I tentativi di frode o attacco informatico con tecniche di social engineering sono tra i più insidiosi per le persone, le aziende e le organizzazioni.

Non sono passati molti giorni dalla pubblicazione sui giornali della storia dell’agricoltore italiano che ha perso circa 250 mila dollari per averli inviati ad un truffatore, conosciuto sui social, che per alcuni anni gli ha fatto credere di essere Janessa, una ragazza innamorata di lui, bella quanto una modella.

Il malcapitato credeva di avere una relazione online, invece ha scoperto di essere solo una delle tante vittime della “romance scam” o “truffa dell’amore”, uno degli esempi più noti e difficili da riconoscere di social engineering.

Cos’è il social engineering?

In un’epoca in cui le persone e le società sono costantemente iper connesse e gran parte della vita si svolge su internet, si compie ogni sforzo possibile al fine di tutelare i nostri dispostivi elettronici da qualsiasi possibile attacco informatico. Tendiamo tuttavia a sottovalutare il fatto che tutti i sistemi di sicurezza condividono un ineliminabile punto debole: l’uomo stesso, con la sua curiosità e le sue debolezze.

Il termine social engineering, letteralmente “ingegneria sociale“, si riferisce a tutte quelle tecniche psicologiche sfruttate dai criminali per catturare la fiducia delle persone al fine di indurle a rivelare informazioni segrete o a compiere azioni che compromettono la sicurezza dei propri profili online e dei dispostivi elettronici e consentire così un successivo crimine.

Già nel 2002, Kevin Mitnick, famoso quanto abile hacker e phreaker, nel suo libro “L’arte dell’inganno” definiva il social engineering come “l’uso del proprio ascendente e delle capacità di persuasione per ingannare gli altri convincendoli che l’ingegnere sociale sia quello che non è oppure manovrandoli”.

L’obiettivo è quello di raggirare la vittima facendo leva sulle emozioni umane. L’archetipo di questo fenomeno è la famosa truffa alla nigeriana” o “419 scam (e le sue numerose varianti), ove uno sconosciuto contatta numerose vittime, spesso scelte a caso, sostenendo di aver bisogno di un prestanome e del suo conto corrente per movimentare urgentemente un’ingente somma di denaro; in cambio dell’aiuto viene promessa una percentuale molto alta dell’affare. Il nome deriva dal fatto che, in una delle sue prime versioni risalente agli ’90, la richiesta proveniva da un sedicente “principe nigeriano” con una ricca eredità bloccata e da spostare con discrezione all’estero.

Gli step del social engineering hacking

Qualsiasi sia il tipo di attacco, il truffatore compie quattro fondamentali passi per portare a termine il proprio lavoro:

  1. Footprinting: studia e raccoglie informazioni sulla vittima designata sfruttando il cd. “valore nascosto dei dati personali”. Qualsiasi interazione sui social (foto, post, collegamenti con i famigliari, etc.), non importa quanto insignificante sia per noi, rappresenta una preziosa opportunità per i cybercriminali di conoscerci meglio.
  2. Contact: individua il metodo migliore per entrare in contatto (via e-mail, con una telefonata, un sms o attraverso i social network) con il bersaglio del suo inganno.
  3. Mind hacking: crea il pretesto adatto per convincere la vittima a dargli le informazioni o il denaro che vuole.
  4. Escape: compiuto il raggiro, il cybercriminale fugge occultando le proprie tracce.

Perché cadiamo nella trappola?

Il criminale colpisce nel segno perché utilizza varie tecniche di manipolazione mentale (bugie, equivoci, occultamenti, esagerazioni o sottovalutazioni) per convincere il proprio interlocutore ad assecondare le proprie richieste. Per ottenere ciò fa leva:

  • sul potere dell’autorevolezza, quando impersona un esperto o un superiore gerarchico;
  • sul sentimento di paura o sul senso di colpa della vittima, alla quale prospetta una serie di conseguenze negative per lei o persone ad essa vicine, nel caso in cui non accetti di seguire le sue richieste;
  • sull’ignoranza e la mancanza di conoscenza quando fa credere di avere le competenze e gli strumenti per risolvere i problemi tecnici del destinatario del suo raggiro;
  • sulla compassione, quando finge di essere in uno stato di bisogno;
  • sul desiderio e l’avidità, quando prospetta golosi vantaggi oppure opportunità di arricchimento facile e veloce.

Storia d’amore o romance scam?

Quando sentiamo parlare nello specifico di “truffa dell’amore” ci troviamo di fronte ad una delle molteplici espressioni di social engineering, tipologia di attacco che, secondo le stime della Polizia Postale, ha visto un incremento del 118% dei casi nel 2021 sul 2020.

Per poter individuare questo tipo di raggiro è necessario avere a mente il suo schema di base.

Innanzitutto il criminale, dopo aver scelto la preda, come abbiamo visto raccoglie il maggior numero possibile di informazioni sulla sua vita studiando i suoi canali social, fonti privilegiate di informazioni liberamente disponibili al pubblico (Open Source Intelligence o OSINT).

Individuate le caratteristiche e gli interessi principali della vittima, si passa alla creazione a regola d’arte di un pretesto per entrare in contatto con lei. Prende quindi vita il personaggio, con una storia credibile, che il truffatore userà per portare a segno il proprio raggiro. Che sia uomo o donna, il profilo falso è solitamente molto attraente e alla ricerca dell’anima gemella. Le foto che la/lo ritraggono sono bellissime quanto irreali: si tratta infatti di scatti rubati ad altri profili o di pericolosi deepfake.

Giunti a questo punto si passa alla fase dell’adescamento: viene inviata la richiesta di amicizia, seguono i primi messaggi, pian piano la relazione si intensifica e i contatti diventano sempre più frequenti. Lo scammer entra in sintonia con la vittima, e quando ottiene la sua piena fiducia scattano le richieste di invio di denaro. Incassate le somme il truffatore interrompe qualsiasi contatto, sparendo senza lasciare traccia.

Le varie tattiche di social engineering

Salvo i casi di attacchi cd. human based, ossia quelli basati sulla ricerca del contatto fisico tra il criminale e la vittima, la maggior parte degli attacchi di social engineering prevedono lo sfruttamento di particolari competenze tecniche dell’autore dell’inganno e l’utilizzo di strumenti informatici. Vediamo quali sono quelli più diffusi.

Phishing

È il classico caso dell’email contente un link che ti indirizza ad una pagina controllata dal truffatore; viene utilizzata per infettare il dispositivo della vittima ovvero per intercettare dati come password, credenziali e simili. Per saperne di più, consulta anche il nostro articolo sul furto dell’identità digitale).

Vishing e Smishing

Si tratta di due varianti del phishing: nel vishing il truffatore chiama la vittima e la convince a rivelargli informazioni facendola cooperare alla truffa. Per fare ciò finge di essere una figura legittimata a chiedere ed ottenere determinate informazioni (es. direttore della banca ove il malcapitato ha il proprio conto corrente).

Nel caso dello smishing, invece, il link fraudolento è contenuto in un sms. Tipico esempio di questo tipo di frode è rappresentato dal finto SMS delle PosteInfo che ti chiede di cambiare i codici di accesso per non perdere le funzionalità della tua Postepay. Per saperne di più, e in particolare come difenderti, consulta il nostro articolo dedicato agli attacchi sim swap e smishing.

Baiting

In questo tipo di truffa l’obiettivo è infettare il computer del destinatario, ovvero per permettere all’hacker di entrarci per rubare le informazioni che vi sono contenute. Viene realizzata utilizzando hardware contenenti malware. Ad esempio, viene lasciata incustodita una chiavetta USB in azienda, alla vista di tutti, cosicché qualche dipendente incuriosito possa prenderla e collegarla al proprio pc per esplorarne il contenuto. Nel momento in cui si inserisce la avviene l’infezione del singolo dispositivo, e, attraverso di esso, del server aziendale.

Quid pro quo

Il truffatore promette alla vittima dei benefici in cambio delle informazioni che questa gli rivelerà: è il caso dello scareware, ossia di quei pop up che compaiono sullo schermo del pc mentre si naviga in internet per consigliare il programma da installare per eliminare il virus presente nel dispositivo. In realtà non esiste proprio alcun virus, ed il computer sarà compromesso proprio nel momento in cui l’utente scaricherà il programma pubblicizzato.

BEC (Business Email Compromise) e “truffa del CEO”

L’aggressore intercetta i dipendenti di un’azienda, e, fingendosi una figura manageriale, chiede pagamenti molto urgenti a favore di propri conti correnti attraverso email credibili e spesso mirate a un bersagli specifico.

Come smascherare il social engineering

Le truffe di social engieering sono difficili da contrastare proprio perché architettate in modo da sfruttare le nostre debolezze. In ogni caso, possiamo provare a identificarle facendo attenzione a:

  • verificare l’identità della fonte in caso di e-mail, messaggi o telefonate sospette;
  • diffidare quando vengono offerti servizi non richiesti;
  • non aprire gli allegati nel caso di e-mail sospette;
  • controllare sempre l’URL dei link e confrontare come sono scritti con i link ufficiali e conosciuti;
  • nel caso di incontri online, verificare l’identità dell’interlocutore ponendo diverse domande e chiedendo, ove possibile, prove, conferme ed eventualmente di incontrarsi di persona in luoghi pubblici (facendo estrema attenzione).

Il social engineering è inoltre un attacco tipicamente connesso alla commissione di reati informatici in azienda. È quindi raccomandabile implementare la sicurezza informatica mediante l’adozione di una serie di politiche di sicurezza idonee ad aiutare i dipendenti a riconoscere ed evitare di cadere nella trappola del social engineering. Ad esempio: