Social engineering: cosa si nasconde dietro agli attacchi di Phishing -LA&P

Social engineering: cosa si nasconde dietro agli attacchi di Phishing

Phishing

Se ne sente spesso parlare, ma ciò nonostante continua ancora a mietere parecchie vittime: il Phishing, uno degli attacchi più in voga tra i reati informatici. Anche nel 2019 registra una gran fetta di responsabilità nell’aver causato la violazione di migliaia di informazioni e perdite finanziarie considerevoli (stando ai dati del rapporto Clusit 2019, il Phishing occupa il 10% delle tecniche di attacco più utilizzate nel cybercrime).

La banalità e semplicità delle tecniche utilizzate sono, paradossalmente, il suo punto di forza: si instilla subdolamente nella psicologia della vittima, la quale inerme diventa un oggetto per compiere gli scopi dell’attaccante. Si propaga anche, e soprattutto, in situazioni di disagio globale: da ultimo, infatti, lo sfruttamento dell’epidemia COVID-19 (coronavirus), che ha paralizzato diversi Paesi su scala mondiale, terreno fertile per una campagna Phishing condotta mediante l’invio di e-mail volte a diffondere i payload di Remcos RAT, un malware Remote Access Trojan.

Oltre alla semplicità ed all’evoluzione tecnologica, che permettono il rapido espandersi di tali attacchi, quali sono le logiche e le metodologie che muovono dietro le quinte di un Phishing?

Cosa si intende per social Engineering

Il Social Engineering (tradotto, “ingegneria sociale”) è una tecnica che, tramite lo studio del comportamento umano ed azioni persuasive, permette di ingannare la vittima prescelta ed ottenere dalla stessa informazioni più o meno fondamentali o farle compiere azioni che non avrebbe condotto in autonomia.

Le metodologie sono molteplici e prescindono dall’ausilio o meno di strumenti tecnologici: la chiave è fingere, saper mentire e sostenere le proprie menzogne per giungere allo scopo.

Spesso è definita come “qualsiasi atto che influenza una persona ad intraprendere un’azione che può o meno essere nel suo interesse”, ma non va confusa con la disciplina di “ingegneria sociale” ricompresa all’interno delle scienze sociali: invero, se la prima ha uno scopo malevolo, quest’ultima, pur avendo un “behavioural approach” non è volta a carpire informazioni riservate o far compiere alla vittima azioni indesiderate.

Oltre alla manipolazione psicologica, il social engineer è molto bravo a nascondere la propria identità e, fingendosi una persona differente, ad instaurare un rapporto diretto con il soggetto colpito: creata la linea di fidelizzazione, “il pesce ha abboccato all’amo” ed il gioco è presto fatto.  

Le fasi dell’arte dell’inganno

Prima di instaurare una relazione diretta e fidata con la vittima, l’ingegnere sociale ha bisogno di conoscere il background del soggetto prescelto, ricostruendone un identikit utile a comprendere i punti deboli dello stesso e le tecniche da utilizzare per giungere al fine ultimo di carpirne le informazioni desiderate: è da qui che inizia l’attacco. Tale fase può richiedere tempo e costanza, ma risulta fondamentale per comprendere le armi da utilizzare: è importante conoscere le abitudini del soggetto passivo, monitorare la sua quotidianeità, i suoi interessi e capire il livello di conoscenza e di attenzione. Dopo aver raccolto, infatti, una quantità necessaria di informazioni sulla vittima ed aver ricostruito il ritratto psicologico della sua persona, si passa alla seconda fase, la quale si esplica essenzialmente nell’instaurazione di un contatto diretto con la stessa, mantenendo l’anonimato e con l’accuratezza che questa non scopra alcunché di inappropriato nella comunicazione. 

Il contatto non è sporadico, anzi: l’attaccante sa come instaurare il coinvolgimento della vittima e testa il soggetto mediante le informazioni che ha raccolto.

Solo dopo aver creato una linea di fidelizzazione, il contatto diretto si trasforma in vero e proprio attacco: la vittima è ormai soggiogata dall’attaccante, il quale riesce a carpire le informazioni dal suo bersaglio o a fargli compiere quelle azioni per le quali l’attacco è stato sferrato. 

Ultima fase, ma non meno importante, è la chiusura del rapporto con il soggetto colpito: in tale fase è molto importante prestare attenzione a non destare sospetti nella vittima. E se l’anonimato viene rispettato, l’attacco può dirsi compiuto.

Le varie declinazioni dell’arte dell’inganno

Prescindendo dalla metodologia psicologica utilizzata, gli step sopra delineati vengono rispettati in qualsiasi attacco che comporti l’utilizzo di social engineering: ma quali sono le possibili declinazioni di tale tecnica?

Esse sono molteplici, ma le più in voga sfruttano:

  • la comunicazione autorevole: la vittima percepisce il rapporto con una certa importanza ed in virtù di ciò rivela informazioni o compie determinate azioni (es. l’istituto bancario, un ente governativo, il proprio responsabile, …);
  • l’offerta imperdibile: la vittima viene reindirizzata ad un facile ed imperdibile acquisto, che in realtà si rivale un fake volto a carpire importanti informazioni (ne sono esempio le numerose campagne social di offerte low-cost di accessori di alta moda);
  • il desiderio, il senso di colpa ed il panico: la vittima è pervasa da sentimenti derivanti da una situazione cui vuole porre rimedio nell’immediato e, a qualunque costo, pone in essere azioni non ponderate per poter correre ai ripari nel più breve tempo possibile (casi frequenti sono le estorsioni informatiche);
  • l’ignoranza ed il buon senso umano: la scarsa conoscenza della strumentazione tecnologica, il trovarsi in difficoltà od il tendere una mano a qualcuno, che, in realtà, è un social engineer (es. lo scambio di password tra colleghi: e se dall’altra parte vi fosse un ingegnere sociale?).     

Quali sono le contromisure al social engineering?

Con particolare riguardo all’ambito aziendale, la conoscenza delle criticità correlate al social engineering e la diffusione di una cultura volta a mitigare sempre più l’errore umano sono, ovviamente, le contromisure più indicate: la persistente due diligence ed il monitoraggio sistematico della data governance sono strumenti utili solo se si tutela coloro che devono nel quotidiano porre in essere l’operatività dell’impresa. La formazione dell’anello debole diventa, pertanto, primaria al contrasto degli attacchi basati sulle tecniche di ingegneria sociale, soprattutto se costantemente aggiornata e testata mediante audit periodici.    

Oltre a ciò, nel day-by-day è opportuno tenere bene a mente il seguente elenco di regole minime preventive, le quali possono essere utili a ridurre il rischio di “abboccare all’amo”:  

  1. utilizzare credenziali e password d’accesso diversificate per utenza, evitando il c.d. “credential stuffing”;
  2. non utilizzare credenziali e password semplici e cambiarle periodicamente (almeno ogni 6 mesi o, nel caso di informazioni particolarmente riservate, ogni 3 mesi);
  3. evitare di scaricare file sospetti e di navigare in siti non sicuri (alcuni browser hanno già dei tool che indicano la pericolosità del sito dal tipo di protocollo utilizzato);
  4. non aprire allegati e-mail se non è stata preventivamente verificata l’autenticità del mittente;
  5. fare molta attenzione alle comunicazioni che hanno un estremo carattere di urgenza ed alle “offerte imperdibili”;
  6. quando viene scaricata un’applicazione, effettuare sempre la scansione con antivirus prima di installarla sul device;
  7. utilizzare ed impostare degli strumenti e filtri antispam per la casella e-mail;
  8. se è richiesto di eseguire un comando mediante link o allegato, non cliccare sullo stesso ma verificare l’autenticità della comunicazione attraverso il sito web originale del mittente (es. mail di cambio password). 

E voi, siete mai stati vittima di social engineering?

Per ulteriori informazioni, non esitate a contattare lo studio legale LA&P.

Calendar
Marzo: 2020
L M M G V S D
« Feb    
 1
2345678
9101112131415
16171819202122
23242526272829
3031  
Social