Il Social Engineering

A cura di:Giuseppe Maio Ore

«La guerra si fonda sull’inganno»
L’Arte della Guerra, Sun Tzu

Il social engineering – o ingegneria sociale – è una disciplina che sfrutta processi cognitivi di influenzamento, inganno e manipolazione per indurre una persona a compiere un’azione o a comunicare informazioni riservate.

La storia è Maestra di vita, e l’arte di ingannare l’avversario non si sviluppa certamente con la nascita dei computer e della sicurezza informatica: probabilmente la più antica prova di un attacco di ingegneria sociale si trova nella Bibbia, Genesi 27, dove Rebecca inganna suo marito Isacco facendogli benedire il secondogenito Giacobbe, rendendolo il suo successo re, invece di Esaù, che era il maggiore.

Ma i libri di storia sono pieni di episodi in cui si sono perpetrati inganni e tranelli, sicuramente l’esempio scolastico per eccellenza è quello del Cavallo di Troia, che i Greci usarono per espugnare la città di Troia (non per nulla con il termine “Trojan Horse” intendiamo un tipo di codice o software dannoso che sembra legittimo ma può prendere il controllo del tuo computer, progettato per danneggiare, interrompere, rubare o in generale infliggere altre azioni dannose ai tuoi dati o alla tua rete).

Le azioni criminali basate sull’ingegneria sociale, di cui abbiamo notizie fin dalla notte dei tempi, possono concretizzarsi con o senza l’ausilio di tecnologia.

Purtroppo è un dato di fatto che l’ingegneria sociale si è evoluta nel tempo da una tecnica di attacco che puntava esclusivamente sul carisma e l’abilità dell’attaccante verso una strategia ibrida, ancora più incisiva e subdola che sfrutta sia le abilità cognitive che quelle informatiche.

Questo è stato reso possibile negli ultimi anni grazie alla crescita della digitalizzazione della comunicazione con la diffusione dei social (fucina inesauribile di informazioni) e dei vari servizi di messaggistica. L’ingegnere sociale sfrutta, per l’appunto, la percezione distorta che l’utente medio ha di questi strumenti, ritenendoli puramente virtuali, privi di insidie e scollegati dal mondo reale.

I cybercriminali sanno che l’ingegneria sociale funziona meglio quando ci si concentra sulle emozioni delle persone. Approfittare delle emozioni umane è molto più facile che hackerare una rete o cercare delle vulnerabilità.

Il principio alla base dell’ingegneria sociale è quello di sfruttare il fattore umano, ovvero mettere le persone in situazioni in cui si sa già che faranno affidamento sulle forme più comuni di interazione sociale, come la tendenza a fidarsi delle persone e a rivelare informazioni private (magari pubblicando sui social network), il desiderio di un professionista nel dimostrare acume e superiorità nel suo campo, la tendenza della maggior parte delle persone ad essere più disponibili verso chi mostra interesse nei loro riguardi.

L’attacco fa, dunque, leva su tratti caratteristici dell’essere umano, come la disponibilità e la buona fede dell’attaccato, l’ignoranza e la disattenzione o, ancora, la paura, l’urgenza, la gratitudine.

“Si possono investire milioni di dollari per i propri software, per l’hardware delle proprie macchine e per dispositivi di sicurezza all’avanguardia, ma se c’ è anche solo un unico dipendente della nostra azienda che può essere manipolato con un attacco di ingegneria sociale, tutti i soldi investiti saranno stati inutili” (dal libro l’Arte dell’Inganno di Kevin Mitnick).

In un contesto caratterizzato dall’incessante ricerca di nuovi e più sofisticati sistemi tecnologici di difesa informatica, tali da rendere le reti sempre più impenetrabili ed i software sempre più sofisticati, ciò che indebolisce il processo di security dagli attacchi di cognitive hacking è proprio l’uomo.
Le tattiche utilizzate per eseguire un buon attacco di ingegneria sociale si basano principalmente sull’elicitation (e “elicitazione”) termine inglese che consiste nel porre domande preparate apposta, tramite un insieme di tecniche e metodi (utilizzati dai professionisti dell’intelligence e della cyber intelligence) per raccogliere informazioni di nascosto.

In sostanza, un professionista dell’intelligence si impegna in una conversazione con l’obiettivo di raccogliere informazioni e, utilizzando metodi di elicitazione, carpisce le informazioni di cui ha bisogno senza che l’obiettivo si renda conto di essere sfruttato per ottenere informazioni, che possono essere successivamente utilizzate in una campagna di ingegneria sociale su larga scala.

L’elicitazione è un’attività poco rischiosa e difficile da individuare. Spesso e volentieri chi cade vittima rivelando informazioni importanti, neanche si rende conto di come sia potuta uscire l’informazione e, se anche una domanda ad un secondo ripensamento dovesse risultare sospetta, le vittime tendono a considerarla una domanda a cui avrebbero potuto rispondere oppure no, in cui nessuno si ricorda del contenuto delle informazioni che sono trapelate.
Basta fare al bersaglio individuato la domanda giusta al momento giusto e tutte le porte si apriranno.

“Se il vostro avversario ha un carattere iroso, dovete tentare di irritarlo, se è arrogante, provate a incoraggiare la sua arroganza… Colui che è in grado di muovere il proprio avversario lo fa creando una situazione che indurrà il nemico a compiere una certa mossa; questi alletta il nemico con qualcosa che l’altro pensa di poter far suo. Tiene in movimento il nemico facendogli pendere davanti un’esca e poi attaccandolo con truppe scelte.”
(Sun Tzu, l’Arte della Guerra)

Ma se un qualsiasi cittadino, “custode” di informazioni riservate, rischia di mettere a repentaglio la propria sicurezza e di chi gli sta intorno, pensiamo cosa potrebbe verificarsi se la vittima è un soggetto che svolge un’attività di Pubblica Sicurezza.

In ambito di Sicurezza Nazionale, l’utilizzo di reti informatiche non classificate, come Facebook, Twitter, Instagram (solo per citarne i più conosciuti), espone le Forze Armate a rischi sempre più elevati di perdita di informazioni sensibili che, se inserite in un opportuno ciclo di intelligence, possono arrecare un notevole danno alla sicurezza del contingente militare, delle operazioni in corso e più in generale della Difesa.

Si può a questo punto provare a definire il concetto di cyber-intelligence come l’insieme degli sforzi e delle attività svolte da o per conto di un’organizzazione, progettate e messe in atto per identificare, tracciare, misurare e/o monitorare, attraverso l’utilizzo di strumenti informatici, le minacce digitali, i dati e/o le operazioni di un avversario.

Data la peculiarità e la complessità delle attività che si celano dietro questo termine, le operazioni di cyber-intelligence spesso possono non essere sufficienti da sole a fornire al decisore una visione informativa completa. In questi casi, dunque, ad esse potranno essere affiancati altri metodi d’intelligence tradizionali come, prima fra tutti, la Human intelligence (HUMINT) o la Signal intelligence (SIGINT). Infatti, a differenza delle armi nucleari e delle altre armi di distruzione di massa, le c.d. cyber-weapons non richiedono particolari infrastrutture, né tantomeno materiali speciali e, spesso, neppure conoscenze tecniche particolarmente approfondite per essere predisposte. In quest’ottica, quindi, si dovrebbe fare esclusivo affidamento sulle poche, spesso labili, tracce elettroniche lasciate dall’avversario nelle fasi preliminari all’attacco informatico, ovvero quelle di footprinting o fingerprinting.

I tradizionali metodi di cyber-intelligence per la raccolta di informazioni riservate, pertanto, potrebbero mostrare il fianco quando l’obiettivo è quello di comprendere a pieno le capacità e/o le intenzioni reali del nemico, qualora non vengano comunque affiancati anche da attività similari nel “mondo fisico”. Un ulteriore elemento che si collega a quanto appena analizzato e che pertanto, seppure brevemente, deve essere tenuto in debita considerazione, è quello relativo alle tecniche d’ingegneria sociale, di cui finora abbiamo discusso. Non si deve dimenticare, infatti, che la maggior parte dei malware o delle tecniche di phishing, ad esempio, utilizzano, seppur in maniera generalizzata e non mirata, delle tecniche di ingegneria sociale per far sì che l’utente del sistema informatico sia invogliato ad aprire l’allegato infetto, ovvero ritenga valido e credibile il contenuto della mail ricevuta.

Appare evidente allora che, per fronteggiare una simile minaccia, che basa la sua forza sull’insicurezza degli strumenti tecnologici, sulla poca accortezza degli utenti e sulle tecniche di ingegneria sociale, un primo argine alla possibile fuoriuscita di informazioni classificate e sensibili viene proprio da policies di cyber security stringenti, accorte e, soprattutto, specificatamente tarate sulle esigenze operative del contingente che in un’ottica di sicurezza nazionale, va intesa come la capacità di resistere alle minacce intenzionali e non intenzionali attuate contro i sistemi informatici a rilevanza nazionale, nonché di rispondere e rimediare a dette azioni.

In una società che ormai poggia le fondamenta sul concetto stesso di informazione e sulla rilevanza che questo concetto ha all’interno dei meccanismi di funzionamento di tutti i sistemi cibernetici, su cui si basa il dialogo e l’infosharing tra i vari Stati su cui poggia il perno delle discussioni in atto a livello internazionale al fine di armonizzare il quadro normativo e gli standard di sicurezza, risulta particolarmente intuitivo comprendere come impossessarsi, proteggere e usare la maggior quantità possibile di esse sia lo sforzo più rilevante a supporto di un’efficace strategia di vittoria per molti dei conflitti che saranno combattuti in futuro. Se è vero, infatti, che: “In linea di massima, a proposito della battaglia, l‘attacco diretto mira al coinvolgimento; quello di sorpresa, alla vittoria” (Sun Tzu, l’Arte della Guerra), allo stato attuale, proprio gli attacchi informatici possono essere ancora in grado di conseguire con facilità questo espediente.

“Se l’intelligence è indispensabile per comprendere la realtà, la cyber Intelligence lo è ancora di più per orientarsi nella realtà e nel suo doppio: le galassie in espansione del web” (Cyber intelligence, Mario Caligiuri).

Articolo a cura di Giuseppe Maio

Profilo Autore
Giuseppe Maio

Giuseppe Maio è Security Advisor in ambito Governance, Risk and Compliance (GRC) per un importante società di Consulenza strategica. Dopo aver conseguito una laurea in Giurisprudenza presso l’Università Mediterranea di Reggio Calabria, ha frequentato un master di II Livello presso
l’Università LUISS Guido Carli in “Cybersecurity: Politiche Pubbliche, Normative e Gestione”. Attualmente è membro della Commissione Cyber Threat Intelligence & Warfare presso la Società Italiana di Intelligence.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Rischi dell’accesso fisico non autorizzato

Rischi dell’accesso fisico non autorizzato

A cura di:Daniele Rigitano Ore Pubblicato il

Prefazione Come reagireste se affermassi che i tre maggiori Sistemi Operativi (SO) in commercio – Windows, Linux e MacOSX – contengono al loro interno una falla che permette, in pochi e semplici passi, il pieno accesso ai dati archiviati nei vostri Personal Computer (PC)? Se aggiungessi che non importa quanto è complessa la vostra passphrase…

Data governance in sanità: la posizione del Garante Privacy

Data governance in sanità: la posizione del Garante Privacy

A cura di:Redazione Ore Pubblicato il

La gestione dei dati sanitari implica scelte estremamente complesse, perché impone l’obbligo di contemperare fra loro diversi valori fondamentali. Da un lato il diritto alla salute, enormemente agevolato dalle innovazioni tecnologiche che consentono servizi più efficienti e diffusi; dall’altro la riservatezza delle relative informazioni personali, a cui è unanimemente riconosciuto il rango di dati “ultrasensibili”….

Cognitive Security (COGSEC)

Cognitive Security (COGSEC)

A cura di:Francesco Arruzzoli Ore Pubblicato il

La disinformazione è una delle questioni più critiche del nostro tempo: riguarda l’influenza online e offline su scala globale, colpendo sia i singoli individui sia le masse. Le operazioni nell’ambiente dell’informazione sono condotte nell’ambito della sicurezza cognitiva (COGSEC). Attraverso Internet e i social media la manipolazione della nostra percezione del mondo avviene su scale di…

La nuova normativa Europea sulla Privacy (GDPR) e la pericolosità dell’adeguamento apparente

La nuova normativa Europea sulla Privacy (GDPR) e la pericolosità dell’adeguamento apparente

A cura di:Francesco Falcone Ore Pubblicato il

Molti di voi saranno già ampiamente al corrente dell’attuazione, dall’ormai prossimo 25 Maggio, della nuova normativa europea (EU 679/2016) comunemente detta GDPR, di cui si discute molto nei social media professionali e su riviste specializzate. Da tempo svolgo audits e progetti di adeguamento a GDPR, sia in contesti sia nazionali, sia internazionali, con clienti di…

Social Engineering Toolkit – Simulazione di un furto di credenziali e creazione di un payload per prendere il controllo della macchina di una vittima

Social Engineering Toolkit – Simulazione di un furto di credenziali e creazione di un payload per prendere il controllo della macchina di una vittima

A cura di:Antonio Sagliocca Ore Pubblicato il

IL SOCIAL ENGINEERING “Ingegneria sociale significa usare il proprio ascendente e le capacità di persuasione per ingannare gli altri, convincendoli che l’ingegnere sociale sia quello che non è oppure manovrandoli. Di conseguenza l’ingegnere sociale può usare le persone per strappare loro informazioni con o senza l’ausilio di strumenti tecnologici”. Questo è quello che si legge…

Il Nuovo Standard ISO/IEC 27002 e il suo Impatto sulle Organizzazioni

Il Nuovo Standard ISO/IEC 27002 e il suo Impatto sulle Organizzazioni

A cura di:Attilio Rampazzo e Paolo Sferlazza Ore Pubblicato il

La trasformazione digitale accelerata che le organizzazioni hanno subito negli ultimi anni ha avuto un impatto estremamente significativo sullo scenario di rischio che devono gestire, con una crescita significativa del cyber risk con sempre nuovi vettori di attacco volti sia a compromettere il patrimonio informativo, sia ad avere un vantaggio economico (es. attacchi ransomware). Questo…