Dgroove

Come gli hacker truffano gli utenti per rubare dati: come funziona la social engineering

Come gli hacker truffano gli utenti per rubare dati: come funziona la social engineering

Infatti, oltre ad avere abilità tecniche, i black hat – i criminali informatici – devono conoscere anche tecniche psicologiche e possedere doti comunicative per poter manipolare le proprie vittime. Difatti, coloro che si rifanno a questa tecnica, non attaccano subito i computer ma gli utenti finali in modo tale da poter eludere le protezioni tecnologiche. Questo significa che non è possibile eliminare il problema come qualsiasi virus, ma sta alla persona fisica non farsi truffare.

La cautela è la prima forma di protezione

Per cercare di non farsi raggirare, bisogna non accettare nulla di cui non si è assolutamente certi della legittimità, rifiutare offerte non richieste, non cliccare su collegamenti provenienti da fonti sconosciute, non fornire la propria password o dati bancari e respingere consigli o aiuti non richiesti. Qualsiasi richiesta di fornire informazioni personali e aziendali, che permettono l’accesso ad un computer al fine di installare segretamente software dannosi, deve essere respinta poiché è alla base della social engineering.

Sfortunatamente al giorno d’oggi è ancora l’utente che compie determinate operazioni, come ad esempio inserire username e password, digitare il numero della propria carta di credito o le credenziali d’accesso del proprio account di home banking. Probabilmente a causa di questa circostanza i cybercriminali si sono resi conto che è più facile manipolare le persone per ottenere informazioni confidenziali piuttosto che attaccare direttamente una rete aziendale che può essere vulnerabile sotto molteplici punti di vista (bug nello sviluppo di app mobile e Web, software non aggiornati, configurazioni di rete imperfette ecc.).  

Social engineering: arte della manipolazione

Questa tecnica fa leva sui punti di forza e quelli di debolezza delle persone (come la vanità, l’avidità, la curiosità, l’altruismo, il rispetto o il timore) tanto da poterla definire una vera e propria arte della manipolazione.

A discapito delle competenze tecniche, i cracker – pirati informatici –  utilizzano questa tecnica proprio perché spingere le persone a rivelarti password è molto più semplice: senza un’adeguata formazione, gli utenti finali risultano obiettivi facili da raggiungere poiché ignari delle tecniche di hacking e specialmente degli scopi ultimi, quelli criminali (riscatti di denaro o di beni).

Uno dei social engineer più conosciuti è l’ex hacker Kevin Mitnick, il quale nel suo libro, The Art of Deception, descrive le modalità con cui poter truffare le persone dal vivo, via telefono o tramite email. Indipendentemente dal modo con cui ci si approccia alla vittima, l’hacker può porsi sia in maniera autorevole per farsi assecondare che come una persona cordiale (e alla gente piace fare attività gradite).

Le 4 fasi di un attacco di social engineering

È possibile individuare 4 fasi di un attacco di social engineering:

  1. fase di footprinting orientata alla raccolta di informazioni sulla vittima designata al fine di recuperare dati personali di contatto (numero di telefono, e-mail, rete di contatti, organigramma aziendale, misure di sicurezza IT ecc.);
  2. la seconda fase mira a sviluppare una relazione con la vittima al fine di guadagnarne la fiducia e di conseguenza una collaborazione;
  3. la terza fase è costituita proprio dalla manipolazione psicologica dove il cyber criminale sfrutta le informazioni raccolte e la relazione costruita con la vittima per abbattere le difese (fisiche o psicologiche) di quest’ultima e sferrare l’attacco vero e proprio, solitamente costruisce una menzogna credibile come la risoluzione di un problema all’account di posta elettronica;
  4. l’ultima fase è l’attacco vero e proprio dunque la sottrazione di dati da un sistema informatico e la conseguente fuga dopo aver cancellato le proprie tracce.

Durante questo processo, vengono utilizzate diverse tecniche di frode:

Proprio per il target di riferimento e la modalità usata, basata su tecniche psicologiche, la social engineering è diventata la minaccia di sicurezza più forte e diffusa. Senza contare il fatto che i sistemi tecnologici stanno diventando sempre più sofisticati, precisi e privi di bug, tanto da renderli più impenetrabili per cui agire su una persona fisica risulta più semplice.

Ciò che effettivamente può contrastare questo tipo di attacco è la formazione e la conoscenza di queste tecniche di hacking. In ambito aziendale ciò si può esplicare implementando ed aggiornando le policy di protezione dei dati. Una volta definite, i dipendenti conoscono, attraverso la procedura, il corretto utilizzo degli strumenti messi a loro disposizione per evitare fenomeni di data breach: le minacce, che possono derivare dall’attività lavorativa, sono riconducibili alla diffusione, volontaria o meno, delle informazioni e il loro utilizzo erroneo.

QUANTO NE SAI SULLA SICUREZZA INFORMATICA?

Metti alla prova la tua conoscenza per non cadere nelle trappole dei cyber criminali!

Exit mobile version