Forse avete sentito parlare dell'espressione social engineering. Dietro queste parole altisonanti si cela un concetto molto semplice: fregare il prossimo con la psicologia. Il social engineering è infatti l'insieme delle tecniche psicologiche, anziché informatiche, usate dagli aggressori online per farci fare quello che vogliono: per esempio, indurci a dare loro i nostri codici di accesso, ad aprire i loro allegati infetti o a visitare un sito che contiene dialer o altro materiale pericoloso.

Ripeto: per fare social engineering non occorrono grandi competenze informatiche: basta conoscere la psicologia di base delle persone, che è uguale per tutti. Reagiamo tutti allo stesso modo ad alcuni stimoli di base. Il furbo online che vi vuole fregare usa questa conoscenza per piegarvi al suo volere.

Lo scopo di quest'articolo non è insegnare a fregare il prossimo, ma insegnare a riconoscere i tentativi di fregarvi. Conoscere le tecniche di social engineering è il modo migliore per non finirne vittima. Troverete inoltre che le tecniche usate dagli imbroglioni online sono molto illuminanti per quanto riguarda il modo in cui la gente ragiona (o sragiona), in Internet e nel mondo reale.

Ma a cosa serve il social engineering? Serve ad arrivare là dove non si arriva con i normali strumenti di intrusione informatica. Uno dei principali problemi degli autori di virus, che ambiscono a raggiungere la massima propagazione possibile (è una sorta di gara a chi piscia più lontano), è che molti programmi di posta non sono così stupidi da eseguire automaticamente gli allegati, anche se le vecchie versioni di Outlook e Outlook Express sono notoriamente ingenue in questo senso, e molti utenti adottano le precauzioni elementari costituite da antivirus, firewall e buon senso. Per scavalcare queste precauzioni c'è un modo molto semplice: indurre la vittima, tramite espedienti psicologici e non informatici, a fidarsi dell'allegato e quindi eseguirlo, in barba al buon senso.

Un altro scopo degli aggressori è indurre l'utente a fidarsi del contenuto del messaggio che mandano per fargliene eseguire i comandi: per esempio, un aggressore può creare un messaggio che indice l'utente a visitare un falso sito Web, costruito in modo da somigliare a uno autentico e affidabile (una banca o PayPal o Microsoft o quello di un provider, per esempio), e a immettervi i propri codici d'accesso. La vittima crede di comunicare con la propria banca, in realtà sta comunicando i propri PIN e password al malfattore, con tutte le ovvie conseguenze del caso.

A prescindere dal metodo, si tratta comunque di creare fiducia nella vittima. A quel punto può scattare la trappola, che può sfruttare le conoscenze informatiche più o meno sofisticate dell'aggressore.

Nel social engineering ci sono alcuni preconcetti da buttare subito. Il primo è questo: non cominciate a dire "io sono troppo colto/intelligente per abboccare". Essere vittima del social engineering non è una questione di lauree o di quoziente intellettivo. Ho in archivio casi spettacolari di social engineering perpetrato ai danni di professionisti, professori, ingegneri e primari d'ospedale. Ci casca chiunque non conosca le tecniche psicologiche di questa forma di aggressione.

Il secondo preconcetto assai diffuso è che si possa contare sul proprio antivirus, firewall o altro software di difesa. Non è vero: il social engineering è fatto apposta per aggirarli. Nel vostro sistema di difesa informatica, siete voi (o i vostri dipendenti o colleghi) l'anello più debole: è inutile avere il più bel sistema di protezione dell'universo, se poi la vostra segretaria ne consegna la password a chiunque le mandi un e-mail spacciandosi per un tecnico Microsoft o simili.

Nell'arsenale psicologico dell'aggressore ci sono vari grimaldelli per scardinare le vostre difese mentali: autorevolezza, colpa, panico, ignoranza, desiderio, avidità e buoni sentimenti. L'aggressore li usa singolarmente o in combinazione per ottenere il risultato desiderato.

Autorevolezza

C'è qualcosa nell'e-mail che ci induce a credere istintivamente alla sua autenticità. Probabilmente è il fatto che l'e-mail, essendo visualizzato con caratteri tipografici, eredita l'autorevolezza della carta stampata o delle comunicazioni burocratiche ufficiali. Con i programmi di posta cosiddetti "evoluti", che visualizzano anche le immagini allegate ai messaggi, un e-mail può anche contenere un logo aziendale o un altro marchio di fiducia, che ne aumenta ancora l'autorevolezza (reale o apparente).

Ma il mittente di un e-mail è falsificabile con estrema facilità, e anche un sito è altrettanto facilmente falsificabile. Un e-mail che sembra arrivare da un indirizzo Microsoft, per esempio, è facilissimo da confezionare, con tanto di marchi e icone indistinguibili dagli originali. Inoltre siamo tutti un po' condizionati ad accettare l'autorità altrui e a ubbidire ai comandi se impartiti con autorevolezza.

L'aggressore fa leva sul cosiddetto principio d'autorità: si spaccia per una fonte autorevole (un'azienda, un ente, un governo) e ci manda un messaggio in cui ci chiede per esempio di installare subito il software allegato (per esempio un falso aggiornamento di sicurezza di Windows) oppure di leggere il documento allegato o visitare un certo sito-trappola, oppure di mandargli le nostre password per un controllo. L'allegato o il sito contengono software che veicola l'infezione o ruba i codici di accesso, ottenendo i risultati desiderati dall'aggressore.

Sono richieste che ignoreremmo istintivamente se provenissero da una fonte non autorevole, ma il principio d'autorità ci fa abbassare le difese.

Colpa

Tutti ci sentiamo colpevoli di qualche cosa, e probabilmente lo siamo. Non ditemi che non avete mai visitato un sito porno o usato software pirata o scaricato una canzone o un film da Internet. L'aggressore fa leva su questo principio di colpa per piegarvi al suo volere: vi fa credere di essere a conoscenza di un vostro misfatto e vi offre un modo per nasconderlo. In questo modo crea una complicità, si presenta come vostro salvatore, e voi cadete nella trappola di ubbidire ai suoi comandi.

Per esempio, potreste ricevere un e-mail in cui un "Ente di Sorveglianza Internet" vi dice di essere al corrente di una vostra attività online illecita e vi propone di regolarizzare la vostra posizione installando il programma allegato all'e-mail. Sappiamo tutti che non si devono eseguire allegati di fonte sconosciuta, ma il senso di colpa tenderà a farcelo dimenticare. Naturalmente il programma allegato è un virus o simile.

Panico

Un altro degli strumenti preferiti degli aggressori è suscitare il panico. Quando siamo spaventati, le nostre facoltà razionali si annebbiano e diventa più facile ingannarci. L'aggressore può, per esempio, inviarci un e-mail in cui dice che è in circolazione un pericolosissimo virus che non viene ancora rilevato dai normali antivirus, ma che viene debellato dal programma allegato; però bisogna fare presto!

Ancora una volta, se la richiesta di eseguire l'allegato giungesse in un messaggio normale, non abboccheremmo: ma siccome siamo spaventati dal contenuto del messaggio, tendiamo a cadere nella trappola.

Ignoranza

Ammettiamolo, è praticamente impossibile sapere tutto del funzionamento di Internet e di tutti i complicatissimi apparecchi che ci circondano. Così l'aggressore può confezionare un messaggio che sembra serio e affidabile perché dice un sacco di cose che non capiamo ma che hanno l'aria molto tecnica e (nella nostra ignoranza) plausibile.

Per esempio, difficilmente abboccheremo a un messaggio di uno sconosciuto che dice "Ciao, installa questo allegato!", ma sarà più facile cadere nel tranello se il messaggio proviene da uno sconosciuto che invece dice "l'interocitore rilevato nel Suo computer è disallineato rispetto ai compensatori di Heisenberg e sta disturbando le comunicazioni della nostra rete. Si consiglia vivamente di eseguire l'allegato programma di riallineamento, codice identificativo AXZ-176-TOO74, certificato AF709-SOFT-001". Non sapete cosa vuol dire, ma ha l'aria di essere una cosa seria, vero?

Desiderio

Certi istinti primordiali sono una manna dal cielo per chi vuol fregarvi. Per esempio, l'idea di poter scaricare immagini e filmati porno manda in pappa il cervello di quasi tutti gli utenti maschi. Se un maschietto riceve un e-mail che gli promette formose visioni (magari di qualche personaggio famoso) se solo esegue l'allegato programmino o visita un certo sito, state certi che abboccherà quasi sempre, anche se in circostanze normali sarebbe stato più guardingo. Il sesso è una molla classica degli inganni online: gli anni passano, ma funziona sempre.

Avidità

Anche l'avidità è uno strumento prezioso per l'aggressore. E' difficile resistere al richiamo di chi sembra offrirci un affare eccezionale o un sistema infallibile per diventare ricchi o piratare il software o avere qualcosa a scrocco (musica, suonerie per cellulari, vincite alla lotteria). Purtroppo si tende sempre a dimenticare che se una cosa sembra troppo bella per essere vera, probabilmente è perché non è vera.

Buoni sentimenti

La pornografia è il grimaldello ideale per far vittime fra i maschi, ma con il gentil sesso non attacca. Ci vuole un approccio più sofisticato, più soft. In questo caso gli aggressori usano sedurre le proprie vittime ricorrendo a espedienti che fanno leva sull'amore o sui buoni sentimenti (meglio se un po' sdolcinati).

Per esempio, l'aggressore invia un e-mail in cui dice che "qualcuno ti sta pensando, se vuoi sapere chi è, clicca sull'allegato". Uno dei virus più devastanti si chiamava I love you dal titolo del messaggio che lo accompagnava: quest'anonima dichiarazione d'amore fu sufficiente a indurre milioni di utenti (maschi e femmine) ad aprire l'allegato, attratti dall'esplicita lusinga, facendosi sistematicamente infettare.

Un altro esempio di questa tecnica è dato dai tanti e-mail che contengono strazianti appelli per salvare bambini malati o nidiate di gattini o per fare donazioni a favore di enti più o meno sconosciuti: sono quasi sempre trucchi per indurvi a comunicare i dati della vostra carta di credito o a visitare un sito che tenterà di infettarvi. Gli enti benefici veri, quelli legittimi, difficilmente distribuiscono appelli via e-mail.

Come difendersi

Ora che conoscete per sommi capi le tecniche di social engineering, siete già in gran parte vaccinati: vi mancano soltanto una regola fondamentale, facile da seguire, e un po' di allenamento nel riconoscere i sintomi del social engineering.

La regola fondamentale è questa: Non fidatevi di nessuno su Internet fino a prova contraria. Nessuno!

Ho accennato a quanto è facile spacciarsi per qualcun altro su Internet. Chi vuole fregarvi cercherà di conquistarsi la vostra fiducia spacciandosi per un vostro amico, collega o conoscente (lo fanno quasi tutti i virus) o per una fonte autorevole (Microsoft, America Online, Telecom Italia, eBay, PayPal o la vostra banca, per esempio). Qualsiasi messaggio che vi chieda di fare qualcosa va verificato prima di decidere cosa farne. Chiamate il vostro amico/collega o informatevi in giro tramite Google sull'esistenza di un comunicato ufficiale che confermi l'autenticità del messaggio. Nel dubbio, non fate nulla e soprattutto non eseguite le istruzioni ricevute.

Per quanto riguarda l'allenamento, invece, ho preparato la versione Web di questo articolo, in fondo alla quale trovate una breve carrellata di esempi reali di social engineering perpetrato tramite Internet. Probabilmente riconoscerete messaggi che avete ricevuto anche voi e di cui ho parlato in altri articoli di avviso antitruffa. Questa rassegna illustra l'astuzia e la creatività dimostrate da chi ordisce questi raggiri telematici.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: