Qualcuno forse ricorderà una scena del film “Il Genio Della Truffa” (in originale “Matchstick Men”) in cui il personaggio principale, interpretato da Nicolas Cage, ha questo scambio di battute con l’attrice, Alison Lohman
Lohman: “Non sembri un cattivo ragazzo”.
Cage: “E’ per questo che li frego tutti”.
E’ una conversazione molto breve, che però dice molto sulle truffe in generale, nel mondo digitale come in quello reale: portare qualcuno ad abbassare la guardia con astuzia rende la vita di un ladro molto più semplice. Nel gergo degli hacker, il social engineering non è nulla di differente. Il social engineering equivale ad andare all’assalto della mente umana, qualcosa che per molti versi può risultare molto più semplice rispetto a trovare una nuova vulnerabilità software e utilizzarla come gateway per penetrare nei sistemi di un’azienda. Tali vulnerabilità, denominate zero-day, possono costare decine di migliaia di dollari nell’ambiente degli hacker – denaro che può essere sicuramente risparmiato se si riesce a convincere il potenziale bersaglio ad installare direttamente un virus sul proprio computer. Dopo tutto, non vale la pena di fare troppi sforzi per manomettere una serratura quando può essere sufficiente convincere qualcuno a farci entrare nella sua casa.
Ma quali sono le basi per un buon attacco di social engineering? La chiave sta nell’esca con cui si attira il malcapitato, ad esempio con un post su Facebook riguardante una celebrità o con un messaggio e-mail nel cui oggetto si faccia riferimento all’azienda per cui lavora. Uno degli attacchi più pubblicizzati dello scorso anno, condotto ai danni di Rsa, è iniziato proprio con l’apertura di una e-mail – da parte di un dipendente – dal titolo “Piano di reclutamento 2011”. Nel momento in cui il dipendente ha aperto l’allegato, si è innescata una concatenazione di eventi che ha portato alla compromissione di dati sensibili. Se per danneggiare un sistema è necessaria la conoscenza delle vulnerabilità di programmazione, andare all’assalto – o più tecnicamente hackerare – la mente umana richiede un diverso tipo di competenza, più precisamente quella di prevedere su quali tipi di e-mail o link l’ignara vittima potrà più probabilmente cliccare.
Un modo per entrare in possesso di queste informazioni è quello di prendere di mira le persone in base al loro lavoro ed ai loro interessi, e su questi temi forse non vi è fonte di dati maggiore delle reti sociali. Lo studio di un profilo LinkedIn può rivelare storia e posizione lavorativa di una persona; un’occhiata al suo account Facebook consente di scoprirne hobby e amicizie. Se da un lato le reti sociali hanno fatto molto negli ultimi anni per rafforzare i controlli sulla privacy, molti utenti non ne fanno uso in maniera adeguata o inavvertitamente li rendono inefficaci stringendo amicizia con persone che non conoscono realmente. Una ricerca ha rivelato che, normalmente, un falso profilo su Facebook possiede una media di 726 “amici” – oltre il quintuplo di un utente tipico del sito.
Vi sono altri modi per hackerare la mente umana. Una delle tecniche preferite dagli hacker è la Search Engine Optimization (seo) è. L’idea che sta alla base della seo è quella di aumentare il ranking di un sito su motori di ricerca come Google. Nelle mani giuste questo strumento risulta essere perfettamente lecito ma in quelle sbagliate aumenta le probabilità che la gente si soffermi su un sito malevolo. Esistono inoltre alcune metodologie di gran lunga meno “tecniche”, come ad esempio la più classica conversazione telefonica che può indurre le persone ad abbassare la guardia.
Uno studio recentemente commissionato da Check Point a Dimensional Research ha rivelato come il 43% degli 853 professionisti IT intervistati in tutto il mondo, dichiari di essere stato preso di mira da attacchi di social engineering. Dal sondaggio è inoltre emerso che i nuovi dipendenti sono i più sensibili agli attacchi con un 60% di intervistati che cita i colleghi più “freschi” come soggetti “a rischio elevato” di ingegneria sociale. Purtroppo la formazione non sembra essere al passo con le minacce visto che solo il 26% degli intervistati offre una formazione regolare, mentre il 34% dichiara di non avere in essere alcuna forma di education sui propri dipendenti. La buona notizia è che la tendenza sta cambiando, e sempre più aziende stanno sviluppando maggiore consapevolezza rispetto alle minacce di sicurezza e verso quali tecniche di social engineering i dipendenti siano maggiormente suscettibili.
La formazione rappresenta un elemento chiave per difendersi dagli attacchi, ma ogni processo di questo tipo non può fare a meno di solida policy di protezione dei dati. Questa deve comprendere il controllo delle informazioni e di chi vi abbia accesso, nonché l’impostazione di criteri che siano attuabili e correlate alle operazioni di business. Una volta definiti, i dipendenti devono essere messi al corrente delle policy, che debbono essere testate sul campo. È essenziale condividere informazioni sugli attacchi che vengono rilevati, in modo tale che i dipendenti possano meglio comprendere come e perché vengano fatti oggetto di pirateria. Spesso una buona dose di prudenza può lungo allungare la vita – nel caso in cui arrivi una inaspettata richiesta di informazioni private via e-mail, è bene controllare il presunto mittente per assicurarsi che sia legittimo.
A supportare tutto questo dovrebbero essere reti ed endpoint protetti dalle migliori metodologie e dagli aggiornamenti di protezione più recenti, ma nella realtà la lotta contro gli assalti alla mente umana richiede più cambiamenti attitudinali che armi tecnologiche. Se esiste un antivirus per la mente, questo deve essere aggiornato con tutte le varie policy aziendali e deve essere al corrente del modo in cui gli hacker prendano di mira le loro vittime. Aggiungere queste informazioni ad un programma di formazione può rappresentare la stessa differenza che c’è tra una violazione dati e una notte tranquilla in ufficio.
