Si parla tanto di attacchi Ransomware, Cryptolocker, Phishing, ma forse non si parla abbastanza dei cosiddetti Ingegneri Sociali che sono dei veri e propri maestri dell'inganno abili ad adescare e truffare il malcapitato che entra in contatto con loro.

Il Social Engineering nel Cyber Crime risulta ancora più subdolo di quello utilizzato per attività pubblicitarie, di ricerca o marketing, perché punta a mescolare la capacità di trarre in inganno la vittima grazie ad abilità cognitive, con i mezzi informatici a disposizione, soprattutto i sistemi Social e di messaggistica.

L'attacco è caratterizzato da fasi ben definite:

  1. Raccolta informazioni: si raccolgono più informazioni possibili sul target da attaccare, spesso anche quelle che possono sembrare inutili, perché la conversazione abbia un tono familiare e si definisca la strategia di attacco.
  2. Creazione della relazione: si cerca di guadagnare la fiducia della vittima, creando una relazione diretta con lui o attraverso sue conoscenze.
  3. Manipolazione: si sferra l'attacco sfruttando il fatto che il target, fidandosi, ha abbassato le difese ed è psicologicamente manipolabile.
  4. Esecuzione: il Social Engineer prende quello che serve e consolida il suo attacco. Se è abbastanza bravo cancella anche le tracce di quanto avvenuto.

Un esempio molto diffuso in questo periodo di attacchi che sfruttano il Social Engineering sono i BEC (Business Email Compromise), in cui un cyber criminale si spaccia per qualcuno con cui fai affari, un fornitore, un dirigente d’azienda o addirittura un esponente delle Forze dell’Ordine che ha bisogno di ricevere informazioni personali di qualcuno per poi utilizzarli in attacchi similari successivamente.

Riuscire a capire che gli attaccanti non sono realmente la persona che impersonano non è così facile, perché usano domini molto simili a quelli reali, detti anche lookalike domain, o addirittura credenziali reali acquisite tramite attacchi precedenti, ad esempio Phishing o Brute Force, o comprate nel Dark Web.

Quali sono le tecniche utilizzate dai Social Engineer? Di seguito alcuni esempi di attachi che sfruttano l'ingegneria sociale per carpire dati o indurre la vittima a compiere azioni non lecite, come bonifici verso conti non conosciuti.

  • Phishing: è probabilmente l'attacco più diffuso e conosciuto, ma comprende anche le varianti di Smishing (via SMS) e Vishing (via telefono). Con questa tecnica il cyber criminale cerca di ottenere informazioni confidenziali con dei pretesti e l’uso di strumenti tecnologici e tramite Social Engineering.
  • Intercettazione: è il punto di partenza utilizzato dagli Ingegneri Sociali per carpire le informazioni utili all'attacco: vengono intercettate chiamate, chiacchierate, chat.
  • Tailgating: con queste modalità il cyber criminale mira ad entrare in un luogo protetto facendo finta di essere un tecnico o di aver dimenticato il badge o le chiavi, oppure sfrutta un rapporto di fiducia con la vittima per farsi prestare il PC, il telefono, il tablet e comprometterlo.
  • Baiting: si mette un'esca (una chiavetta USB o un CD, a volte anche con un portafoglio) con a bordo un malware vicino all'ingresso dell'azienda target e, sfruttando la curiosità innata di noi umani, si aspetta che qualcuno la raccolga, la porti all'interno dell'azienda, bypassando le difese perimetrali, e guardi cosa contiene, eseguendo involontariamente il codice malevolo. 
  • Pretexting: viene creato un falso pretesto per indurre l'utente a fare qualcosa, impersonando qualcun altro, come ad esempio il CEO o ad esempio nelle campagne di Sextortion.

Per difendersi è bene adottare delle best practices sia comportamentali che tecnologiche, come controllare attentamente le comunicazioni e gli URL ai quali ci si connette, fare riferimento a tecnici specializzati in caso di dubbi, adottare sistemi di difesa adatti e aggiornati, non usare dispositivi di cui non si conosce l'origine e affidarsi ad aziende e personale specializzato che possa suggerire le soluzioni migliori per proteggersi ed educare il personale ad avere un comportamento corretto nell'uso delle tecnologie aziendali.