Social Engineering: le tecniche, i rischi che comporta e come difendersi.

di Andrea Baldi, Cybersecurity Awareness Ambassador SHOT su LinkedIn

In questo articolo vi parlerò del Social Engineering, una tecnica che a differenza degli attacchi informatici, che sfruttano le vulnerabilità dei sistemi informativi, punta sulle persone, cercando di ingannarci per ottenere informazioni sensibili, riservate, credenziali per accessi ai sistemi o di ottenere transazioni in denaro.

Social Engineering, che cos’è ?

Cos’è il Social Engineering? Il Social Engineering è la tecnica usata dai criminali informatici per ingannare le persone, le vittime  e fargli rivelare  informazioni sensibili quali credenziali aziendali o dati importanti necessari per poter portare a termine un attacco informatico. Attraverso un attacco di social engineering si spinge la vittima ad eseguire azioni che porteranno in molti casi a conseguenze serie per l’azienda sotto attacco. Potremo chiamare il social engineering come il dominio dell’inganno digitale.

Un attacco di social engineering non si improvvisa, ma al contrario si pianifica e si costruisce al tavolino seguendo uno schema ben preciso che vi illustrerò in dettaglio.

Di importanza fondamentale è la raccolta di informazioni preliminari necessarie per identificare una vittima, preferibilmente un soggetto vulnerabile e la parte psicologica che è il fulcro di questo attacco. E’ chiaro quindi che il mezzo principale dell’attacco non e’ un virus, un malware o un link malevolo, ma bensì le  tecniche di convinzione che possono indurre una persona a fare un errore ed a compiere azioni pericolose. La parte tecnologica in questo caso risulta complementare ed utilizzata se necessaria per raggiungere lo scopo prefisso, ad esempio accedere ad un sistema dell’azienda sotto attacco, per poi procedere magari con altre tecniche (e.g. movimento laterale) puntando ad un sistema specifico.

Il classico esempio

Un esempio tipico è quello di un criminale che, fingendosi un dipendente dell’azienda, telefona a un collega presentandosi come un tecnico informatico e gli chiede la password di accesso con la scusa di dover risolvere un problema urgente. Intrattiene con lui una conversazione amichevole, cercando di guadagnare in primis la sua fiducia per poi estorcergli le informazioni di cui ha bisogno con tecniche ben codificate.

Criminale: “Buongiorno sono il tecnico IT di turno e ti chiamo perché abbiamo rilevato un problema sul tuo PC e dobbiamo intervenire subito. Hai notato rallentamenti o errori di accesso?“

[Il criminale mira a guadagnare la fiducia presentandosi come tecnico IT, che deve risolvere un problema per l’utente urgentemente]

Utente:” In effetti sì, mi sembra che la posta oggi sia più lenta del solito…”

[l’utente inizialmente non ha motivi di non fidarsi del presunto tecnico e si mette in ascolto]

Criminale: “Ecco, mi confermi il problema! Abbiamo ricevuto una segnalazione dal sistema e dobbiamo fare un reset delle impostazioni di rete, ma per farlo devo poter accedere direttamente con il tuo account.”

[Fin qui tutto bene, il criminale motiva il razionale dell’intervento, e la prende alla larga stando sul generico]

Utente:” OK, dimmi cosa devo fare”

[l’utente e’ ancora nella fase di ascolto e si fida]

Criminale: “Ecco,mi servirebbe la tua password per accedere e risolvere il problema. Facciamo subito e immediatamente dopo potrai cambiarla”

[Il Criminale verifica se ha veramente ottenuto la fiducia dell’utente e chiarisce che l’ operazione e’ veloce e senza rischio]

Utente:” La Mia password? Non so se posso…”

[l’utente e’  indeciso e non sa cosa fare, e si pone il dubbio ad alta voce]

Criminale: Capisco, ma è urgente. Se non lo facciamo ora, la posta potrebbe poi inchiodarsi”

[Qui il Criminale si gioca le sue carte, diagnosticando uno scenario problematico con l’utente attraverso una leggera pressione, che lascia la scelta all’ utente, che magari e’ sotto maggiore pressione per il lavoro e si convince. Nel caso l’ utente non si convincesse, il criminale potrà mettere in campo altre tattiche, oppure lascerà perdere, provando a chiamare la vittima di backup per il suo attacco]

Utente:” Ok… La password e’ Sd34jH721″

[l’utente indeciso alla fine si fa convincere, perche’ magari la sua mente e’ altrove e vuole e deve tornare a fare il suo lavoro. Rivela quindi la password al criminale in buona fede.]

Criminale:” Perfetto procedo con il reset, e quando finito ti informo. Grazie”

[Il Criminale ha centrato il suo obiettivo ed e’ in grado di sferrare l’attacco].

L’analisi della scena

L’analisi di questa scena, che potrebbe essere stata disegnata in modi e sfumature diverse porta ad identificare i seguenti punti: 

1. L’ attaccante si presenta come una persona credibile, in questo caso un tecnico IT.
2. Pone un problema che potrebbe bloccare l’ utente creandogli pressione.
3. Lo rassicura ma gli presenta uno scenario a dir poco fastidioso.
4. L’ utente si fida e sceglie la soluzione facile, ma ha esposto le sue credenziali all’ attaccante.

Scenari come questo si costruiscono a tavolino, di solito sfruttando informazioni disponibili on line che riguardano il personale o l’azienda che si intende attaccare. 

Facciamo un passo indietro e cerchiamo di capire come l’attaccante abbia potuto reperire informazioni su una potenziale vittima a cui sferrare un attacco.

Oggi e’ fin troppo semplice accedere tramite Internet ed i social media ad informazioni di una potenziale vittima, o ai suoi colleghi/amici e quindi sfruttando queste informazioni farsi un profilo dettagliato della vittima e/o magari spacciarsi per un suo conoscente. On line e’ possibile acquisire dettagli che risultano utilissimi (e.g. abitudini, debolezze, interessi, frequentazioni) per indurre la vittima a fidarsi. Ricordiamo che un attacco di social engineering è una truffa basata sulla manipolazione psicologica. L’attaccante non usa la tecnologia, ma sfrutta la fiducia e le emozioni della vittima per indurlo a fare qualche cosa a suo vantaggio. Ottenuta la fiducia il resto e’ un gioco da ragazzi.

Sviluppo dell’attacco

Prima di tutto, l’attaccante sceglie una persona che potrebbe avere accesso a informazioni utili. Spesso si tratta di un dipendente aziendale, magari qualcuno che lavora in IT, in amministrazione o nel servizio clienti.  Tutto questo si può cercare abbastanza facilmente sui social come Linkedin. Da qui si capiscono anche le competenze di una persona, per cui l’attaccante già può evitare alcuni argomenti che potrebbero essere scomodi o troppo pericolosi.

Con Facebook, o nei gruppi di discussione o nei siti aziendali dove troppo spesso sono pubblicati ruoli, responsabilità, nomi di colleghi, o semplicemente eventi a cui la vittima ha partecipato, si trovano altre informazioni utili, tramite cui l’ attaccante può definire un profilo preciso della vittima che includa dettagli sul suo lavoro, sui suoi colleghi, sulla sua gerarchia, o semplicemente sugli strumenti che utilizza nel suo lavoro. 

A tal proposito il framework OSINT (Open Source Intelligence) fornisce strumenti incredibili per la raccolta e analisi di informazioni da fonti pubbliche, come siti web, social media, database e forum pubblici, utilizzati durante la fase di profilazione sia di individui che di aziende.

Tramite il profilo l’attaccante può costruire una storia in cui cerca di ingannare la vittima e fingendosi un collega, un fornitore, un addetto di servizi aziendali cerca di raggiungere il suo obiettivo.

Storie di comuni attacchi quali cambio urgente di password, falso collega in difficolta’, falso supporto tecnico, modifica urgente da effettuare, minaccia di blocco account o revoca di servizio, devono sempre far riflettere e mai correre all’azione precipitosa!

L’uso del senso di urgenza nella richiesta, integrato con informazioni reali raccolte durante la fase di proliferazione, aumenta drasticamente la probabilità di successo dell’attacco.

Come difendersi

Per difendersi è sempre opportuno verificare le richieste urgenti con un canale di comunicazione  indipendente (chiamata diretta, chat aziendale interna, etc.) e diffidare di messaggi e telefonate con toni di pressione e fretta. Seguire sempre le procedure aziendali codificate per pagamenti, operazioni privilegiate e gestione delle credenziali e permessi.

Ricordiamoci sempre che il senso di urgenza è una delle leve più potenti nel social engineering, perché induce la vittima a reagire subito impulsivamente senza analizzare attentamente la richiesta. Questo metodo si basa su un principio psicologico che sotto pressione, le persone tendono a ridurre il pensiero critico e a eseguire azioni rapidamente e meccanicamente pur di risolvere il problema. Poi se ne pagano le conseguenze, spesso irrimediabili.

Attraverso questo tipo di attacco si possono ottenere password, codici di accesso,  documenti riservati, dati personali, dati bancari, utilizzabili direttamente per entrare nei sistemi aziendali o che hanno un valore nel dark web per essere utilizzate in attacchi di natura più grande.

Morale della favola, un attacco di social engineering in generale non sfrutta direttamente la tecnologia, ma la psicologia. Gli attaccanti non necessitano di violare i sistemi informatici quando possono farti consegnare le chiavi di accesso nelle loro mani dagli utenti stessi.

Ecco alcune buone abitudini per proteggersi da questo tipo di attacchi:

• Limitare al minimo indispensabile le informazioni sul proprio lavoro pubblicate sui social e sui siti aziendali.
• Rivedere periodicamente le impostazioni di sicurezza dei propri profili social, limitando gli accessi al minimo necessario.
• Non condividere pubblicamente troppi dettagli personali.
• Non accettare mai richieste di amicizia da sconosciuti sui social.
• Non fornire mai password, codici di accesso o informazioni sensibili al telefono, via email o in chat.
• Diffidare sempre di chiamate inattese da tecnici o supporto clienti che vi chiedono accessi o dati personali.
• Diffidare sempre di richieste insolite da parte di colleghi o superiori se non avendone verificato l’ identità.
• Attivare sempre l’autenticazione a due fattori per accedere ai sistemi, se disponibile.
• Se qualcuno vi chiede dati riservati, non procedete senza aver effettuato una verifica indipendente.
• Verificare sempre l’identità di chi vi contatta, utilizzando un canale di comunicazione indipendente.
• Segnalare immediatamente qualsiasi tentativo sospetto ai responsabili di competenza.
• Seguite regolarmente iniziative di Security Awareness per essere sempre preparati a riconoscere e prevenire nuovi attacchi di social engineering.

Per andare oltre

Ascolta l’episodio del nostro podcast “Pillole di Cybersicurezza”:

🎧 Episodio 04: Difendersi dagli attacchi Social Engineering

A proposito dell’autore

Andrea Baldi è SHOT Cybersecurity Ambassador Elite-level. Andrea è laureato in Informatica presso l’Università di Pisa, con oltre 35 anni di esperienza IT in organizzazioni europee, di cui oltre 30 presso l’Agenzia Spaziale Europea (ESA). I momenti salienti della sua carriera includono lo sviluppo di sistemi per il  controllo di satelliti presso ESOC, la gestione di infrastrutture IT presso ESRIN e lo sviluppo dil software per l’ Osservazione della Terra. In particolare, Andrea ha guidato l’implementazione di un sistema di Single Sign-On (SSO) sicuro per le applicazioni EO, con un’attenzione particolare alla sicurezza informatica. Negli ultimi sei anni presso ESA, ha ricoperto il ruolo di ESAIT Security Officer, gestendo il Computer Emergency Response Team di ESA (ESACERT) e guidando iniziative di security awareness. Andrea ha inoltre supportato la certificazione ISO 27001 di ESAIT, contribuendo allo sviluppo di un’ingegneria IT sicura. Attualmente, continua a contribuire come sviluppatore indipendente per un’organizzazione non profit di Bologna, coniugando competenza tecnica e valore sociale.

📞 Prenota ora la tua prima telefonata con un Ambassador SHOT: https://calendly.com/bookshot/30min