Si parla quotidianamente di minacce informatiche utilizzando i nomi di ransomware o cryptolocker, mentre il ruolo del social engineering, pare uscito dai radar.
Invece il social engineering nel cybercrime è un’attività ancora più comune, praticata e personalizzata, perché punta su abilità cognitive per trarre in inganno la vittima, sfruttando i canali social e le email.
Vale la pena ribadirne la fenomenologia e le tecniche di applicazione.
Un attacco di social engineering è caratterizzato da quattro fasi.
- raccolta informazioni: si raccolgono più informazioni possibili sul target da attaccare, spesso anche quelle che possono sembrare inutili, perché la conversazione abbia un tono familiare.
- creazione della relazione: si cerca di guadagnare la fiducia della vittima, creando una relazione diretta con lui.
- manipolazione: si sferra l’attacco sfruttando la fiducia e le difese basse della vittima.
- esecuzione: il social engineer ruba le informazioni sensibili e consolida il suo attacco. I professionisti del settore riescono anche a cancellare le loro tracce.
Un esempio sono gli attacchi BEC (Business Email Compromise), in cui un cybercriminale si finge un collega, un fornitore, un dirigente d’azienda o addirittura un esponente delle Forze dell’Ordine che ha bisogno di ricevere informazioni personali di qualcuno. Una volta ottenute, potrà utilizzarle a suo vantaggio successivamente per progettare attacchi similari.
Riuscire a comprendere che gli attaccanti non sono realmente la persona che dicono di essere non è così facile, perché usano domini molto simili a quelli reali, detti anche lookalike domain, o addirittura credenziali reali acquisite in precedenza, ad esempio attraverso Phishing o Brute Force, o comprate sul Dark Web.
Social engineering, le cinque tecniche utilizzate
Riguardo le tecniche utilizzate diamo di seguito alcuni esempi di strategie che sfruttano il social engineering per carpire dati o indurre la vittima a compiere azioni non lecite, come bonifici verso conti sconosciuti.
- phishing: è probabilmente la tipologia di attacco più diffuso e conosciuto, ma comprende anche le varianti di Smishing (via SMS) e Vishing (via telefono). Con questa tecnica il cyber criminale cerca di ottenere informazioni confidenziali.
- intercettazione: è il punto di partenza utilizzato dai criminali per carpire le informazioni utili all’attacco: vengono intercettate chiamate, email, chat.
- tailgating: con queste modalità il cyber criminale mira ad entrare in un luogo protetto facendo finta di essere un tecnico, di aver dimenticato il badge o le chiavi, oppure sfrutta un rapporto di fiducia con la vittima per farsi prestare il PC, il telefono, il tablet e comprometterlo.
- baiting: si mette un’esca (una chiavetta USB o un CD, a volte anche con un portafoglio) con a bordo un malware vicino all’ingresso dell’azienda target e, sfruttando la curiosità della vittima, si aspetta che qualcuno la raccolga, la porti all’interno dell’azienda, bypassando le difese perimetrali, e guardi cosa contiene, eseguendo involontariamente il codice malevolo.
- pretexting: viene creato un falso pretesto per indurre l’utente a fare qualcosa, impersonando qualcun altro, come ad esempio il CEO o ad esempio nelle campagne di Sextortion.
Come ci si difende
Secondo Elisabetta Dessi, Cyber Sales Specialist di Axitea, per difendersi è bene adottare delle contromisure sia comportamentali che tecnologiche, come controllare attentamente le comunicazioni e gli URL ai quali ci si connette, fare riferimento a tecnici specializzati in caso di dubbi, adottare sistemi di difesa aggiornati, non usare dispositivi di cui non si conosce l’origine e affidarsi ad aziende e personale specializzato che possa suggerire le soluzioni migliori per proteggersi ed educare il personale ad avere un comportamento corretto nell’uso delle tecnologie aziendali.
