Ingegneria sociale, una minaccia apparentemente banale
di Isabella Corradini e Luisa Franchina
Abstract
Da tempo gli attaccanti hanno compreso che ci sono altre modalità per raggiungere i propri obiettivi, riducendo rischi e investimenti. È il caso dell’ingegneria sociale (social engineering) che sfrutta le caratteristiche umane e che, proprio per questo motivo, spesso si realizza con successo, come avviene con le intramontabili e quotidiane mail di phishing. A confermarlo anche i vari studi condotti in materia di sicurezza informatica.
Keyword: ingegneria sociale
L’aumento esponenziale in questi ultimi anni degli attacchi tecnologici su sistemi e reti informatiche ha visto in risposta un miglioramento delle contromisure tecnologiche adottate, ma tutto questo sembra non essere più sufficiente. L’impiego di tecnologie evolute non garantisce la sicurezza, dal momento che tra le tecnologie e gli attacchi c’è sempre una variabile di cui tenere conto: il fattore umano.
Da tempo gli attaccanti hanno compreso che ci sono altre modalità per raggiungere i propri obiettivi, riducendo rischi e investimenti. Concentrandosi sul fattore umano, universalmente riconosciuto come l’anello più debole della sicurezza (di qualunque sicurezza si parli), gli attaccanti lo individuano sempre più come il bersaglio e/o lo strumento mediante il quale agire.
A confermarlo anche le statistiche riportate dai vari studi condotti in materia di sicurezza informatica.
Si veda, ad esempio, il rapporto Verizon 2016[1], Data Breach Investigations Report (DBIR) redatto, alla sua nona edizione, dal colosso americano delle telecomunicazioni Verizon.
Nel rapporto di ricerca sono state analizzate oltre 2.260 violazioni accertate e circa 100 mila incidenti di sicurezza segnalati. Viene evidenziata la crescita della modalità di attacco alle aziende cosiddetta ‘a tre fasi’, ovvero: l’invio di una mail di phishing che include un link a un sito web dannoso o un allegato malevolo; il download del malware sul Pc dell’utente, in grado di rubare le credenziali di numerose applicazioni; l’uso delle credenziali sottratte per futuri attacchi come l’accesso, ad esempio, a siti web di banche o siti di e-commerce[2].
Il problema degli utenti che ‘aprono’ allegati e cliccano su link dannosi, è dunque annoverata tra le principali falle della sicurezza, poiché in questo modo viene data la possibilità ai criminali di introdurre un malware e aprire loro una breccia.
Eppure ci si chiede: chi mai continua a credere ai messaggi pervenuti con una mail di phishing? A quanto pare, secondo il rapporto Verizon, nel 30% dei casi i messaggi di phishing vengono aperti e il 13% di questi utenti clicca sull’allegato malevolo o sul link dannoso. Il dato non stupisce, dal momento che il phishing fa leva proprio sulle vulnerabilità umane: sfrutta, infatti, tecniche e principi psicologici per manipolare le persone e indurle a fornire informazioni o a compiere determinate azioni, il tutto nel solo interesse dell’attaccante. L’ingegneria sociale è spesso il preludio ad attacchi informatici veri e propri (Corradini, Franchina, 2016).
Ma anche andando a vedere quanto emerge dall’analisi condotta dal Clusit nel suo rapporto 2016 sulla sicurezza ICT in Italia[3] si osserva la crescita dell’ ingegneria sociale. Il report descrive dieci attacchi rappresentativi del 2015, tra i quali viene riportato anche quello riguardante la violazione di una casella mail personale su America on Line (AOL) appartenente al capo della CIA John Brennan. La violazione è stata rivendicata da un sedicente gruppo di hacker adolescenti (CWA, Crackas With Attitude) che, al riguardo, ha commentato: «ci sarebbe riuscito anche un bambino di 5 anni», spiegando di aver utilizzato «banali tecniche di social engineering» nei confronti di Verizon (ISP di Brennan) e AOL (provider del servizio di posta) per ottenere l’accesso. Ma, come osservato nel rapporto Clusit, data la natura del target e le modalità professionali con cui gli hacker hanno operato, si fa fatica a credere che si tratti di adolescenti annoiati, come invece alcuni suppongono.
Resta il fatto che, a prescindere dal livello di professionalità degli attaccanti, quello che comunque deve far riflettere è che l’utilizzo di «banali tecniche di social engineering» è bastato a fare breccia e, allo stato attuale, continua a mietere vittime. Altro elemento di interesse legato al caso sopra riportato è che l’attacco è stato condotto non direttamente sulla persona oggetto di interesse, ma su terzi detentori dei dati. Questo significa che anche un obiettivo ‘iper protetto’ o ‘iper attento’ può essere raggiunto con tecniche la cui banalità è solo apparente, dal momento che l’ingegneria sociale fa leva su caratteristiche che fanno parte della natura umana.
Nella posta elettronica di ognuno di noi arrivano quotidianamente messaggi fraudolenti che invitano a visionare siti malevoli: da qualche tempo vanno di moda messaggi che minacciano condanne penali, multe, confische, ecc. Il timore di passare qualche guaio con la giustizia può indurre il malcapitato di turno a cliccare sul link riportato o ad aprire l’allegato. Ma l’attaccante punta proprio su questa paura e sa che, a fronte di una moltitudine di mail di phishing che ha inviato, qualcuno cadrà nella sua rete.
Dal momento che il phishing e il social engineering continuano ad imperversare, confermando le previsioni che erano state avanzate alla fine del 2015, occorre rafforzare le attività di sensibilizzazione, base fondamentale della prevenzione. La conoscenza, infatti, è il primo passo per arrivare alla consapevolezza.
Note
[1] Verizon’s 2016 Data Breach Investigations Report, (http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/).
[2] A. Frollà, Cybersecurity, sempre più aziende vittime dell'”attacco a tre fasi” , Corcom.it – quotidiano online dell’economia digitale e dell’innovazione , http://www.corrierecomunicazioni.it/digital/41098_cybersecurity-sempre-piu-aziende-vittime-dell-attacco-a-tre-fasi.htm.
[3] CLUSIT – Associazione Italiana per la Sicurezza Informatica, Rapporto Clusit 2016 sulla sicurezza ICT in Italia, https://clusit.it/rapportoclusit/.
Le autrici
Isabella Corradini, psicologa sociale e del lavoro, criminologa, è esperta sui temi della sicurezza (safety, security e cybersecurity) con focalizzazione sul fattore umano, e di comunicazione. È Presidente del Centro Ricerche Themis, Direttore di Reputation Agency e docente di Psicologia sociale e di psicologia del comportamento criminale presso l’Università dell’Aquila. Ha di recente fondato il Link&Think Research Lab per ricerche interdisciplinari in ambito socio-tecnico-umanistico. È autrice di numerose pubblicazioni, nazionali e internazionali.
Luisa Franchina è ingegnere elettronico con dottorato e post dottorato di ricerca in ingegneria elettronica e master in geopolitica. Attualmente è partner e direttore della Hermes Bay. È stata Direttore Generale della Segreteria per le Infrastrutture Critiche presso la Presidenza del Consiglio dei Ministri, Direttore Generale del Nucleo Operativo per gli attentati nucleari, biologici, chimici e radiologici- Dipartimento della Protezione Civile e Direttore Generale dell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione – Ministero delle Comunicazioni.
Isabella Corradini e Luisa Franchini sono autrici di Ingegneria sociale: aspetti umani e tecnologici, Themis Edizioni, 2016.
Categoria: Approfondimenti
