Come l’ingegneria sociale sfrutta la tua gentilezza
How social engineering exploits your kindness
La scorsa settimana, MGM Resorts ha rivelato un grave problema di sistema che, secondo quanto riferito, ha reso inutilizzabili le slot machine, le chiavi delle stanze e altri dispositivi critici. Quali metodi elaborati sono stati necessari per violare un impero di casinò e hotel del valore di quasi 34 miliardi di dollari? Secondo gli stessi hacker (e apparentemente confermato da una fonte intervistata da Bloomberg), tutto ciò che è stato necessario è stata una telefonata di dieci minuti.
Gli hacker presumibilmente responsabili del problema di MGM, a quanto pare, hanno ottenuto accesso attraverso uno dei vettori più diffusi e semplici: un attacco di ingegneria sociale. L’ingegneria sociale manipola psicologicamente un bersaglio per fare ciò che l’attaccante vuole, o per fornire informazioni che non dovrebbe – in questo caso, apparentemente, ingannando un dipendente ignaro dell’assistenza IT. Le conseguenze vanno dal collasso di aziende globali alla devastazione delle finanze personali di sfortunati individui. Ma cosa rende gli attacchi di ingegneria sociale così efficaci e perché sono così difficili da prevenire?
Sembra controintuitivo fornire informazioni sensibili a uno sconosciuto completo, ma gli attaccanti hanno sviluppato modi per ingannarti facendoti sentire a tuo agio nel farlo. Questi potrebbero includere la costruzione di fiducia nel tempo, la raccolta di informazioni su di te per sembrare che ti conoscano o l’uso di un senso di urgenza per farti agire rapidamente senza pensare a ciò che stai cedendo. Ecco perché i tratti comuni della personalità tra le vittime di cybercrime includono l’estroversione, l’accondiscendenza e l’apertura a nuove esperienze, secondo Erik Huffman, un ricercatore che studia la psicologia dietro le tendenze della sicurezza informatica.
“La paura è un vettore di attacco. L’aiuto è un vettore di attacco”, ha detto Huffman. “Più sei a tuo agio, più sei vulnerabile agli attacchi”.
Inoltre, gli ambienti digitali hanno meno indizi sociali rispetto al contatto faccia a faccia, quindi una potenziale vittima non è in grado di percepire segnali potenzialmente sospetti, ha detto Huffman. Leggiamo i messaggi con la nostra voce, proiettando la nostra buona volontà su di essi, cosa che normalmente non accade di persona. Ci sono meno informazioni come segnali sociali o linguaggio del corpo per guidarci o darci un presentimento che qualcosa non vada.
- Panos Panay di Microsoft lascia l’azienda dopo quasi 20 anni
- iPadOS 17 è pronto per il download
- Panos Panay si sta dirigendo verso Amazon dopo aver lasciato Microsoft
Un attacco di ingegneria sociale potrebbe essere semplice come una chiamata urgente da parte di un truffatore per ottenere le informazioni della tua carta di credito per un furto di basso livello. Ma ci sono attacchi “Rube Goldberg” sempre più complicati che combinano più approcci per ingannarti, secondo Andrew Brandt, ricercatore principale di Sophos X-Ops. In un esempio di tale attacco, Brandt ha osservato che gli scammer operano prima al telefono per indurre un bersaglio a fare clic su una e-mail inviata anche dal truffatore. Una volta cliccata, l’e-mail attiva una catena di attacco che include malware e software di accesso remoto.
Più probabilmente, lo incontrerai a un livello molto più semplice. Potresti ricevere un messaggio da qualcuno che si finge il tuo capo e chiede buoni regalo o essere ingannato per fare clic su un link malevolo che ruba le tue credenziali. Ma in un modo o nell’altro, probabilmente ci imbatterai, poiché circa il 98% degli attacchi informatici si basa in qualche misura su tattiche di ingegneria sociale, secondo una ricerca di Splunk.
Ci sono altri segnali di avvertimento a cui le persone possono prestare attenzione. Dovere scaricare un file insolitamente grande, un file zip protetto da password che non può essere analizzato per individuare malware o un file di collegamento sospetto sono tutti segni di un potenziale attacco, secondo Brandt. Ma gran parte di ciò è una sensazione istintiva – e prendersi del tempo per fare un passo indietro prima di procedere per considerare cosa potrebbe andare storto.
“È una pratica che richiede ripetizione e prove ripetute per diffidare riflessivamente di ciò che le persone ti dicono a cui non conosci”, ha detto Brandt.
Huffman ha detto che le persone possono cercare di evitare di cadere vittima riconoscendo i limiti di un ambiente digitale e facendo domande come: Ha senso che questa persona mi contatti? Questa persona si comporta in modo affidabile? Questa persona ha l’autorità o la posizione di potere per dare queste direttive? Questa persona comprende veramente l’argomento di cui stiamo discutendo?
Gli attacchi di ingegneria sociale accadono costantemente, sia alle grandi aziende che alle persone comuni. Sapendo che i nostri tratti di buon cuore possono essere la nostra più grande debolezza di fronte a questa varietà di attori malintenzionati, può essere tentante smettere di essere gentili del tutto per sicurezza. La chiave è bilanciare i nostri istinti sociali con uno sano scetticismo. “Puoi essere disponibile”, ha detto Huffman, “ma sii cauto”.
