Ingegneria sociale, viaggio tra hacker e creatività

L’ingegneria sociale è una delle tecniche più utilizzate, al giorno d’oggi, da hacker e forze dell’ordine. Il termine, che deriva dall’inglese, indica tutte quelle attività mirate allo studio sociale di un qualunque essere umano. Lo scopo? Rubare informazioni utili. Vediamo, insieme, di cosa si tratta e come possiamo difenderci.
Ingegneria sociale: come funziona
“La mia password è sicura, nessuno la verrà mai a sapere” è una frase tipica al giorno d’oggi. Non parliamo solo dell’utente medio, ma anche dei tanti dipendenti che lavorano per grandi società. La verità è soltanto una: non esistono password sicure. Non importa quanto questa possa essere lunga, alfanumerica o meno, difatti il punto debole è proprio l’essere umano. A partire dai nostri dati fino ad arrivare ad informazioni segrete di grandi multinazionali, il punto debole della sicurezza siamo noi stessi e l’ingegneria sociale, una delle più potenti e pericolose tecniche hacker esistenti, si basa su questo.
Creatività, la pietra miliare di ogni attacco è questa. Certo, ci vuole credibilità ed esperienza, ma la creatività è senza dubbio alla base di tutto. Non solo hacker, ma anche le forze dell’ordine si basano sull’ingegneria sociale per appropriarsi di informazioni che, il più delle volte, non sarebbero accessibili per vie “diplomatiche”. Si inizia con il recuperare informazioni sulla vittima, un primo contatto può avvenire anche per posta elettronica, dopodiché si può passare al confronto telefonico, il più difficile. Giunti a questo punto, infatti, è assolutamente necessario avere esperienze a livello sociale, nessun timore, sicurezza di sé stessi e, sopratutto, tutte le conoscenze inerenti al personaggio che interpretiamo. Esempio: se volessimo appropriarci dei dati anagrafici di un soggetto X, è possibile chiamare la compagnia telefonica utilizzata da quest’ultimo interpretando un ruolo che ci permetta di avere accesso ai dati. Conquistare la fiducia dell’interlocutore non è facile, ma una volta fatta avremo letteralmente le porte spalancate.
Naturalmente, tutte queste informazioni potranno esservi utili esclusivamente ad uno scopo: difendersi. Per quanto improbabile possa essere un attacco di questo genere, è sempre meglio essere informati su quello che può accadere, specialmente se il nostro lavoro è in una grande società. Per capire meglio come funziona l’ingegneria sociale, proviamo a simulare un attacco.
Un semplice attacco
Un’improvvisa chiamata, durante un tranquillo pomeriggio, ci costringe ad alzarci dalla nostra comoda poltrona per alzare la cornetta. Dall’altra parte del filo telefonico c’è un certo Massimo, dipendente di un’agenzia aerea, che ci chiede quando passeremo a prendere i biglietti per Roma prenotati a nostro nome. A questo punto, se noi non avessimo mai prenotato un viaggio per Roma, come reagiremmo? Il nostro interlocutore, che sembra una persona affidabile, sorride dall’altra parte del telefono e dopo avergli detto più volte che non siamo noi ad aver prenotato questo viaggio, lui ci chiede il codice fiscale per fare un controllo sulla prenotazione. Ecco fatto, dal controllo risulta che non siamo noi, chiudiamo la chiamata e ci dimentichiamo di Massimo che, a questo punto, ha ottenuto il nostro codice fiscale.
Si tratta di un semplice esempio, certo, ma che comunque rende l’idea delle potenzialità dell’ingegneria sociale. Così come il codice fiscale, Massimo avrebbe potuto chiederci qualcos’altro e, più in generale, l’attacco potrebbe essere così sofisticato da non far nascere in noi il minimo sospetto. Se, ad esempio, grazie ad una chiamata precedente, lui avesse già in mano i nostri dati sostenendo che sono quelli dichiarati da noi durante la prenotazione? Insomma, le frontiere dell’ingegneria sociale sono molto ampie. Ci sono inganni così sofisticati che prevedono, per ottenere qualcosa, numerose chiamate prima di arrivare all’attacco decisivo e, in alcuni casi, per guadagnare la fiducia, si richiama più spesso alla medesima persona per diversi giorni. Ecco perché, sul lavoro e non solo, è necessario difendersi. Come fare?
L’arte dell’inganno: come difendersi
Kevin Mitnick è senza dubbio l’esponente maggiore dell’ingegneria sociale. Le sue imprese sono epiche, ed è oggi ritenuto da molti uno dei più grandi hacker di tutti i tempi. Le sue malefatte non sono passate impunite (ha scontato diversi anni di carcere), ma ha anche lasciato un grosso contributo alla sicurezza informatica: l’arte dell’inganno, un libro scritto di suo pugno che mostra tutti i vari metodi da lui utilizzati per arrivare ad informazioni segrete. Lo scopo principale del libro è quello di istruire la gente a difendersi, ma si tratta anche di un’interessante lettura che può ampliare il nostro “bagaglio culturale”. Alla ricerca di un metodo valido per difendersi, questo libro rappresenta la soluzione migliore. Inoltre, esso è disponibile ad un prezzo molto contenuto presso Amazon.
Oggigiorno, la sicurezza sembra non bastare mai, le società trovano nuovi e sempre più sofisticati metodi per proteggere le loro informazioni ma, in ogni caso, è sempre meglio diffidare. Naturalmente, nel nostro Paese, l’ingegneria sociale è poco utilizzata (probabilmente per niente), ma in realtà più “ampie” essa continua ad essere sfruttata. Che sia per semplice conoscenza personale o per lavoro, sapere come difendersi potrà sempre tornare utile.

Donato Braico

Fonte: Tasc