Ingegneria sociale: il cybercrimine cresce e sfrutta i tuoi lati più umani
Il 2020, l’anno della pandemia, è stato quello in cui si è registrato il più alto tasso di attacchi informatici nel mondo, con un incremento del +12% rispetto al 2019. Secondo il Rapporto Clusit 2021 sulla sicurezza informatica il dato raggiunge addirittura il 66% se confrontato all’anno 2017, arrecando danni di variabile entità e colpendo, principalmente, aree governative e militari, Forze dell’Ordine e Servizi Segreti. La stragrande maggioranza degli attacchi, però, è stata Multiple Target e cioè ha riguardato più obiettivi colpiti in parallelo.
Il quadro che ci restituisce il Rapporto Clusit non è certo dei più confortanti e suggerisce la necessità di investire maggiormente in sistemi di sicurezza solidi e di acquisire una maggiore consapevolezza dei rischi online. Per le realtà maggiori, come imprese, governi, istituzioni, è imperativo dotarsi di solide infrastrutture di sicurezza per scongiurare la possibilità di essere obiettivo di cybercriminali. Ai privati, invece, non resta che una sola arma: l’informazione. Conoscere il modus operandi di alcuni degli attacchi informatici più comuni è infatti un passo fondamentale per prevenirli.
Gli attacchi informatici possono essere di varia natura e spesso fanno leva su un aspetto frequentemente sottovalutato dagli utenti: le debolezze umane.
Che cosa si intende per ingegneria sociale?
Una delle tante definizioni possibili è quella resa disponibile da Kaspersky, importante azienda di software specializzata nella sicurezza informatica:
L’ingegneria sociale è una tecnica di manipolazione che sfrutta l’errore umano per ottenere informazioni private […] Le truffe di ingegneria sociale si basano sul modo in cui le persone pensano e agiscono, sono funzionali alla manipolazione del comportamento dell’utente.
Kaspersky.com
Secondo la definizione l’ingegneria sociale rappresenta una forma di manipolazione, che presuppone approfondita conoscenza del manipolato e delle ragioni che muovono le sue azioni. L’utente segue infatti, in linea di massima, precisi pattern di comportamento, dettati dalle proprie emozioni che non sempre conducono alla scelta più razionale (e quindi più sicura) possibile.
L’ingegneria sociale non è un concetto proprio ed esclusivo del settore informatico, anche se nell’ambito della cybersecurity trova una delle sue più significative espressioni. Il cybercrimine, infatti, affonda le sue radici proprio nelle logiche di ingegneria sociale e trae sostentamento dalle debolezze degli utenti.
Alla base della nostra società c’è il concetto di fiducia
Viviamo la nostra vita un atto di fiducia alla volta. Ci fidiamo degli altri perché spesso è proprio agli altri che dobbiamo affidarci: al nostro medico, al nostro terapeuta, al nostro meccanico, al nostro avvocato. Oppure ci fidiamo e basta, perché questa è la nostra naturale inclinazione e quindi diamo fiducia al nostro partner, ai nostri amici, spesso anche agli estranei. Siamo comunque abituati a fare un rapido controllo della situazione che ci si presenta prima di abbassare definitivamente le nostre difese. Se stessi aspettando l’arrivo di un pacco e le Poste ti contattassero per riferirti che questo è stato trattenuto presso un centro di spedizione, ti fideresti?
Ad una prima analisi della situazione, non ci sarebbe alcun motivo per dubitare della veridicità dell’informazione fornitaci. Questo perché ci stiamo interfacciando con un interlocutore accreditato, le Poste. La nostra esperienza ci suggerisce che possiamo fidarci del fatto che il nostro pacco è rimasto bloccato; pertanto, a questo punto, si presenta l’urgenza di risolvere la situazione quanto prima.
Quando subentra la paura, così come la vergogna
Avere paura di perdere un acquisto importante potrebbe spingere l’utente a cercare precipitosamente una soluzione. Ipotizziamo che una prima strada verso di essa si trovi già all’interno del messaggio di avviso: “si prega di seguire le istruzioni qui: [collegamento ipertestuale]”. L’istinto, guidato dalla fiducia nei confronti del mittente del messaggio, suggerisce di cliccare sul link indicato per sbloccare il pacco in stallo.
Non c’è nulla di strano in questa sequenzialità di azioni logiche e chi perpetra atti criminali basati sull’ingegneria sociale lo sa bene, motivo per cui l’esempio appena riportato fa riferimento ad una truffa effettivamente in atto che si è diffusa in particolar modo nell’ultimo anno. Cliccando sul link si viene generalmente rimandati ad un form da compilare per avviare le procedure di sblocco del pacco. Seguendo le indicazioni si finisce per consegnare i propri dati non alle Poste, né a qualsiasi corriere ufficiale e attendibile, ma ai fautori di una truffa chiamata smishing (tipo di phishing basato sulla comunicazione via sms).
Lo scopo dell’inganno risiede nell’appropriazione dell’identità virtuale del malcapitato che viene presumibilmente utilizzata per finalità malevole, che possano in qualche modo garantire vantaggio economico ai cybercriminali responsabili della truffa. Secondo un rapporto pubblicato nell’ultimo anno da Comparitech, è possibile acquistare sul dark web pacchetti d’identità rubate (comprendenti dati personali anche molto sensibili, come il numero di telefono) con soli otto dollari. Dati relativi alle carte di credito vengono invece venduti con un range di prezzo tra gli undici centesimi e i 980 dollari.
Il fine economico è ancora più evidente nei casi di ricatto sessuale: utenti segnalano l’arrivo di e-mail da parte di anonimi che minacciano la divulgazione di materiale esplicito che coinvolgerebbe la vittima. L’unico modo per impedirne la diffusione sarebbe quello di pagare una certa somma al mittente dell’e-mail, rigorosamente in criptovalute. Spesso questo materiale neppure esiste, ma il riferimento ad esso rappresenta un modo per sfruttare un’altra sfaccettatura tutta umana: il senso di vergogna che, inevitabilmente, genera paura. In una società normata come la nostra, in cui ad ogni comportamento non accettato dalla collettività corrisponde una sanzione di tipo morale e discriminatorio, non è difficile immaginare che una minaccia di questo tipo possa bastare a convincere la vittima a versare la somma richiesta.
Il bisogno di sentirsi accettati e di percepirsi come persone di successo
Poco tempo fa abbiamo parlato di quanto Instagram svolga un ruolo centrale nelle dinamiche di accettazione tra i giovani: i social network in generale sono sempre più determinanti nella percezione che abbiamo degli altri e di noi stessi. Il desiderio di apparire come persone di successo e di essere accettati dai nostri simili, può indurci a ricorrere a scorciatoie dalle pericolose conseguenze. Non a caso molti utenti scelgono di scaricare sul proprio smartphone applicazioni non ufficiali che promettono di aumentare il numero dei seguaci del proprio profilo social in cambio di dati o, banalmente, di denaro. Più spesso il prezzo da pagare include entrambe le cose.
Instagram è prevedibilmente la piattaforma più coinvolta. Follower chiama follower, questo il principio alla base. Benché il social network di Zuckerberg tenti da tempo di contrastare il dilagare di queste estensioni non ufficiali, il fenomeno resta ancora molto diffuso, con conseguenze da non sottovalutare. Una ricerca condotta da ESET ha denunciato l’esistenza di 13 applicazioni presenti sul PlayStore con l’obiettivo di rubare le credenziali di accesso degli account Instagram. Gli utenti, che inserivano username e password per permettere alle applicazioni di incrementare il proprio seguito, finivano invece per consegnarli a server in remoto.
Come difendersi dall’ingegneria sociale?
Fortunatamente esistono delle buone pratiche utili a scongiurare la possibilità di essere vittima di un attacco di ingegneria sociale, ricordiamo le principali:
- non consegnare mai dati sensibili a siti/applicazioni non ufficiali e dalla dubbia attendibilità;
- attenzione agli errori grammaticali, ortografici, di punteggiatura: quando presenti possono essere indizio della mancata attendibilità di un sito;
- non seguire collegamenti dalla destinazione poco chiara o sospetta e applicare la stessa cautela per i download.
È poi molto utile avere cura di accertarsi che il protocollo del sito a cui si stanno consegnando i propri dati sia https e attivare l’autenticazione a due fattori per tutti gli account.
Non solo debolezze: l’importanza della condivisione
L’ingegneria sociale e il cybercrimine in genere attingono alle conoscenze relative ai comportamenti umani: le nostre caratteristiche comportamentali, ora intrinseche ora plasmate dalla società all’interno della quale ci muoviamo, rappresentano uno spiraglio in cui la criminalità online spesso riesce a inserirsi ma possono anche essere sfruttate come arma di difesa. Chi di umanità ferisce, di umanità perisce.
Il concetto di condivisione si è fatto sempre più pervasivo all’interno della nostra società, anche grazie all’evoluzione tecnologica ancora in atto. Basti pensare alla rapida diffusione della sharing economy e al concetto stesso su cui si basano le piattaforme di socialità online e le logiche di scambio informativo che costituiscono le fondamenta dell’open source. Il contributo assume un valore ampiamente riconosciuto, la condivisione diventa più importante della proprietà. Internet oggi ne è la massima espressione.
Contrastare il cybercrimine e non restare intrappolati nelle articolate reti di ingegneria sociale è qualcosa che passa per la condivisione e la consultazione delle informazioni, motivo per cui denunce e segnalazioni assumono un ruolo chiave. Se conosciamo la truffa del “pacco rimasto bloccato al centro di spedizione” è grazie alla circolazione di informazioni, verosimilmente partita dalle vittime e alimentata dai media che hanno ripreso la notizia. Benché questo possa apparire un principio banale, la narrazione ampiamente diffusa secondo cui internet rappresenti una “terra di nessuno”, una zona grigia in cui i reati possono essere perpetrati impunemente, ostacola comportamenti di condivisione delle esperienze, preziosissimi per raggiungere una consapevolezza davvero collettiva.
La sfiducia nei confronti delle autorità competenti in fatto di crimini informatici porta a trascurare il beneficio indiretto della segnalazione/denuncia: la produzione di sapere. Se infatti rintracciare i responsabili dei cybercrimini non sempre è possibile, la condivisione delle esperienze genera conoscenza e, dunque, apre le porte a processi evolutivi e di difesa che sarebbe un vero peccato sottovalutare.
Articolo a cura di Ivana Lupo