Dentro al Social Engineering
Elicitazione, persuasione, interrogatorio: impara le tecniche di ingegneria sociale per proteggerti dalle truffe online.
Sia in Unione Europea che negli Stati Uniti ogni anno ad ottobre si porta avanti il “mese della cybersecurity”. Un periodo in cui attraverso eventi promossi dalle autorità e opere di sensibilizzazione si cerca di aumentare l’attenzione su diversi temi che riguardano la sicurezza delle informazioni (e delle persone).
Quest’anno l’oggetto delle campagne di sensibilizzazione è il fenomeno chiamato “social engineering”, o ingegneria sociale; una vera piaga attraverso cui l’industria del cyber-crimine fattura davvero molto.
Prima di continuare, lascia un like!
Con social engineering si intendono tutte quelle tecniche psicologiche e tecnologiche per ingannare le persone e convincerle a rivelare informazioni riservate o a compiere azioni che normalmente non farebbero. L’operazione di social engineering più conosciuta, e anche più basilare (ma molto efficiente) è il phishing, di cui sicuramente avrai sentito parlare.
Il social engineering è estremamente proficuo perché tutto il lavoro sporco viene in realtà svolto dalla vittima, che oltre a danneggiare se stessa spesso diventa anche un vettore d’attacco interno alla propria azienda. Da professionista del settore vi assicuro che sono molti i casi in cui qualche dipendente dell’amministrazione viene convinto a inviare bonifici (anche di centinaia di migliaia di euro) verso conti fittizi appartenenti a cyber-criminali.
Non bisogna commettere l’errore di pensare che il social engineering sia qualcosa di estremamente complesso o raro. Le attività più basilari come il phishing sono oggi altamente automatizzate e su scala industriale grazie all’intelligenza artificiale generativa. Miliardi di email, sms e chiamate vengono inviate ogni anno da sistemi automatizzati con l’unico scopo di indurre qualcuno in errore. Le logiche di scala rendono l’attività estremamente redditizia e tutto sommato meno rischiosa rispetto a operazioni di hacking più complesse e specifiche.
Come vedremo però, l’ingegneria sociale però può essere molto più del semplice phishing, e molto più sofisticata.
Il caso di Evaldas Rimasauskas
Un caso divertente d’ingegneria sociale, seppur finito male (per eccesso di avidità) è quello di Evaldas Rimasauskas, un signore che nel corso di un paio d’anni è riuscito a sottrarre a Google e Facebook ben 122 milioni di dollari attraverso social engineering.
Rimasauskas ha prima di tutto creato il giusto contesto, con un’identità credibile, documenti, contratti e fatture fittizi. Poi ha fatto in modo di falsificare le email di alcuni dirigenti aziendali (spoofing) per richiedere nel corso di due anni il pagamento di ingenti servizi di fornitura verso queste due realtà, in realtà inesistenti.
Rimasauskas ha sfruttato la buona fede e la mancanza di controlli interni per indurre le persone a fidarsi di lui e inviare i pagamenti senza alcun problema. D’altronde, è risaputo che in aziende così grandi non esistono molti controlli per pagamenti inferiori a certe somme, ed è molto facile che un pagamento periodico possa essere fatto senza che nessuno lo contesti per molto tempo.
Rimasauskas è stato infine scoperto e arrestato, e ora potrebbe essere condannato a 30 anni di carcere, ma sono abbastanza sicuro che se fosse stato più intelligente e meno avido nessuno se ne sarebbe mai accorto.
Questo caso mostra chiaramente come anche le più grandi e sicure aziende possono essere vulnerabili alle tecniche di social engineering, che non sempre richiedono attacchi complessi dal punto di vista tecnologico, ma semplicemente l'abilità di manipolare la fiducia delle persone. E se vale per Google e Facebook, figurarsi per le innumerevoli piccole aziende che popolano i nostri paesi…
Wolf of Wall Street
Un altro caso interessante è quello di Jordan Belfort — protagonista della storia reale romanzata da Hollywood col film “Wolf of Wall Street”. Belfort riuscì a manipolare numerosissime persone per convincerle a investire grandi somme di denaro in azioni senza alcun valore reale, arricchendosi a dismisura.
Il social engineering in questo caso non riguardava la manipolazione di dipendenti di aziende per ottenere accesso a informazioni riservate o ricevere fondi illecitamente, ma degli investitori. Belfort e il suo team usarono tecniche di persuasione avanzate, sfruttando l'avidità delle persone, per convincerle a fare investimenti che alla fine li portarono a perdere denaro.
Dentro al Social Engineering
A questo punto, le solite guide online di sensibilizzazione cercherebbero di spiegare il modo in cui ci si può difendere dagli attacchi più comuni, come il phishing. Lo farò anch’io, ma prima voglio concentrarmi in qualcosa di molto più interessante, addentrandomi nei metodi d’ingegneria sociale. Nel proseguo vedremo quali sono le varie tecniche psicologiche che possono essere usate per mettere a segno un attacco di questo tipo, anche grazie a documentazione presa in prestito dall’FBI.
Non voglio ovviamente incentivare nessuno a compiere atti criminali, ma penso che comprendere queste tecniche sia il miglior modo per imparare a riconoscerle e proteggersi.
Keep reading with a 7-day free trial
Subscribe to Cyber H3rmetica to keep reading this post and get 7 days of free access to the full post archives.