vengono poste senza esitazioni.

Phishing – Vishing e Smishing

Abbiamo dedicato interi articoli su questo argomento. Si tratta forse della tipologia di truffa a basa ingegneria sociale più conosciuta e riconosciuta tra tutte. Solitamente un hacker invia un’e-mail, un messaggio testuale (SMS) o fa una chiamata che spinge la vittima a collegarsi ad un sito web fraudolento simile a quella originale del fornitore del servizio. All’interno di questa pagina web viene posizionato un form o questionario compilabile. Inevitabilmente tra i dati richiesti è sempre presente il numero di carta di credito e altre coordinate bancarie.

Baiting

Questa tecnica, più di altre, cerca di colpire la curiosità della vittima. Anche se si tratta di una tecnica sfruttata con minor frequenza dagli attaccanti si tratta di un caso di ingegneria sociale estremamente specifico e targettizzato sulla vittima da colpire. Infatti, il criminale informatico lascia volutamente incustodito un oggetto – una chiavetta USB o un hard disk contenenti un malware – come se fossero stati smarriti e contare sulla curiosità della vittima. L’utente che raccoglie il supporto quasi sicuramente sarà attirato dal suo potenziale contenuto e dunque, lo vorrà visionare tramite il proprio personal computer.

Infine,

Dumpster diving

Tramite questa tecnica i criminali informatici acquisiscono informazioni frugando nella spazzatura (generalmente in quella delle aziende).

Il miglior strumento per fare prevenzione è senza dubbio la conoscenza nonché la cultura cybersecurity. Se conoscete il problema siete anche in grado di riconoscerlo quando e se vi si presenterà.

Tuttavia, in linea di massima i comportamenti che favoriscono la prevenzione del social engineering sono:

• La verifica della fonte in primis: telefonate, chiavette USB sconosciute, SMS che vi informano che siete i fortunati vincitori di milioni di euro, e-mail accusatorie provenienti dalla polizia. Verificare la fonte di queste comunicazioni è facile.
• Controllate l’origine dei domini, la grammatica dei messaggi e se siete in dubbio, contattate il servizio clienti dell’azienda in questione.
• Sviluppate maggior senso critico.

Se siete alla ricerca di una soluzione pratica e tecnologica contro il social engineering: siete nel posto giusto.

Qui troverete tutte le informazioni e i consigli pratici per ottenere la massima protezione contro le tecniche più diffuse di ingegneria sociale.

• Implementate software anti malware e antivirus in azienda e poi, aggiornateli. Questo servirà a eliminare al 100% l’ingegneria sociale? No, ma questa soluzione impedirà ai virus che giungono attraverso e-mail di phishing di installarsi sui vostri dispositivi.

• Come sempre, aggiornate con regolarità software e firmware: le patch di sicurezza possono essere la vostra salvezza.

• Evitare per quanto possibile di utilizzare un telefono con root o il vostro computer con il ruolo di admin. Questo consiglio potrà anche sembrarvi inusuale ma dobbiamo dirvelo: se un attaccante dovesse riuscire a ottenere la vostra password per il vostro account “utente”, non potrà in alcun modo riconfigurare il sistema o installare software malevoli.

• Ogni account al quale accedete dovrà avere credenziali, in particolare password, diverse. Se un hacker riesce a ottenere la password di un vostro account social potrebbe riuscire a sbloccare anche tutti gli altri account nei quali utilizzate le medesime credenziali. I caso di account critici (accesso all’home banking o e-commerce), usate l’autenticazione a due fattori.

E infine,

• Se pensate di essere stati truffati online, cambiate immediatamente le vostre credenziali di accesso e avvisate immediatamente gli amministratori di rete della vostra azienda; Nel caso in cui siano stati coinvolti dei conti bancari aziendali, contattate immediatamente il servizio clienti della banca.

• Tenetevi costantemente aggiornati sulle nuove truffe online in circolazione attraverso i blog cybersecurity come quello di Onorato Informatica.

Chi è Onorato Informatica siamo? Siamo un SOC Italiano da oltre 10 anni.

Onorato Informatica è un’azienda specializzata in sicurezza informatica per aziende dal 2006. Siamo un’azienda di sicurezza certificata ISO 9001 e ISO 27001. La nostra attività cyber security nasce e cresce nelle nostre sedi di: Mantova, Parma, Milano e Los Angeles.

Se vuoi proteggere il tuo sito web da hacker e virus, contattaci.