Social Engineering: la nuova frontiera dell’hackeraggio

La tecnica della social engineering sfrutta non le debolezze dei sistemi o dei programmi, ma quelle umane.

Solitamente gli Hacker vanno alla ricerca di bug o vulnerabilità che si possono trovare nelle righe di codice di software o sistemi, oppure agiscono sfruttando malware diffondendoli sul web e dark web. l’elemento più debole della catena rappresentata dalla sicurezza informatica è l’essere umano. Infatti gli internauti, secondo le ricerche recenti di settore, stanno diventando sempre più creduloni: pensando di agire in buona fede permettono agli hacker di danneggiare sistemi, reti o software.

Gli utenti ricoprono un ruolo fondamentale per la diffusone di virus (come come trojan horse o malware): spesso, o per ingenuità o per poca attenzione cliccano su banner pubblicitari falsi, fake news oppure scaricano app poco sicure, mettendo così a rischio il proprio dispositivo o peggio i propri dati personali e sensibili: tutto ciò sfruttando l’avanzata tecnica di social engineering, o ingegneria sociale.

Come funziona la social engineering?

Questa tecnica di phishing viene usata sopratutto nei casi di spionaggio industriale internazionale. Come anticipato prima, in questo caso non si cercano bug di sistema o debolezze, ma si punta tutto sulla persuasione e sulla manipolazione delle persone, per fare in modo che cedano i dati personali o altre informazioni riservate. la vittima viene studiata per settimane o mesi dal manipolatore: bisogna innanzitutto instaurare un rapporto di amicizia e fiducia, a quel punto si passa alla fase di attacco. L’hacker che sfrutta la social engineering lavora come uno psicologo: deve conoscere la vittima, manipolarla e catturare informazioni riguardo la sua vita privata.

Analizziamo le tre fasi della tecnica:

  • lo studio della vittima – raccogliere le informazioni per acquistare la fiducia e abbassare il livello di guardia.
  • autorevolezza – toccando alcuni aspetti psicologici della vittima, si fa leva sul’autorevolezza (presunta) dell’hacker che, ad esempio, si può dichiarare esperto informatico. Spesso si gioca anche con aura, sensi di colpa e compassione.
  • attacco vero e proprio – utilizzando tecniche di phishing o baiting si truffa la vittima, costringendola (senza che se ne accorga) a scaricare malware o a cedere dati personali.

Gli attacchi più frequenti di social engineering?

Principalmente sono phishing e baiting: nel primo caso, il più famoso, il malintenzionato invia per posta elettronica o sui social dei messaggi, utilizzando i dati raccolti nelle prime due fasi. All’interno del messaggio sono presenti dei link che rimandano a siti infetti, oppure può essere chiesto alla vittima di inviare dati personali rispondendo al messaggio.

il baiting invece, che si traduce come “adescamento”, è preceduto da una fase precedente dove l’hacker crea un desiderio nella vittima, che poi sarà “soddisfatto” grazie al contenuto di un messaggio mail o social: ad esempio, sconti appetibili su alcuni prodotti desiderati dalla vittima.

Come difendersi dalla social engineering?

La prima regola è quella di non cliccare su link sconosciuti o che non ci sembrano affidabili; la seconda regola è quella di non cedere per nessun motivo dati personali o altre informazioni sensibili a nessuno in rete; la terza regola è quella di non fidarsi di sconti eccessivi o prodotti regalati; e last but not least, non fidarsi di nessuno online: quando si vuole fare una chiacchierata è sempre meglio trovarsi in un bel locale, davanti ad una tazza di caffè!