Come hackerare il sistema operativo umano: l’uso delle tecniche manipolatorie e persuasorie dell’ingegneria sociale.

(Angelo Alabiso*) Nonostante oggi la tecnologia sia diventata un tassello cardine di questa società, con prodotti di sicurezza sempre più aggiornati rispetto all’evolversi delle minacce informatiche, è ancora l’essere umano ad essere il reale e ultimo interlocutore capace di arrivare direttamente al cuore dei sistemi: inserisce password, configura qualsiasi apparecchiatura tecnologica, digita le proprie credenziali e-banking e tanto altro. Per quanto oggi si possa sentire parlare di processi automatizzati, di intelligenza artificiale, il fattore umano rimane la chiave più debole per poter aggirare qualunque sistema e raggiungere i propri scopi malevoli. Quelli che sono gli attuali cyber criminali, soprattutto nel caso in cui non dovessero avere delle competenze tecniche, non sempre preferiscono spendere troppo tempo per aggirare tecnologie complicate quando, di converso, esistono tecniche più efficaci, come l’ingegneria sociale, per ottenere, per esempio, delle password di accesso direttamente da un dipendente aziendale. Come lo stesso cracker Kevin Mitnik afferma nei suoi libri “un’azienda può spendere centinaia di migliaia di dollari in firewall, criptografia e altre tecnologie per la sicurezza, ma se un hacker ha una talpa in azienda, ha la possibilità di violare tutti i sistemi di protezione, e non c’è denaro che possa contrastare questa eventualità”. Pertanto, è ormai sempre più consueto sentire parlare di questo “social engineering” ossia quell’approfondimento delle scienze sociali, fondato sullo studio del comportamento umano e delle sue vulnerabilità, in grado di estrapolare dai propri target delle informazioni riservate, delle risorse economiche, delle identità da utilizzare per i propri interessi o da passare a enti o società terze. A differenza di quello che comunemente si crede, colui che applica i meccanismi della comunicazione efficace, di tipo persuasiva e manipolatoria, non sempre riveste i panni della persona introversa, per certi versi asociale, grezza e non curata. Al contrario, per far un uso corretto delle sue tecniche, spesso molto articolate e ben studiate, bisogna avere una certa sensibilità verso gli altri e se stessi: in grado di comprendere le altrui esigenze o bisogni, personificarsi in un’altra persona, saper mentire bene, nascondere emozioni e intenti ed infine capire quando è il giusto momento per attaccare o semplicemente seminare il terreno prima di raccoglierne i frutti. Dal punto di vista criminologico, l’ingegnere sociale, può essere descritto come un soggetto capace di controllare le sue emozioni, con un livello di istruzione medio-alto, in grado di adeguarsi nel contesto sociale in cui opera, che non manifesta problemi relazionali, analitico, calcolatore e abile a sfruttarne le debolezze delle persone che ha di fronte. Particolarmente attento alle parole che pronuncia, è una persona molto motivata ed eclettica, capace di trovare molteplici soluzioni alle problematiche che si trova a dover affrontare e determinata a conseguire profitti economici o vantaggi di altra natura. Di conseguenza la vittima ideale è quella che è più “suggestionabile” agli input dati dallo stesso malintenzionato. Niente ovviamente toglie il fatto che possa essere anche un manager aziendale il soggetto da ingannare e che ci voglia una preparazione più articolata per riuscire ad ottenere le informazioni volute. In questi termini, il concetto di “ingegneria sociale” lo si potrebbe inquadrare come una vera e propria manipolazione psicologica utile a indurre il target (di qualunque tipo) a comportarsi in un certo modo o a rilevare informazioni importanti. In ossequio a ciò, per essere realmente efficace, il social engineering si deve avvalere di uno studio approfondito sulla vittima, ricercare con ogni mezzo possibile informazioni che possono essere utilizzate nel momento in cui bisogna “agganciarla” attraverso un mirato pretesto. In questo senso molto utilizzate sono tutte quelle strategie di “reconnaissance” volte a creare un profilo sulla vittima: l’Osint (ricerche sulle fonti aperte), Dumpster diving (rovistare tra i rifiuti della vittima), attività svolte sul campo (osservazioni a distanza e veri e propri pedinamenti) e se presenti tutta una serie di abilità informatiche da mettere in campo (Man in the middle, email di phishing, rubare le chiavi di cifratura ed ecc…). Non sempre l’ingegnere sociale ottiene informazioni agendo in modo passivo, un buon pretesto che sia efficace e diretto richiede, oltre che tempo, analisi approfondite che vanno tarate a seconda delle notizie che si riescono a trovare anche sul campo. Il semplice stereotipo dell’Hacker, visto in alcune serie tv, introverso e solitamente legato al proprio pc non rispecchia perfettamente la figura dell’ingegnere sociale. Nonostante L’Osint sia diventata ormai la disciplina per eccellenza per ottenere delle informazioni su una persona (attraverso tutta una serie di notizie che il soggetto per esempio posta sui social network senza nessuna protezione), ciò non toglie il fatto che l’attività sul campo non abbia i suoi vantaggi. Si pensi a quanto possa essere utile accedere direttamente ad un luogo fisico facendo finta di essere un tecnico o un dipendente o semplicemente fingendo di aver dimenticato la chiave di sicurezza.

In questo senso, un altro luogo comune che in questo caso deve essere sfatato risiede proprio nella figura dell’ingegnere sociale: non sempre possiede delle competenze informatiche, più che altro servono spiccate qualità di comunicazione che facciano leva su un elemento particolare come la menzogna. Saper interpretare un ruolo, ricordarsi dei dettagli dati, saper adattare le versioni di una storia alla situazione che di volta in volta si presenta, presuppone grandi doti di deception. Insomma, purché l’intero ingranaggio funzioni tutti i meccanismi devono essere messi al posto giusto a cominciare dai cosiddetti “grilletti emotivi”. Il Dottor Paul Zac, nel suo libro “La molecola della fiducia: all’origine della prosperità economica e sociale”, ha trattato l’importante ruolo svolto dall’ossitocina all’interno delle dinamiche relazionali. In poche parole, il rilascio di quest’ultima nel sangue, nel momento in cui si crea un legame di fiducia può, in concomitanza ad un’altra sostanza chimica come la dopamina, generare la ricetta perfetta per ottenere informazioni sensibili da parte del target. Nello specifico, la sensazione di piacere, felicità ed eccitazione prodotta dal neurotrasmettitore della dopamina, se associato ad una forte componente fiduciaria come l’ossitocina, genera un cocktail cerebrale adatto ad aprire qualsiasi tipo di porta.

Comprese bene quelli che possono essere i caratteri generali dell’ingegneria sociale si definiscono i cinque vettori principali attraverso i quali si può manifestare:

  • Phishing: sotto l’illusione di email autentiche all’apparenza, contenenti malware o pagine dalle quali è possibile rubare informazioni sensibili, questo tipo di attacco si è rilevato essere il più pericoloso a livello aziendale. Nato con l’idea di ingannare un obiettivo preciso, coincidente a volte con l’anello più debole di un gruppo, questo tipo di attacco è stato utilizzato per hackerare partiti, violare la Casa Bianca, frodare le aziende e attaccare tutti coloro che possono essere redditizi all’attaccante (soprattutto se le informazioni che si riescono ad ottenere dovessero essere cifrate e rilasciate al mittente solo mediante un riscatto solitamente in bitcoin).
  • Smishing: è un tipo di phishing che si esegue generalmente via SMS.
  • Vishing: utilizzato ultimamente per sottrarre informazioni attraverso chiamate vocali specifiche e ben studiate. È facile e economico, alcune volte anche difficile da capire e contrastare.
  • Baiting: tecnica molto sofisticata, basata su un’esca, in grado di permettere all’ingegnere sociale di accedere al sistema informatico della vittima. Facendo leva su quella che è la curiosità dell’essere umano, questo tipo di attacco utilizza un vero e proprio “cavallo di Troia”, sotto forma di chiavetta usb o hard disk lasciati di solito in posti facilmente individuabili, come chiave di accesso a quelle che sono le risorse informatiche della vittima.

Un esempio da citare è sicuramente “Staxnet” ovvero quel virus informativo che è stato in grado di sabotare la centrale nucleare iraniana Natanz semplicemente attraverso l’uso di una chiavetta usb inserita nei sistemi iraniani da un loro dipendente curioso.       

  • Tailgating: l’impersonare qualcuno o sfruttare il rapporto di fiducia con la vittima per accedere da qualche parte, ottenere dei dispositivi elettronici o semplicemente per andare a caccia di informazioni riservate. C’è molta letteratura in questo senso: chi si spaccia per poliziotto, chi per addetto al gas, chi per uno psicologo online, lo scopo comune è ingannare la vittima attraverso la carta “dell’autorità” o di qualche altra figura fittizia.

Seppur ciascun vettore ha uno specifico ambito su cui operare, non bisogna sottovalutare l’attacco cosiddetto “combinato” ovvero l’utilizzo di più stratagemmi per arrivare ad un obiettivo comune: ottenere le informazioni e i comportamenti che servono. Qualunque sia l’attacco adottato, come vedremo meglio di seguito, lo scopo principale è quello di concentrarsi sui tratti comportamentali e per certi versi psicologici del target ovvero il suo timore per l’autorità, la sua frenesia per una vincita, la paura di perdere qualcosa, l’ignoranza e tanto altro. Ad esempio gran parte delle email di phishing che circolano tutt’oggi giocano sulla frenesia generata dalla voglia di scoprire cosa si è realmente vinto.

Insomma, per quello che già si è intuito, ogni attacco che si rispetti, soprattutto se pianificato, si deve avvalere di una serie di fasi che non possono essere sottovalutate nella loro singolarità tanto quanto nel loro insieme. Nel caso dell’ingegneria sociale sono cinque i principali step che solitamente vengono seguiti:

  • Raccolta delle informazioni (footprinting): Che si tratti dell’open source intelligence, di un pedinamento o di qualunque altra risorsa, la suddetta fase è quella che generalmente richiede più tempo. In un’era come quella attuale, costernata da tante notizie, non sempre è così facile saper identificare quelle più utili e soprattutto saper ottenere delle informazioni aggiuntive dalla loro raccolta e analisi. In generale un buon ingegnere sociale deve essere in grado di cogliere i dettagli dove gli altri vedono la banalità e l’abitudine. Nello specifico, nel caso in cui si volesse attaccare una persona precisa le domande che di solito ricerca potrebbero essere le seguenti:
  • Dove abita?
  • Quali sono i suoi interessi e i suoi bisogni?
  • Quali sono le sue abitudini quotidiane?
  • Chi è la sua famiglia?
  • Che lavoro svolge?
  • Che tipo di studi ha fatto?
  • Cosa più lo caratterizza?
  • Quanti e quali social network usa?
  • È possibile risalire alla sua email (con i suoi relativi account)?
  • Quale potrebbe essere il pretesto per avvicinarlo?
  • Sviluppo del prestesto: sulla base di quello che è stato raccolto nella fase precedente, si progetta un pretesto che possa servire da inizio o da leva verso un piano di attacco più strutturato ed efficace. È una sorta di primo contatto, di “aggancio” del target che non può non essere ben preso in considerazione durante la progettazione dell’intero piano. Questo coincide spesso con un elemento comune dal quale poter giocare la carta della somiglianza. Come “l’effetto alone” ci insegna, bastano davvero pochi secondi per essere giudicati come buoni, cattivi, intelligenti, affidabili ed ecc…, per questo motivo, bisogna stare molto attenti a come iniziare la conversazione, tenendo presente che di solito i primi quattro pensieri che sorgono nella mente dell’interlocutore sono i seguenti:
  • Chi sei?
  • Che cosa vuoi?
  • Sei una minaccia?
  • Quanto ci vorrà?

Un buon pretesto che si rispetti, entro i primi 10/15 secondi della conversazione, deve essere in grado di rispondere ad almeno tre di queste domande se vuole mettere realmente a proprio agio il target e abbassare le sue difese. In generale, “chi cerca di violare dati sensibili ha la capacità di far rilassare l’interlocutore in modo da poterne formulare delle specifiche richieste e studiarne il profilo di comunicazione”[1]

Il pretesto è quindi l’incipit di tutto: bisogna utilizzare le informazioni ottenute per applicare una serie di strategie volte a coinvolgere il più possibile l’interlocutore. Come si è intuito, “l’animo umano è molto sensibile a chi condivide le proprie teorie e passioni e spesso questa fede dell’interesse può far aprire porte che altrimenti rimarrebbero chiuse. Un altro utile scenario ricreabile è quello di una situazione comune; ovvero, ricreare una situazione molto simile a quella della vittima, ottenuta sempre da un buon background di informazioni precedentemente recuperate. Ad esempio simulare un incontro casuale in cui si finge di vivere la stessa cattiva situazione della vittima (problemi sentimentali, licenziamento, familiari ecc) può far scavalcare la barriera della diffidenza e permettere all’ ingegnere sociale di entrare in confidenza con la vittima”[2].

Tutti quanti interpretiamo la realtà con dei nostri schemi mentali dai quali elaboriamo delle informazioni del tutto soggettive e personali. Seppur spesso si è consapevoli di questa cosa, si fatica a pesarle come tali, cercando di difendere il nostro punto di vista come se fosse una regola oggettiva. In questa sorta di “tessuto valoriale” cerca di entrare l’ingegnere sociale, cercando di creare scenari simili che possano giocare con la sensibilità, attenzione sennonché i sistemi cognitivi della vittima. In questo schema rientra l’uso della programmazione Neuro Linguistica (PNL): “anche se inventata per scopi terapeutici, è oggi considerata come una forma evoluta d’ipnosi impiegata da molti ingegneri sociali per influenzare e manipolare le proprie vittime e portarle a compiere determinate azioni (che li agevoleranno nei loro attacchi). Ciò include, ad esempio, rivelare spontaneamente una password o altre informazioni riservate, disabilitare strumenti di sicurezza o qualsiasi altro gesto che faciliti la violazione di un sistema”[3]

  • Piano d’attacco: parallelamente al pretesto, deve essere progettato un vero e proprio piano operativo che serva da linea guida verso l’inganno. In parole brevi, un insieme di passi che dettagliatamente pianificano il che cosa, il chi, il come e il quando. Pertanto domande precise devono trovare risposta: ho raccolto abbastanza informazioni? Dove voglio arrivare? In che modo posso manipolare la vittima? Come è possibile fare leva sulle sue emozioni? Che tipo di comunicazione uso?

Per quanto possa sembrare scontata quest’ultima domanda in realtà non lo è poiché una delle prime cose che un ingegnere sociale deve valutare è se il soggetto possa essere “inquadrato” come un tipo introverso o estroverso. Difatti se nel primo caso egli trarrà la sua forza dal mondo interno con una certa difficoltà ad esprimere le proprie emozioni, richiedendo un tipo di linguaggio più leggero, intimo e volto a generare un tipo di legame più lento ma duraturo, nel secondo caso ci ritroviamo il caso opposto, ovvero una persona energica che necessità di argomenti più generici che non ricadano troppo nel noioso. Entrando un po’ più nello specifico, tra i tanti studi utili a profilare il sistema di comunicazione del target, non può non essere menzionato il metodo “DISC”, sviluppato da John Geier sulle basi dei precedenti lavori dello psicologo William Marston nel 1928.

Per poter inquadrare il profilo comunicativo e per certi versi caratteriale del target in questo caso bisogna concentrarsi sugli aggettivi che sono stati illustrati in grassetto nella rappresentazione grafica: Diretto, Indiretto, Risultato e Persone.

Le domande da porsi dovrebbero essere le seguenti:

  • Il target ha uno stile di comunicazione diretto o indiretto? Impiega del tempo per arrivare al punto o preferisce giungere immediatamente al dunque?
  • È lo stesso orientato più verso gli obiettivi o alle persone? Nell’esecuzione di un compito si prefigge di arrivare all’obiettivo o di badare alle persone coinvolte?

Rispondendo a queste domande è possibile già farsi un’idea sul soggetto e sul suo stile di comunicazione. Di conseguenza è possibile agire come uno specchio di fronte ad esso. Nel caso dovessimo comunicare con un “soggetto diretto” per esempio è necessario essere schietti, brevi e concisi, con l’obiettivo di arrivare presto ad un punto. Nel caso invece dovessimo trovarci di fronte un comunicatore di tipo “Infuencer”, bisogna essere più amichevoli e rilassati, permettere allo stesso di condurre la conversazione e cercare di dare sostanza alle sue idee per lo più poco concrete. Discorso a parte merita il “comunicatore sostenitore” in quanto necessita di dialogare con un soggetto pur sempre amichevole ma che abbia una certa coerenza, sistematicità e chiarezza espositiva. Infine, ma non per questo meno importante, vi può essere il soggetto che faccia uso di una comunicazione di “tipo coscienziosa” e per questo sarà necessario essere precisi, affidabili e riconoscenti.       

Come qualunque test di questo tipo, bisogna stare attenti a non estremizzare il contenuto della tabella. Essere diretti per esempio non vuol dire non essere coscienziosi in altri settori, ogni situazione deve essere analizzata per bene tenendo conto che il seguente schema deve servire da guida e non da regola assoluta. Situazioni particolari e momenti storici diversi possono alterare lo schema, per questo motivo bisogna avere una certa sensibilità e spirito di osservazione. In questo senso, se ci si volesse mettere nei panni della vittima o dell’hunter di minacce, lo studio dei sistemi di profilazione, più che delle soluzioni, possono essere utili a prevenire determinati attacchi informatici tanto quanto i crimini in generale. A tal proposito si cita un passo del libro di Mario Picozzi, “Profiler”, dove si descrive l’uso dell’ingegneria sociale per attaccare un’impresa:

“Immaginate che il predatore abbia nel mirino il dipendente di un’azienda, perché in possesso di notizie interessanti: prima studierà il sito web della ditta, dove troverà informazioni utili a sostenere il suo gioco: l’organigramma, chi fa cosa, la struttura, i rapporti tra le diverse divisioni e i diversi reparti, e ancora l’elenco delle consociate e dei clienti che hanno scelto di acquistare i prodotti dell’azienda, riconoscendone la qualità. A questo punto deciderà se vestire i panni di un collega appena assunto, un po’ timido e disorientato, oppure presentarsi come l’impiegato di un’altra filiale, o un fornitore che vuole mandare a buon fine una consegna, o un cliente che sostiene di aver ricevuto dalla concorrenza una proposta migliore”[4].      

 A tutto ciò non può mancare lo studio mirato di tutti quei bisogni umani, che ogni target possiede, dai quali è possibile fare leva durante la comunicazione efficace. Qualunque essi siano, dalla fama di successo, all’autorealizzazione, ai soldi, lo scopo principale è quello di giocare con l’aspetto emotivo del soggetto e quindi, di conseguenza, la sua irrazionalità. Bisogna saper catturare la sua attenzione e direzionarla verso ciò che più si sta cercando, cosi da ottenere una serie di vantaggi:

  • Tenere sotto controllo lo spirito critico del soggetto rispetto alla menzogna elaborata;
  • Evitare dubbi che potrebbero pregiudicare la buona riuscita del piano;
  • Dirigere il soggetto verso ambiti strettamente inerenti all’obiettivo che si è prefissato.

In questo specifico caso esiste una regola precisa che tutti devono conoscere cioè che l’essere umano possiede due aree di influenza: la ricerca del piacere e l’allontanamento del dolore. Ogni aspetto che si avvicina ad un polo rispetto che all’altro sarà utile a manipolare i pensieri e le azioni del target.

  • Attacco: Una volta agganciata la fonte e stabilito il piano attraverso il quale agire, si entra nel vivo dell’operazione ossia la messa in pratica di tutto quanto stabilito nelle fasi precedenti. Seppur avere un piano dettagliato è importantissimo, generalmente una delle cose che un buon ingegnere sociale deve fare è non seguire un copione dall’inizio alla fine. Studiare qualcosa a memoria spesso può portare alla confusione e al nervosismo soprattutto se le cose non dovessero andare come programmate. Saper improvvisare spesso risulta essere determinante in alcune situazioni, per questo motivo è utile allenare la propria mente a non ragionare per schemi troppo fissi (che potrebbero portare ad azioni poco naturali).

“Usare un copione, sia per il vishing sia per impersonare qualcuno, toglie dinamismo all’operazione. Vi garantisco che nulla andrà mai esattamente come avete pianificato. Avere la capacità di essere dinamici vi garantisce un vantaggio e una maggiore probabilità di successo”[5]. Per questo motivo generalmente chi commette questo tipo di attacchi ha in mente quali sono le principali tecniche di persuasione che potrebbe mettere in pratica. Se ne elencano le principali:

  • Evidenziare l’unicità/scarsità di qualcosa: che sia un rapporto, un oggetto o qualunque altra cosa anche di tipo immateriale, l’idea di essere unico amplifica di molto il suo valore rendendolo molto appetibile verso quelli che sono i desideri della vittima. Spesso un ingegnere sociale fa credere al target di essere speciale e, in quanto tale, di essere in grado di capire quanto importante possa essere fidarsi ciecamente di lui/lei per rendere il loro rapporto ancora più unico.
  • Ricorso all’autorità: in generale, mettersi nei panni di una persona stimata, ammirata o semplicemente appartenente a una specifica categoria di persone (in genere forze dell’ordine, volontari della croce rossa, magistrati ed ecc…) dà autorevolezza a ciò che si chiede o si dice.
  • Complimentarsi sinceramente: con frasi non troppo articolate e indirette. Chi riceve complimenti davvero sinceri si sente ascoltato, capito e apprezzato a tal punto da provare gli stessi sentimenti di apprezzamento verso chi gli ha fatto quei complimenti.
  • “Framing”: è una tecnica di comunicazione volta a utilizzare parole cariche di significato. Locuzioni verbali mirate a esaltare la libertà, la crescita personale, il desiderio e tanto altro, influenzano piacevolmente il target.
  • Utilizzo di domande retoriche: non tanto per ottenere una risposta ma perlopiù riaffermare il discorso preso e rafforzare il legame emozionale con l’interlocutore. Un esempio può essere il seguente: “A chi non piacerebbe viaggiare e girare il mondo? Immagina a quanto bello sarebbe poterlo fare senza problemi, ti basta investire i tuoi soldi come ti ho già detto. Non è bello guadagnare facilmente, senza nessun tipo di fatica, grosse risorse economiche? Non è vero? Cos’altro aspetti!
  • Anticipare eventuali dubbi: quell’attenzione particolare verso tutte quelle obiezioni che potrebbero sorgere durante l’intero processo di ingegneria sociale, da parte del target, che più che risolte andrebbero proprio evitate attraverso una giusta dose di recettività sull’andamento della discussione.
  • Spostare l’attenzione: su tutto ciò che possa essere compreso e accettato più facilmente dalla vittima;
  • Tecnica del piede nella porta: indurre le persone a compiere dei piccoli atti, coerenti con un obiettivo prefissato, così da incrementare pian piano la possibilità di accettazione ad una richiesta successiva più impegnativa. In generale, secondo la legge della coerenza spiegata attraverso la “dissonanza cognitiva”, l’essere umano è portato a seguire una strada coerente: una volta imboccata sarà difficile uscirne.  
  • Utilizzo delle ripetizioni: il ripetere continuamente una bugia la rende quasi una verità. Uno stesso concetto, ripetuto nel tempo, involontariamente porta l’ascoltatore a convincersi che sia vero.
  • Il potere “dell’anche se”: nel quale è possibile mettere in risalto quello che è il desiderio dell’interlocutore di volere qualcosa rispetto a ciò che si potrebbe identificare come una mancanza di voglia nell’ottenerla. Un esempio può essere il seguente: “Puoi imparare una lingua straniera anche se non conosci una parola!”
  • Blemishing Effect: l’uso di punti di vista leggermente negativi per rafforzare, di converso, l’immagine positiva di qualcosa o qualcuno. Alcuni studi dell’università di Tel Aviv hanno dimostrato come tra le tante cose positive, che ovviamente devono avere il primato rispetto a tutto il resto, si rafforzi il legame con quella persona o quell’oggetto attraverso la visione o la discussione di alcuni dei suoi lati negativi. In altre parole, vedere per esempio un oggetto che si vuole acquistare da entrambi i lati (prima quella positiva e poi quella negativa) farebbe raddoppiare quella che è la convinzione iniziale dell’acquirente.  Gli psicologi chiamano questa cosa con il termine “polarizzazione dell’attitudine” che altro non è che un proseguimento del bias della conferma.
  • La forza degli ancoraggi: quell’insieme di immagini o parole in grado di suscitare dei ricordi piacevoli sennonché delle sensazioni positive all’interlocutore per manipolare il suo stato d’animo. Questo è di solito uno dei primi passi da compiere se si vuole condizionare quello che è il comportamento. L’ancoraggio è una delle tecniche più usate nella PNL poiché è capace di creare un cambiamento emotivo all’interno dell’essere umano. In altre parole da un semplice stimolo, indotto attraverso le parole, le immagini, le vicende passate e vissute dal soggetto, è possibile influenzare lo stato mentale, emotivo e di conseguenza comportamentale dello stesso.
  • DTR (disrupt -then- reframe): in italiano “disturba e poi ricostruisci”, questo tipo di tecnica mira a confondere la routine del pensiero portando la mente, così facendo, ad essere più suggestionabile e meno conscia della situazione circostante. In altra parole, partendo dal concetto di confusione, dal modello Milton[6] e dal significato di sovraccarico informativo, questo tipo di arma induce il soggetto a una sorta di stordimento voluto (attraverso presupposizioni, metafore, citazioni, normalizzazioni e ancoraggi) in maniera tale da portarlo successivamente verso dei punti di riferimento, perlomeno mentali, che coincideranno con quello che l’ingegnere sociale vorrà ottenere (in PNL ciò è chiamata guida).    
  • Fuga: Dopo essere riuscito a penetrare nelle difese della vittima, aver ottenuto quelle informazioni o azioni che gli servivano, non rimane altro al manipolatore che la fuga. Anche questa deve essere progettata nei minimi dettagli: la miglior azione di social engineering è quella che si conclude spontaneamente, senza che la vittima si accorga di nulla. Per questo motivo, è utile fare le cose con calma anche quando si ha tutto ciò che si voleva. L’ingegnere sociale spesso si prende del tempo per cancellare le sue tracce, gli indizi e le prove della sua intrusione.

Una volta che è stata descritta l’intera impalcatura dell’ingegneria sociale, una cosa che deve far ancora riflettere è proprio il paradosso che si genera nel momento in cui l’essere umano entra in contatto con la tecnologia: per quanto possano nascere i sistemi tecnologici più sofisticati, i sensori di rilevamento delle minacce più articolati, ciò che indebolisce il processo di security dagli attacchi di cognitive hacking è proprio l’uomo e la sua complessità. Per questo motivo bisogna essere consapevoli a cosa si può andare incontro, non importa il come e il perché, l’ingegneria sociale giocherà sempre sulle vulnerabilità dell’essere umano. Per quanto riguarda le aziende, piccole e grandi che siano, subire un attacco di questo tipo può essere davvero letale. “Non si tratta solo di sprecare tempo e denaro per riprendere il controllo del sistema o recuperare dati e applicazioni: si tratta di rispondere, civilmente e penalmente, della perdita, furto o diffusione illecita di informazioni riservate e confidenziali (come cartelle cliniche di pazienti, documenti legali e fiscali di clienti, dati finanziari di aziende, account personali di dipendenti etc.)”[7]. Si elencano a tal proposito una serie di linee guida che andrebbero seguite in qualsiasi posto per evitare questa tipologia di attacchi:

  • Non condividere informazioni sensibili sui social network, specialmente se non sono settati sulla modalità privata;
  • Utilizzare password sicure, preoccupandosi di cambiarle spesso (ogni tre mesi);
  • Non accettare amicizie di soggetti sconosciuti soprattutto se il loro profilo non risulta essere ben strutturato e “vissuto”;
  • Mantenere alto il proprio spirito critico, cercando di comprendere i più comuni fattori di rischio o il verificarsi di qualche anomalia;
  • Prediligere tutti quei sistemi informatici che richiedono la verifica dell’account attraverso due passaggi (esempio password e sms);
  • Non inserire delle chiavette usb, che non siano le proprie, all’interno del proprio pc;
  • Evitare di postare foto di figli minori o condividere proprie immagini sensibili;
  • Non installare applicazioni inutili sul cellulare soprattutto se non provengono da fonti sicure;
  • Leggere bene e controllare tutte quelle email e quei messaggi che si ricevono sui propri dispositivi tecnologici;
  • Non buttare nel cestino documenti sensibili senza prima averli triturati o resi illeggibili;
  • Informasi continuamente sulle possibili evoluzioni delle minacce cyber;
  • Effettuare dei backup settimanali o mensili (a seconda delle informazioni che si hanno) sui propri device.
  • Dotarsi di buoni antivirus;
  • Fidarsi solo di quelle persone che realmente si conoscono.

Si conclude questo saggio tecnico attraverso uno stratagemma di Sun Tzu, dal titolo “Far salire sul tetto e portar via le scale”, che molto fa riflettere riguardo quella che è la strategia adottata dall’ingegnere sociale:

“Ingannando l’avversario con falsi vantaggi, incoraggiarlo ad avanzare. Dopo avergli impedito ogni via d’uscita verso ciò che gli tornerebbe utile, adescarlo in una trappola mortale”[8] 

Bibliografia:

  • Andrea Melis, “Ingegneria sociale: Analisi delle metodologie di attacco e delle tecniche di difesa”,facoltà di scienze matematiche fisiche e naturali, 2011.
  • Christopher Hadnagy, “Human Hacking”, Apogeo editore, 2018.
  • Edoardo Ferri, “Profilare la comunicazione: sistemi DISC nel social engineering”, il cibernetico, 27/02/2020.
  • Franco Battiato, “I 36 stratagemmi”, edizioni il punto d’incontro, 2010.
  • Masimo Picozzi, “Profiler”, Sperling & Kupfer editore, 2017.
  • Raul Chiesa e Silvio Ciappi, “Profilo Hacker”, Apogeo editore, 2007.
  • Santiago Pontiroli, “Ingegneria sociale, ovvero come hackerare il sistema operativo umano”, Kaspersky daily, 2013.
  • Ylenia Morello, “ Comprendere le tecniche di social engineering per difendersi dai Ransomare”, UNOcloud backup, 2018.

NOTE

[1] Edoardo Ferri, “Profilare la comunicazione: sistemi DISC nel social engineering”, il cibernetico, 27/02/2020.

[2] Andrea Melis, “Ingegneria sociale: Analisi delle metodologie di attacco e delle tecniche di difesa”,facoltà di scienze matematiche fisiche e naturali, 2011.

[3] Santiago Pontiroli, “Ingegneria sociale, ovvero come hackerare il sistema operativo umano”, Kaspersky daily, 2013.

[4] Masimo Picozzi, “Profiler”, Sperling & Kupfer editore, 2017.

[5] Christopher Hadnagy, “Human Hacking”, Apogeo editore, 2018.

[6] Questo tipo di modello contiene una serie di locuzioni e schemi di linguaggio che comprendono generalizzazioni, affermazioni ambigue linguaggio indiretto. Tali schemi linguistici possono risultare indirettamente evocativi; in pratica permettono di “portare” la persona a guardarsi dentro di sé in modo che possa utilizzare l’immaginazione creativa (Samuele Corona, psicologo).

[7] Ylenia Morello, “ Comprendere le tecniche di social engineering per difendersi dai Ransomare”, UNOcloud backup, 2018.

[8] Franco Battiato, “I 36 stratagemmi”, edizioni il punto d’incontro, 2010.

*(Angelo Alabiso – Criminologo qualificato ex legge 4/2013)

 

AICIS