L’INGEGNERIA SOCIALE

Sapete quale è il modo più semplice per aggirare una misura di sicurezza, non solo informatica? Missione Impossibile da Hackers e cybercriminali? Rocambolesche e occulte intrusioni all’interno di un sistema? Non solo ma anche. La risposta corretta è: incidere banalmente sull’anello più debole della catena, l’elemento umano. Prosaicamente è molto più agevole farsi rivelare i dati e le informazioni direttamente da chi le conosce.

Nulla di violento, nessuna tortura, nessun terzo grado… semplicemente parlando con una persona e studiandone il comportamento si possono mettere insieme più dati sensibili o riservati ed elaborare informazioni più o meno approssimative. Con tutta questa paziente attività occulta si costituiscono delle tracce per risalire ad un’informazione sensibile come, ad esempio, una notizia commerciale segreta, il protocollo utilizzato per creare ed assegnare credenziali d’accesso ad un sistema informatico e così via.

L’Ingegneria sociale, contrariamente a quello che il termine possa suggerire, non persegue filantropiche finalità di carattere socio-antropologico ma è, al contrario, l’arte di manipolare le persone. Nel suo primo stadio consiste semplicemente nell’osservare i comportamenti di una persona, parlarci ripetutamente, spacciandosi magari per qualcuno dotato di carisma o autorità, per poi successivamente osservare di nascosto, oppure origliare le sue conversazioni, o addirittura arrivare al punto di frugare nella sua spazzatura (letteralmente trashing). Ogni mezzo lecito e illecito è efficace per ottenere informazioni che, messe insieme, possono delineare i confini di un campo su cui agire.

Un’applicazione delle tecniche di ingegneria sociale può essere quello della telefonata tramite la quale una persona, facendo credere di essere un altro, induce in errore il suo interlocutore e si fa rivelare, in perfetta buona fede, qualche dato interessante. Spesso vengono pubblicizzate false promozioni, premi di concorsi fittizi, televendite di prodotti aleatori, etc.

Un’evoluzione della telefonata dell’esempio precedente è il cosiddetto phishing (dall’inglese to fish, “pescare”, traslato in gergo poco nobile nel significato letterale di “far abboccare”). Consiste, nella sua forma più banale e diffusa, nell’invio massivo di semplici mail, da un indirizzo simile a quello di Istituti bancari o Postali, o imitando la grafica di un sito aziendale degli stessi, in modo da far cadere in errore chi la riceve.

Nella mail viene richiesta esplicitamente un’informazione che si chiede di inserire direttamente nella mail di risposta, oppure molto più subdolamente, indirizzando tramite un link in una pagina web falsa, contenente moduli artefatti che carpiscono i dati personali inseriti.

Le mail di phishing contengono un altro elemento fittizio usato ad arte per ingannare: la rappresentazione di emergenze, scadenze imminenti, minacce o pericoli di danni economici qualora coloro che hanno ricevuto la mail non provvedano tempestivamente a fornire i dati richiesti.

Infine, ma non ultima, un’altra tecnica di ingegneria sociale che può far sorridere ma è decisamente temibile è il cosiddetto shoulder surfing, cioè letteralmente “sbirciare da sopra le spalle”.

Consiste nell’osservare, non visti ma anche con l’ausilio di lenti o telecamere nascoste, una persona mentre digita i codici di accesso per accedere ad un sistema informatico, tramite un PC, un dispositivo mobile o la tastiera di un POS.

Per saperne di più su questo argomento e per approfondimenti, invitiamo alla lettura di della Tesi di Laurea del Dott. Andrea Melis, “Ingegneria Sociale: Analisi delle metodologie di attaccoe delle tecniche di difesa”, disponibile a questo link: http://amslaurea.unibo.it/2701/1/melis_andrea_tesi.pdf