Ingegneria sociale: Come hackerare l'uomo
Pubblicato su: 15 Giu 2021
Ultima modifica il: 24 Lug 2025
L’ingegneria sociale non è una novità. Molto prima che i computer entrassero nelle nostre vite, gli esseri umani venivano truffati utilizzando trucchi psicologici. Nel 1947 fu pubblicato un libro intitolato“Illustrated Circular of Confidence Tricks and Expert Criminals“. Questo libro era un “Who’s who dei truffatori internazionali”. Arriviamo al 2021 e le bande criminali internazionali adottano un approccio più digitale per truffare le persone con denaro, dati e credenziali di accesso aziendali. Anche se possono passare decenni, o addirittura secoli, tra le campagne di truffa dei truffatori, tutte hanno una cosa in comune: i truffatori vecchi e nuovi utilizzano l’ingegneria sociale per ottenere ciò che vogliono.
Ingegneria sociale: I trucchi del mestiere del phishing
Basta un solo clic per ritrovarsi potenzialmente con un dispositivo infetto. L’infezione può diffondersi a macchia d’olio sulla rete aziendale e sui dispositivi collegati. L’infezione potrebbe costare all’azienda ingenti somme di denaro in termini di tempi di inattività, dati persi e reputazione danneggiata.
L’esperienza del singolo clic è ciò a cui aspirano sia i marketer che i criminali informatici. Creando una situazione in cui le persone non devono pensare troppo prima di agire, puoi catturare con maggior successo il pubblico.
I responsabili del marketing vogliono suscitare una risposta emotiva a una campagna di marketing, coinvolgendo l’individuo con un prodotto al punto da spingerlo a cliccare per avere maggiori informazioni o, ancora meglio, a cliccare per acquistare.
Anche i criminali informatici vogliono ottenere quella “risposta istintiva”, quindi utilizzano tattiche simili per indurre l’uomo a cliccare.
I criminali digitali hanno dei vantaggi rispetto ai loro equivalenti truffatori non digitali. Il raggio d’azione, ad esempio, è più ampio, con un approccio “spray and pay” da parte dei criminali informatici che utilizzano campagne di phishing di massa per raggiungere milioni di obiettivi. Oppure i truffatori possono andare sul personale e utilizzare uno spear-phishing mirato che si concentra su un singolo individuo.
Gli attacchi di phishing si basano sul comportamento umano: ciò che ci fa scattare, ci fa cliccare. Gran parte di ciò è dovuto alla formazione silenziosa che tutti noi abbiamo ricevuto nell’uso di internet. I progettisti di siti web e applicazioni si concentrano sulla creazione di una “UX senza soluzione di continuità”, ovvero un’esperienza utente semplice che si basa su un’interazione tecnologia-uomo senza soluzione di continuità. Il risultato è che siamo tutti abituati a seguire determinati modelli di comportamento nel regno digitale. Sono questi schemi che i criminali informatici utilizzano per indurci a cliccare.
Individuare i segni dell’ingegneria sociale
Le tecniche utilizzate dai criminali informatici per ingannare il cervello umano e indurlo ad agire su una causa scatenante sono tipiche del modo in cui normalmente sviluppiamo le relazioni umane:
Fiducia: L’utilizzo di un marchio noto come base per un’e-mail di phishing consente al truffatore di sfruttare la fiducia per hackerare un essere umano. I marchi più diffusi per le campagne di phishing di massa sono Office 365, Facebook, Google ed eBay. Tuttavia, campagne più mirate possono scegliere un marchio più strettamente legato a un’azienda, ad esempio un’applicazione web specifica o un portale di un fornitore. Queste campagne possono rendere le email di phishing ancora più difficili da individuare e aggiungere un ulteriore elemento di fiducia all’attacco se il marchio spoofato è strettamente connesso e altamente riconoscibile per l’obiettivo. Anche i fornitori di sicurezza possono essere vittime di brand spoofing nelle campagne di phishing: Check Point Software, un fornitore di sicurezza affidabile, ha utilizzato il proprio marchio in un sito web di phishing.
Curiosità e urgenza: Questi sono gli elementi tipici di una campagna di phishing. I truffatori ingannano gli utenti facendogli credere di avere a che fare con un’entità fidata e che il compito è urgente. Ne è un esempio una campagna di phishing di Office 365 del 2020. I ricercatori hanno identificato una campagna che iniziava con la ricezione da parte di un dipendente di un’e-mail che mostrava un “messaggio vocale perso”. Agli utenti veniva chiesto di cliccare su un pulsante per accedere al proprio account Office 365 e accedere al messaggio perso. Il messaggio mostrava anche una notifica “Messaggio da server attendibile” nella parte superiore dell’e-mail, per rafforzare l’elemento “fiducia”. Se l’utente cliccava sul pulsante e inseriva le credenziali nel sito Office 365 fasullo, queste venivano rubate.
La voce persuasiva: La persuasione gioca un ruolo fondamentale nel successo del phishing. Secondo una ricerca sul marketing condotta da Cialdini, esistono sei principi fondamentali utilizzati per influenzare il comportamento dei clienti. Questi principi, insieme a ricerche simili sulla persuasione e l’influenza, sono stati utilizzati da un team di ricerca che ha analizzato il funzionamento dell’ingegneria sociale nel phishing. I ricercatori hanno individuato cinque elementi chiave per campagne di phishing altamente persuasive e quindi di successo:
- Autorità: Utilizzo di un nome autorevole, ad esempio l’amministratore delegato di un’azienda.
- Prova sociale: Crea una campagna che utilizzi la pressione dei pari per incoraggiare il comportamento.
- Simpatia, somiglianza, inganno: La persuasione di successo funziona quando le persone o gli argomenti sono familiari
- Impegno, reciprocità e coerenza: Alle persone piace essere coerenti e credere a ciò che gli altri dicono e fanno: ripagare un favore, per esempio
- Distrazione: Creando un senso di urgenza, ad esempio dicendo che un articolo sarà più costoso se non agisci subito, un truffatore può distrarre una persona dai segni della truffa.
Le emozioni dell’ingegneria sociale
Le risposte emotive sono quelle profondamente radicate in tutti noi. L’uso della persuasione e della manipolazione emotiva nelle campagne di phishing è stato analizzato in uno studio del 2018 pubblicato dall’American Psychological Society. I ricercatori hanno analizzato “l’eccitazione emotiva come tattica di frode”. Lo studio ha rilevato che persone di tutte le età hanno risposto a messaggi di persuasione sia positivi che negativi e hanno preso decisioni sbagliate quando hanno risposto. Lo studio afferma che “l‘eccitazione emotiva può influenzare la suscettibilità alle informazioni fuorvianti e che questo effetto si verifica sia negli adulti più anziani che in quelli più giovani“. Questo comportamento gioca a favore dei truffatori e i messaggi di phishing contengono spesso una componente che suscita una risposta emotiva, come negli esempi sopra riportati.
Come proteggersi dall’ingegneria sociale
L’ingegneria sociale è pericolosa perché sfrutta il nostro comportamento naturale per indurci a cliccare su un link dannoso o a scaricare un allegato infetto. Ma i truffatori del phishing adattano anche le tecniche e gli strumenti per assicurarsi un successo continuo. Gli schemi mutevoli del phishing, insieme alla sofisticata manipolazione degli obiettivi, rendono questo insidioso tipo di crimine informatico uno dei più difficili da affrontare. Non esiste un’unica soluzione per prevenire il successo del phishing. Al contrario, per individuare e prevenire un tentativo di phishing è necessario un mix di formazione alla consapevolezza della sicurezza e di soluzioni tecniche.
