Skip to main content
Ora o mai più! (E non è mai come te lo aspetti…)

Ora o mai più! (E non è mai come te lo aspetti…)

| Simona Venuti | cybersecurity month 2020

Articolo letto 1426 volte

Quando è il momento di parlare di ingegneria sociale, per me è piuttosto difficile decidere da dove iniziare, perché l’ingegneria sociale è davvero ovunque.

foto di Simona Venuti, Consortium GARR
Simona Venuti: e' security manager presso il Consortium GARR

La si definisce “manipolazione psicologica delle persone con il preciso obiettivo di spingerle a compiere azioni che normalmente non farebbero". E questo accade più e più volte ogni giorno. Ogni mamma cerca ad esempio di convincere i suoi figli che i broccoli siano molto più gustosi della nutella, magari nascondendo la sospetta sostanza verde sotto strati di cibo più appetitoso.

E vincono (quasi) sempre! E quante volte sarà accaduto che una simpatica commessa del supermercato abbia provato a convincerci che comprare qualcosa come 20 chili di pasta ci avrebbe dato diritto ad un irresistibile sconto del 5%. “Non perdere l’occasione, adesso o mai più!”. Per poi trovarci subito dopo dinanzi ad un imminente secondo acquisto: quello di una credenza più capiente! E che dire del ragazzo in coda alla biglietteria automatica, che sta perdendo il treno e chiede di saltare la fila? Saremmo veramente senza cuore se lo lasciassimo arrivare tardi a casa, per scovarlo invece un attimo dopo impegnato nell’acquisto di un biglietto… per il giorno dopo! Persino mia nonna saltava la fila dal dottore dicendo che doveva andare a cucinare per me, peccato che io vivessi con i miei genitori in un posto completamente diverso e che sia stata solo una complice involontaria della sua piccola bugia.

Se questi sono solo alcuni esempi di ingegneria sociale innocua, vediamo ora qualche grande e ben più rischiosa truffa avvenuta nella storia.

Probabilmente la più antica prova di un attacco di ingegneria sociale si trova nella Bibbia, Genesi 27, dove Rebecca inganna suo marito Isacco facendogli benedire il secondogenito Giacobbe, rendendolo il suo successore, invece di Esaù, il maggiore.

Facciamo un salto nel passato, precisamente nel 1211 d.C., ai tempi dell'impero cinese: sembra che l'imperatore mongolo Gengis Khan sia riuscito ad oltrepassare la Grande Muraglia cinese semplicemente ingannando i soldati nemici: incapace di attaccare direttamente quel valico così inespugnabile, decise di attirare i soldati di Jin fuori per una battaglia in campo aperto. Dopo diversi brevi attacchi, i soldati mongoli gettarono le armi, lasciarono i cavalli e fuggirono, fingendo di aver paura. Come previsto, i soldati Jin di guardia si allontanarono dalla Muraglia per inseguirli. All'improvviso numerosi soldati mongoli, che si nascondevano nelle vicinanze, riuscirono ad oltrepassare facilmente la Muraglia.

Ma l'attacco di ingegneria sociale più famoso della storia è nell'Eneide di Virgilio, nelle pagine in cui viene raccontato come Ulisse riuscì a conquistare la città di Troia inducendo gli abitanti ad accogliere nelle mura della città un bellissimo e incredibilmente grande cavallo di legno. Come tutti sanno, il cavallo era in realtà pieno zeppo di soldati greci. Il trucco del cavallo di Troia è così esemplare che viene chiamato proprio "trojain horse" il tipo di malware che persuade la vittima di essere innocuo e in buona fede, mentre sta per distruggere o rubare i dati del dispositivo.

Nel contesto della sicurezza informatica le cose non sono così diverse e questo tipo di attacco può essere molto pericoloso o dannoso per l’organizzazione a cui apparteniamo ma anche per noi stessi.

Uno degli ultimi grandi attacchi di social engineering è stato realizzato contro Twitter, a luglio scorso ed ha violato 130 profili personali VIP (Barack Obama, Bill Gates, Elon Musk, Jeff Bezos e molti altri). In tutti i loro profili è apparso un post: "Tutti i bitcoin inviati all’indirizzo qui indicato ti verranno rispediti raddoppiati!". Ovviamente, nessuna delle celebrità coinvolte ha mai pubblicato questo messaggio. Si trattava di un gruppo di hacker adolescenti, che sono stati in grado di gestire in contemporanea tutti i 130 account, grazie ad un attacco di social engineering: sfruttando il fatto che Twitter utilizza un’applicazione personalizzata per gestire i suoi account, sono riusciti a raggiungere telefonicamente qualcuno dello staff di IT e, fingendo di chiamare dal reparto helpdesk dell'applicazione in questione, li hanno convinti a farsi dare la loro password.

Il danno è stato doppio: gli utenti di Twitter hanno perso $ 140.000 donando bitcoin agli hacker, mentre gli account delle celebrità sono stati violati, la loro lista di contatti rubata così come probabilmente i loro dati personali.

Ci sono così tanti esempi di ingegneria sociale nella cybersecurity, che non è possibile enumerarli tutti: ogni giorno arriva una nuova tecnica per rubare dati, denaro e causare danni all'interno di un'organizzazione, proprio come fanno i ransomware.

Tutte queste tecniche seguono alcune regole, basate sulla natura emotiva del comportamento umano: conoscerle può aiutarci a difenderci.

Alcuni capisaldi dell’ingegneria sociale

I cybercriminali sanno che l'ingegneria sociale funziona meglio quando ci si concentra sulle emozioni delle persone. Approfittare delle emozioni umane è molto più facile che hackerare una rete o cercare delle vulnerabilità. Farò alcuni esempi di come le emozioni possano essere utilizzate proprio per commettere attacchi informatici:

  • Autorità: le persone tenderanno a obbedire alle figure autoritarie, anche se viene chiesto loro di fare cose inusuali. "Sono il presidente della banca XXX (o il capo dell'ufficio di polizia o il Direttore della propria organizzazione di lavoro) e ti chiedo di fare YYYY"
  • Urgenza / Panico / Paura di finire nei guai: “Hai un virus (sia digitale che biologico)! Prima di perdere tutti i tuoi dati (o morire) clicca QUI! "
  • Scarsità: "Sono rimasti solo 2 posti ... Ora o mai più!"
  • Avidità: "Dammi 10 euro e te ne restituirò 100" o "Hai vinto la lotteria!" o "Ti voglio regalare questo bellissimo cavallo di legno!Ho questo grande cavallo di legno come regalo per te"
  • Senso di colpa: “So cosa hai scaricato sul tuo PC. Inviami denaro e nessuno lo saprà "
  • E, dall'altra parte, i “desideri segreti”: “Vuoi vedere la tua celebrità preferita seminuda? Clicca qui".

Vulnerabilità umane

Il principio alla base dell'ingegneria sociale è quello di sfruttare il fattore umano, ovvero mettere le persone in situazioni in cui si sa già che faranno affidamento sulle forme più comuni di interazione sociale:

  • Il desiderio di essere disponibili e gentili, specialmente in ambienti pubblici;
  • la tendenza a fidarsi delle persone;
  • la tendenza a rivelare informazioni private, se si viene lodati;
  • il desiderio che può avere un professionista di mostrare acume e superiorità nel suo campo;
  • la tendenza della maggior parte delle persone ad essere più disponibili verso chi mostra interesse nei loro riguardi;
  • la tendenza ad evitare conflitti.

Tattiche: l’elicitation (o domanda-stimolo)

Le tattiche utilizzate per eseguire un buon attacco nell'ingegneria sociale si basano principalmente sull'elicitation, termine inglese usato per descrivere la tecnica che consiste nel porre domande preparate apposta, sia nella sequenza che nei tempi, per indurre a ottenere le informazioni che servono.

L'elicitation è un’attività poco rischiosa e difficile da individuare. Spesso e volentieri chi cade vittima rivelando informazioni importanti, neanche si rende conto di come sia potuta uscire l’informazione e, se anche una domanda ad un secondo ripensamento dovesse risultare sospetta, le vittime tendono a considerarla una domanda a cui avrebbero potuto rispondere oppure no. Nessuno si cura o neanche si ricorda del contenuto delle informazioni che sono trapelate, rimane solo un lieve senso di disagio quando ci ripensiamo.

Basta fare al bersaglio individuato la domanda giusta al momento giusto e tutte le porte si apriranno.

Tipi di ingegneria sociale

Vediamo ora i più comuni di strumenti di ingegneria sociale utilizzati nel nostro scenario digitale:

  • Pretexting: è l'arte di creare un mondo falso ma realistico. È qui che chi sferra l’attacco si trasforma nella persona in grado di influenzare la potenziale vittima nel prendere alcune decisioni. Chi attacca sceglie per ingannare una certa personalità che si addice al personaggio che decide di diventare. Con l'avvento di Internet è facile diventare chiunque, ad esempio su Facebook o Twitter. Si possono impersonare colleghi, polizia, banca, autorità fiscali o qualsiasi altro individuo che possa essere percepito come autorevole o che magari nella mente della vittima abbia diritto di sapere.
  • Phishing: è un attacco sistemico che utilizza un'e-mail fraudolenta per indurre le persone a eseguire un codice dannoso o a rivelare informazioni pertinenti. L'e-mail è realizzata in modo da far sembrare che sia stata inviata da un'azienda legittima. Oppure, si tratta un messaggio che pubblicizza il prodotto del momento, di cui nessuno potrebbe fare a meno. Il phishing può essere mirato a un'organizzazione specifica (spare-phishing) o al CEO di un'organizzazione (whale-phishing)
  • Baiting: in questo caso si sfrutta il più elementare dei tratti umani: la curiosità. Per adescare la vittima un ingegnere sociale lascerà un supporto come un CD, un DVD, una chiavetta USB o un'unità floppy in una posizione ben visibile, facendo affidamento sulla curiosità di un passante che potrà utilizzare il supporto per dare un’occhiata a tutto ciò che contiene. Nella maggior parte dei casi si tratterà di un keylogger o un malware.
  • Fisico: il criminale informatico potrà tentare di ottenere di persona l'accesso a una struttura o un'area sensibile / riservata in una struttura.

Mitigazione

I consigli potrebbero essere infiniti e lo spazio per questo articolo è quasi esaurito!

Non dobbiamo fidarci di nessuno, di nessuna e-mail, non dobbiamo rivelare le informazioni personali o lavorative, non dobbiamo fare clic sui link nelle e-mail sospette, non scarichiamo nè apriamo alcun allegato. Se qualcuno dice che “abbiamo vinto” un oggetto che è troppo bello per essere un premio, probabilmente non è un premio. Segnialiamo qualsiasi caso sospetto al proprio ufficio informatico locale.dipartimento IT locale.

E infine, la regola d'oro: ricordiamo lo slogan della National Cyber ​​Security Alliance: STOP, THINK, CONNECT ™

Simona Venuti: e' security manager presso il Consortium GARR. Dal 2007 lavora presso il GARR-CERT (Computer Emergency Response Team) del Consortium GARR, il fornitore della rete alle universita' e agli enti di riceca italiani. Il suo compito è sviluppare sistemi di automazione nella segnalazione e gestione degli incidenti informatici e fare ricerca nell'ambito delle nuove minacceinformatiche, cybersecurity, sistemi di monitoraggio, difesa e contenimento. Parte fondamentale del proprio lavoro e' stabilire una rete di relazioni con i CERT nazionali dell'unione europea ed extra-europea, esperti di sicurezza, CERT aziendali e di provider italiani e stranieri, per condividere esperienze, studi, soluzioni, e soprattutto per stabilire relazioni di fiducia reciproca nell'eventualità di gestione congiunta di incidenti informatici che coinvolgano più CERT.

Si occupa infine di divulgazione delle informazioni e formazione di sistemisti e addetti alla sicurezza tenendo corsi, tutorial, interventi a convegni.

Twitter: @Simo_GARRCERT

Ti è piaciuto questo articolo? Faccelo sapere!
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.

Voto attuale:

Cybersecurity: siamo in guerra! (che ci piaccia o no)

Pier Luca Montessoro, Università degli Studi di Udine - Conferenza GARR 2018

Minacce attuali e nuovi trend di attacco, l’analisi del mondo della CyberSecurity da parte di Fortinet

Matteo Arrigoni, Fortinet - Conferenza GARR 2019

Ultimi articoli in rubrica