[sgmb id=”1″]
Si chiama social engineering ed è una tecnica di hackeraggio che punta tutto sul fattore umano: quando la Rete o il programma non ha bug da sfruttare, si punta sulle debolezze della persona
Immaginate di essere un hacker, anzi un Elite hacker rispettato e riverito da tutta la community. Eppure c’è quella rete informatica che proprio non vuole saperne di cadere. Nonostante tutti i tentativi, nonostante tutte le tecniche di hackering messe in campo, non c’è niente da fare. Bisogna passare al piano B, all’ultima frontiera dell’hackering: il social engineering. Di cosa si tratta? Di una tecnica di phishing molto avanzata, utilizzata soprattutto in casi di spionaggio industriale a livello internazionale e che sfrutta i principi dell’ingegneria sociale. L’obiettivo non è individuare i bug del sistema per riuscire ad hackerarlo, ma puntare sul fattore umano, ossia sulle tracce lasciate in rete da chi è amministratore o gestore di una rete o di un sito. Il social engineering prevede diverse settimane di studio del soggetto, l’analisi della sua psicologia e delle sue relazioni sociali per riuscire a entrare in possesso dei dati necessari a bucare il network o per avere accesso a preziose informazioni personali (e/o industriali).
Un esempio concreto di quanto appena accennato è avvenuto a cavallo tra la primavera e l’estate 2012, ai danni di dirigenti e dipendenti di un ente governativo statunitense. Uno dei primi alert è partito il 5 maggio, quando alcuni membri di Energysec, ente governativo no-profit che si occupa del controllo e della gestione della rete elettrica statunitense, hanno ricevuto email sospette. Gli esperti in sicurezza informatica della società hanno analizzato quanto ricevuto e sentenziato che “il numero di persone oggetto delle email è circoscritto e focalizzato. Inoltre i messaggi sono stati realizzati in modo che sembrassero provenire da altri membri dell’organizzazione”. Dopo accurate indagini, si è scoperto che il tentativo di intrusione, andato avanti per mesi, era opera di un gruppo di hacker cinesi di primissimo livello. “Ognuno di noi ha il proprio interruttore, il proprio punto debole – afferma Bruce Snell, direttore del technical marketing di McAfee Security System – e un bravo social engineer sarà in grado di scovarlo”.
Ma il vero punto debole della catena è proprio l’uomo in sé e per sé. Se le Reti sono sempre più difficili da bucare e i programmi sempre più precisi e privi di bug, allora gli hacker devono per forza concentrarsi sull’unico punto debole del sistema: l’uomo. Gli uomini credono, o meglio vogliono credere, che le loro reti comunicative siano tutte sicure e per questo abbassano molto i loro livelli di guardia. A volte la parte più difficile del lavoro di un ingegnere sociale sta nel rintracciare i dati dell’obiettivo e le modalità con cui entrare in contatto con lui. Da lì in avanti, la strada è in discesa.
Ma, esattamente, qual è la strada da percorrere? Più di una. Le tecniche di hackering “sociale” sono multiple, anche se tutte hanno una base fortemente psicologica. Il social engineer è, infatti, prima di tutto uno psicologo, capace di entrare “empaticamente” in contatto con il proprio obiettivo. La fase di attacco vera e propria è preceduta da una lunga sessione di studio della personalità, dei contatti sociali e dei modi di relazionarsi con gli altri. Una volta che il social engineer ha carpito le informazioni di cui aveva bisogno, passa alla fase operativa. Una tra le tecniche più utilizzate è quella del pretexting: riuscire a creare con la persona-obiettivo un legame particolare all’interno di un ambiente artificiale (il pretext, appunto) e indurlo quindi a divulgare le informazioni di cui si ha bisogno. Altra tecnica molto utilizzata è quella del phishing, che consiste nel riprodurre repliche esatte di siti web (come ad esempio il sito della propria banca o del proprio provider di posta elettronica) e trafugare così i dati di accesso. Del phishing esiste anche una versione telefonica, detta IVR (Interacting Voice Response) o Phone Phishing o ancora Vhishing. Altra tecnica molto ingegnosa e altrettanto utilizzata è quella del baiting o adescamento e fa leva sulla curiosità umana. L’hacker lascia bene in vista (su una scala o dentro al bagno, ad esempio) un floppy disk, un cd-rom o una chiavetta USB con del codice maligno all’interno. L’obiettivo, una volta che trova “casualmente” il cd o la chiavetta, è preso dalla curiosità e lo inserisce nel proprio computer, dando il là all’infezione dell’intera Rete.
Le contromisure da adottare contro il social engineering partono, innanzitutto, dal buon senso delle persone. Proverbialmente: fidarsi è bene, non fidarsi è meglio. Sempre. Quindi, anche se si riceve un’email da un indirizzo di posta elettronica ritenuto affidabile, è consigliabile non aprire i link che contiene sino a che non si è verificata “scientificamente” la provenienza del messaggio. Poi, ci si deve affidare alla tecnologia. David Kennedy, ex social engineer per una società statunitense, ha creato nel 2009 l’organizzazione no-profit Social-Engineer.org con lo scopo preciso di offrire valide difese ai tentativi di ingegneria sociale. Nasce così il kit di strumenti denominato Social Engineering Toolkit, che permette di studiare e realizzare difese efficaci contro questa nuova frontiera dell’hackering.