L’ingegneria sociale è un insieme di tecniche orientate a condizionare i comportamenti di gruppi umani e singole persone.
Il campo di azione di una simile ingegneria è vasto e può inseguire differenti finalità, anche legittime; ma nel nostro caso l’applicazione che maggiormente ci interessa è quella intesa per veicolare azioni di minaccia.
Gli attori di minaccia che impieghino queste tecniche sono naturalmente dotati di caratteristiche non solo tecnologiche, ma piuttosto psicologiche, attoriali: la loro arte è l’arte dell’inganno.
La chiave è la cattura dell’attenzione della vittima, la comprensione dei punti sensibili e la stimolazione di questi al fine di imporre un comportamento utile per l’agente di minaccia a che la vittima riveli informazioni utili oppure agisca in linea con il progetto di attacco dell’esperto di social engineering.
Naturalmente le caratteristiche necessarie per sviluppare una simile azione di attacco devono essere proprie del social engineer, ma le possibilità di successo sono legate anche al rispetto di alcune regole del gioco che possiamo indicare in 4 fasi.
La prima fase richiede che il social engineer possa raccogliere informazioni sulla vittima, che questa sia una persona o una azienda; le informazioni possono essere numeri di telefono, email, nomi, organigrammi e altre forme di contatto e prossimità rispetto alle potenziali vittime (abitudini, familiari, amicizie, ecc).
La seconda fase prevede che il social engineer riesca a porsi in contatto con la vittima. In questa fase le capacità del social engineer devono poter saldare un rapporto di fiducia con la vittima, facendo leva sulle conoscenze acquisite nella precedente fase.
La terza fase deve ottenere il compimento da parte della vittima delle azioni previste dalla strategia di attacco, e questo può essere reso possibile solamente da una azione di manipolazione psicologica che il social engineer riuscirà a portare a compimento nel momento che abbia costruito correttamente la sua trappola nelle precedenti fasi.
La quarta fase è una fase diciamo “etica”, perché la precedente fase è una fase che manipola la psicologia della vittima portandola in uno stato dal quale deve essere “risvegliato”, ovvero ricondotto ad una condizione “normale”, pena la determinazione di uno stress, eventualmente anche depressivo, che porterebbe la vittima a possibili conseguenze negative (o estreme) per “senso di colpa”, “frustrazione”, “vergogna”, e altri sentimenti al quale verrebbe esposto nel momento della scoperta dell’inganno.
Non ci sono strumenti tecnologici per difenderci da questa tipologia di attacchi, in quanto l’obiettivo siamo noi stessi: per lo sviluppo di una qualche difesa dobbiamo curare il nostro comportamento relativamente agli stimoli provenienti dal mondo esterno.
I social engineer, ad esempio, vogliono che noi si agisca senza pensare, pertanto messaggi che esprimono urgenza o pressione devono essere visti con scetticismo.
La regola di diffidare di tutto e tutti è forse estrema, ma certamente capace di correggere quei comportamenti che ci lasciano facile preda di questa forma di attacco.
Ridurre la comunicazione di informazioni personali o sensibili (come ad esempio una password) è sempre una buona profilassi.
Diffidare delle email (principale veicolo di comunicazione di attacchi di social engineering) è certamente utile, in quanto è sempre possibile che dietro una email apparentemente proveniente da una persona conosciuta si celi un social engineer, che con tecniche di falsificazione tecnica (spoofing) sia stato in grado di impersonare anche la comunicazione tecnologica come se provenisse dal mittente da noi creduto vero. Analogamente occorre diffidare di tutte le altre forme di comunicazione, anche in voce.
I social engineer possono agire però anche in prima persona (servono vere doti attoriali), pertanto non bisogna mai lasciare in giro informazioni e documenti con informazioni sensibili (come sulla scrivania, su post-it, affissi in bacheca o semplicemente sul muro).
L’obiettivo del social engineering siamo noi, dunque facciamo molta attenzione.