L'ingegneria sociale non è una novità. Molto prima che i computer entrassero nelle nostre vite, gli esseri umani venivano truffati usando trucchi psicologici. Già nel 1947, fu pubblicato un libro intitolato "Illustrated Circular of Confidence Tricksters and Expert Criminals". Questo libro era un "Who's who dei truffatori internazionali". Andiamo avanti fino al 2021, e le bande criminali internazionali adottano un approccio più digitale per truffare la gente di soldi, dati e credenziali di accesso aziendali. Anche se ci possono essere decenni, anche secoli, tra le campagne di truffa dei truffatori, tutte hanno una cosa in comune: i truffatori vecchi e nuovi usano l'ingegneria sociale per ottenere ciò che vogliono.
Ingegneria sociale: Trucchi del mestiere del phishing
Basta un solo clic per ritrovarsi potenzialmente con un dispositivo infetto. Questa infezione può diffondersi a macchia d'olio attraverso la rete aziendale e qualsiasi dispositivo collegato. L'infezione potrebbe finire per costare a un'azienda ingenti somme di denaro in tempi di inattività, dati persi e reputazione danneggiata.
L'esperienza del singolo clic è ciò a cui aspirano sia i commercianti che i criminali informatici. Creando una situazione in cui le persone non hanno bisogno di pensare troppo prima di agire, è possibile catturare con più successo un pubblico.
I commercianti vogliono suscitare una risposta emotiva a una campagna di marketing, coinvolgendo l'individuo con un prodotto fino al punto in cui clicca per ulteriori informazioni o, ancora meglio, clicca per comprare.
Anche i criminali informatici vogliono ottenere quella "risposta istintiva", quindi usano tattiche simili per indurre l'uomo a cliccare.
I criminali digitali hanno dei vantaggi rispetto ai loro equivalenti truffatori non digitali. La portata, per esempio, è più ampia, con un approccio "spruzza e paga" da parte dei criminali informatici che usano campagne di phishing di massa per raggiungere milioni di obiettivi. Oppure i truffatori possono andare sul personale e usare uno spear-phishing mirato che si concentra su un individuo.
Gliattacchi di phishing sono costruiti intorno al comportamento umano - ciò che ci fa ticchettare, ci fa cliccare. Molto di questo deriva dall'addestramento silenzioso che tutti noi abbiamo avuto nell'uso di internet. I progettisti di web e app si concentrano sulla creazione di una "UX senza soluzione di continuità", cioè un'esperienza utente facile che si basa su un'interazione tecnologia-uomo senza soluzione di continuità. Il risultato è che siamo tutti abituati a seguire certi modelli di comportamento nel regno digitale. Sono questi schemi che i criminali informatici usano per ingannarci nell'azione del clic.
Individuare i segni dell'ingegneria sociale
Le tecniche utilizzate dai criminali informatici per ingannare il cervello umano ad agire su un innesco, sono tipiche di come normalmente sviluppiamo le relazioni umane:
Fiducia: Usare un marchio noto come base per un'email di phishing permette al truffatore di usare la fiducia per hackerare un essere umano. Marchi popolari per campagne di phishing di massa includono Office 365, Facebook, Google ed eBay. Tuttavia, campagne più mirate possono scegliere un marchio più strettamente allineato ad una società, per esempio, una specifica web app o un portale di venditori. Queste campagne possono rendere le email di phishing ancora più difficili da rilevare e aggiungere un ulteriore elemento di fiducia nell'attacco se il marchio contraffatto è strettamente collegato e altamente riconoscibile per l'obiettivo. Anche i fornitori di sicurezza possono essere vittime di spoofing del marchio nelle campagne di phishing: Check Point Software, un fornitore di sicurezza affidabile, ha avuto il suo marchio usato su un sito web di phishing.
Curiosità e urgenza: Questi sono elementi tipici di una campagna di phishing. I truffatori ingannano gli utenti per fargli fare la loro offerta, facendogli credere di avere a che fare con un'entità fidata e che il compito è urgente. Un esempio di questo è una campagna di phishing di Office 365 del 2020. I ricercatori hanno identificato una campagna che è iniziata con un dipendente che ha ricevuto una e-mail che mostrava un "messaggio vocale perso". Gli utenti sono stati invitati a fare clic su un pulsante per andare al loro account Office 365 per accedere al messaggio perso. Il messaggio mostrava anche una notifica "Message from Trusted server" nella parte superiore dell'e-mail, per costruire l'elemento "fiducia". Se l'utente ha fatto clic sul pulsante e ha inserito le credenziali nel sito di Office 365 fasullo, quelle credenziali sarebbero state rubate.
La voce persuasiva: La persuasione gioca un ruolo importante nel successo del phishing. Secondo una ricerca sul marketing di Cialdini ci sono sei principi di base utilizzati per influenzare il comportamento dei clienti. Questi principi, insieme a ricerche simili sulla persuasione e l'influenza, sono stati utilizzati da un team di ricerca che ha esaminato come funziona l'ingegneria sociale nel phishing. I ricercatori sono giunti a cinque elementi chiave delle campagne di phishing altamente persuasive e quindi di successo:
- Autorità: Uso di un nome autorevole, per esempio, il CEO di un'azienda
- Prova sociale: Costruire una campagna che usa la pressione dei pari per incoraggiare il comportamento
- Simpatia, somiglianza, inganno: La persuasione di successo funziona quando le persone o gli argomenti sono familiari
- Impegno, reciprocità e coerenza: Alle persone piace essere coerenti e piace credere a ciò che gli altri dicono e fanno: ripagare un favore, per esempio
- Distrazione: Creando un senso di urgenza, ad esempio, un articolo sarà più costoso se non si agisce ora, un truffatore può distrarre una persona dai segni di una truffa.
Le emozioni dell'ingegneria sociale
Le risposte emotive sono quelle che sono profondamente radicate in tutti noi. L'uso della persuasione e della manipolazione emotiva nelle campagne di phishing è stato esplorato in uno studio del 2018 pubblicato dall'American Psychological Society. I ricercatori hanno esaminato "l'eccitazione emotiva come tattica di frode". Lo studio ha scoperto che le persone di tutte le età hanno risposto a messaggi di persuasione sia positivi che negativi e hanno preso decisioni sbagliate quando hanno risposto. Lo studio afferma che "l'eccitazione emotiva può influenzare la suscettibilità alle informazioni ingannevoli e che questo effetto si verifica sia negli adulti più anziani che in quelli più giovani". Questo comportamento gioca perfettamente nelle mani del truffatore e i messaggi di phishing spesso contengono una componente che suscita una risposta emotiva come si è visto negli esempi di cui sopra.
Come stare al sicuro dall'ingegneria sociale
L'ingegneria sociale è pericolosa perché utilizza il nostro comportamento naturale per farci cliccare su un link dannoso o scaricare un allegato infetto. Ma i truffatori del phishing adattano anche le tecniche e gli strumenti per garantire un successo continuo. I modelli mutevoli del phishing, uniti a una sofisticata manipolazione degli obiettivi, rendono questo insidioso tipo di crimine informatico uno dei più difficili da affrontare. Non esiste un'unica soluzione per prevenire il successo del phishing. Invece, un mix di formazione sulla consapevolezza della sicurezza e soluzioni tecniche sono necessarie per rilevare e prevenire un tentativo di phishing.