Ti sarà sicuramente capitato di leggere in rete dei sempre più frequenti attacchi di social engineering. Ma cosa significa questo termine?

Si tratta di azioni indicativamente criminali svolte da chi si finge un’altra persona per riuscire ad ottenere informazioni, che difficilmente otterrebbe con la propria vera identità.

Non tutti gli “hack” avvengono da “computer a computer”, alcuni iniziano semplicemente da “persona a persona”, in parole povere ci sono truffe online che coinvolgono l’aspetto sociale.

Questi famosi artisti della truffa online utilizzano informazioni personali o dettagli che apprendono su un individuo (e società) per impersonare o utilizzare come leva al fine di guadagnare la nostra fiducia.

Ma, un attacco di social engineering si compone di diverse fasi. Dopo aver studiato i comportamenti, le abitudini e le preferenze della vittima saranno messe in campo tecniche differenti a seconda del profilo sociale psicologico della persona da colpire.

L’hacker può mettere in campo l’autorevolezza (dimostrandosi, ad esempio, esperto di un determinato settore) oppure fare leva sulla paura.

Per quanto riguarda questa tecnica c’è un esempio reale che ce lo spiega. Nel 2015 l’azienda americana Ubiquiti Networks, specializzata nella produzione di apparati di rete, è stata colpita da un importante attacco informatico. Questo avvenimento ha fatto scattare i cyber criminali che, fingendosi tecnici informatici, hanno chiesto tramite e-mail un’importante somma di denaro. Una triste storia che ci porta a pensare quanto può essere importante la consapevolezza di determinati rischi cyber, in modo tale da poter essere pronti ad ogni tipo di azione per evitarli e non cascare in pochi minuti tra le mani dei truffatori.

Molta ingegneria sociale si svolge interamente online, dove gli autori possono nascondersi dietro i loro schermi e le loro tastiere, e dove cose come il tono della voce, le espressioni facciali e il linguaggio del corpo sono irrilevanti. Quando una truffa richiede più elementi personali, come telefonate o visite di persona, tali aspetti diventano molto più significativi. La fiducia, quindi, è la chiave!

Basti pensare alla rapina avvenuta nel 2007 alla banca ABM AMRO con sede in Belgio. Un giovane ventottenne ha eluso uno dei sistemi di sicurezza più costosi del mondo riuscendo ad accedere alle cassette di sicurezza contenenti gemme del valore di 120.000 carati. Tutto ciò grazie a un’arma segreta: il fascino personale.

Fingendosi un uomo d’affari di successo, il ladro ha visitato frequentemente la banca, facendo amicizia con il personale e conquistando gradualmente la loro fiducia. Ha persino portato loro dei cioccolatini, e alla fine ha vinto la loro fiducia nella misura in cui gli è stato dato accesso Vip al caveau.

Ciò che risulta chiaro è che il giovane rapinatore non ha usato la violenza ma semplicemente il suo fascino per guadagnare sicurezza.

Tra le varie tecniche è opportuno non dimenticare il grande mondo dei social media che stanno rapidamente diventando un importante terreno di caccia per i truffatori che, con facilità, raccolgono informazioni per attacchi mirati.

Nel 2013 i social media e il mercato azionario si sono scatenati, quando un tweet della Associated Press (ovviamente hackerato) è apparso intorno alle ore 13.00:

L’Associated Press ha rimosso il suo account Twitter e ha rapidamente annunciato di essere stato violato.

C’è stato un piccolo passo che ha consentito ai criminali, un gruppo informatico siriano, di avere il totale controllo del profilo twitter della PA: una semplice e-mail di phishing inviata ad alcuni membri interni.

Sebbene l’account AP sia stato rapidamente sospeso, il drammatico tweet è stato ritwittato migliaia di volte in pochi minuti e il mercato azionario è inciampato in risposta a quelle che sarebbe state notizie orribili.

Una storia che possiamo catalogare tra le storie più bizzarre ma tristi allo stesso tempo se pensiamo quanto impatto può avere un singolo tweet.

Oltre al fattore umano e all’attenzione elevate che ognuno di noi dovrebbe avere, c’è bisogno di una migliore sicurezza.

Questo esempio suggerisce due funzionalità di cui Twitter (e non solo) ha un disperato bisogno: una migliore sicurezza attraverso l’autenticazione a due fattori e una funzione editoriale che consenta ai titolari di account, di pubblicare correzioni su tweet che contengono informazioni false.

L’ingegneria sociale è quindi un potente mezzo di attacco, i rischi per le aziende sono molteplici e sono principalmente di natura economica, operativa ma anche (e soprattutto) reputazionale con il fine ultimo di creare  effetti catastrofici per lo sviluppo dell’impresa.

Ma, come spiega Caleb Barlow, vicepresidente di IBM Security, durante un TED TALKS, se da un lato gli attacchi informatici possono colpire ogni giorno, dall’altro non c’è un numero esatto su quante aziende sono state violate. Numeri realmente bassi? No, il motivo è solo ed esclusivamente la paura.

Divulgare questo tipo di informazione andrebbe a procurare un impatto non positivo sul nome aziendale e sulle loro finanze.

Ma, poniamoci una domanda: quanto può aiutarci una notizia anche se non positiva? Un po’ come le notizie che in questi giorni di pandemia circolano tra giornali e tv. Se non sapessimo davvero la percentuale di pericolo, saremmo mai riusciti ad essere davvero consapevoli del pericolo stesso?

Pur non essendo una strage irrecuperabile, le aziende dovrebbero accantonare ansie e paure e rendere visibile le loro tristi storie, magari in questo modo l’altra metà delle aziende potrebbero alzare l’asta della diffidenza e iniziare ad essere più un po’ più consapevoli.

Tweet