Una tecnica che si rivela ancora vincente, con criminali informatici divenuti esperti di dinamiche sociali per acquisire tutte le informazioni necessarie a portare a termine con successo attacchi informatici.
Negli ultimi anni abbiamo assistito alla crescita di attacchi informatici mirati ai pc dei dipendenti, complice certamente il ricorso frequente allo smart working: dal 2019 al 2021 gli attacchi verso pc personali sono passati da 45 mila a 85 mila. Ecco che l'utente finale si rivela ancora una volta il vero anello debole, capace di vanificare migliaia di euro di investimenti nella sicurezza informatica e nella protezione delle reti aziendali. E il pc personale diventa la porta di accesso privilegiata, abilmente sfruttata dai criminali informatici divenuti esperti sociologi. Con la tecnica del social hacking infatti sono in grado di portare a termine attacchi di vario tipo acquisendo le informazioni necessarie direttamente dall'utente accreditato.
In che cosa consiste la tecnica chiamata social hacking.
Di fatto quella dell'ingegneria sociale è una tecnica utilizzata da tempo, da ben prima dell'avvento dei computer, per ottenere informazioni o per far compiere a qualcuno le azioni desiderate. Un'arte dell'inganno vera e propria, che si è evoluta interessando oggi il mondo dell'hacking. Un ingegnere sociale riesce a ottenere ciò che vuole nel modo più semplice: chiedendolo. Riconoscerlo è difficile perché capace di nascondersi ovunque e in grado di sfruttare ogni debolezza di colui che di fatto è già l'anello debole, l'essere umano.
Grazie alla diffusione nel dark web di codici malevoli e di vere e proprie piattaforme che permetto anche ad hacker inesperti di compiere con successo degli attacchi informatici, l'ingegnere sociale non deve necessariamente essere un abile informatico. Molto più spesso è un abile comunicatore, capace di far leva sulla sensibilità e sulla fragilità della vittima. Ovviamente la prima mossa è la scelta della vittima, effettuata molto attentamente in base allo scopo da raggiungere e alla sua relazione con l'obiettivo reale.
Gli step di un attacco di social hacking.
La struttura di una attacco di questo tipo può essere ricondotta, pur nella sua varietà, a delle fasi definite e ricorrenti.
1. La prima fase consiste nella ricerca dell'obiettivo. Ciò avviene di solito in base alle informazioni che si vogliono rubare.
2. Definito l'obiettivo si passa alla ricerca di una potenziale vittima. L'attaccante cerca di conoscere i dipendenti, spesso attraverso i social, anche quelli ufficiali aziendali, identificando i personaggi più vulnerabili, come un neo assunto o un dipendente anziano.
3. Infine si passa a instaurare un legame con la vittima designata, creando situazioni di contatto e di conoscenza volte a creare una sorta di fiducia. Oggi è piuttosto comune trovare informazioni anche molto sensibili sui social, pubblicate dalla stessa vittima o dai suoi amici più stretti. Risulta così facile fingersi un amico dell'amico, un delegato di qualche altra azienda o qualsiasi altra figura capace di trarre in inganno per fornire le informazioni desiderate. L'ultima fase è ovviamente la fuga. Ossia sparire senza lasciare traccia.
Chi utilizza le tecniche di social engineering è molto bravo nel cogliere e sfruttare quelle situazioni psicologiche che abbassano le difese: l'entusiasmo per un buon risultato, il timore nei confronti dell'autorità o delle lacune nelle proprie conoscenze ad esempio. In particolare il principio di autorità è molto diffuso: l'attaccante potrebbe impersonare un capo che si trova in altra sede, o un esperto del settore o ancora un ufficiale di polizia.
Proprio perché le vittime sono preferibilmente i pc privati, meno protetti, l'attaccante ha migliori occasioni di installare malware che gli permettono l'accesso ad informazioni molto private da utilizzare per creare quel clima di fiducia o individuare quel punto debole da sfruttare nella fase cruciale dell'attacco.
Social engineering, casi reali di attacco.
Secondo gli esperti le ragioni principali per le quali si clicca su una e-mail di phishing sono due: la legittimità percepita o la provenienza, apparente, da un dirigente senior.
Pochi giorni fa, alla fine di marzo 2022, MailChimp, famoso servizio per l'invio di newsletter, è rimasto vittima di un attacco informatico che ha compromesso 319 account. La stessa società ha affermato che si è trattato di un attacco di social engineering con il quale i criminali informatici hanno ottenuto da alcuni dipendenti le credenziali di accesso.
Le tecniche di social engineering sembrano trovare il loro limite solo nell'immaginazione umana. Un articolo pubblicato sul sito csoonline.com elenca gli attacchi di social engineering più strani e fantasiosi del 2021. Tra questi scopriamo attività lunghe e complesse di creazione di rapporti con le vittime e anche l'utilizzo di un video che circolava in rete di un famoso CEO abilmente adattato e utilizzato per una video conferenza nella quale è stato chiesto ai collaboratori di scaricare dei file.
