«La mente umana è un’invenzione meravigliosa. È interessante notare quanto riesca a essere creativa la gente quando si tratta di inventare modi subdoli per ottenere quanto le pare o per togliersi da una situazione spinosa»
Sapete chi é Kevin Mitnick? Molti lo conoscono come il più famoso e controverso hacker della storia, in realtá Kevin è stato anche e soprattutto un abilissimo Ingegnere Sociale.
Che cos’è l’Ingegneria Sociale? Se avrete la pazienza di leggere quest’articolo vi fornirò tutti gli approfondimenti necessari per iniziare a comprendere questa disciplina figlia del XX Secolo ed intimamente connessa all’arte dell’hacking e della manipolazione interpersonale.
Vi propongo uno scenario iniziale: in una sparatoria tra Polizia e Criminali, ogni esponente delle forza dell’Ordine può essere convinto che i proiettili siano al suo servizio e che colpiranno solo i criminali. In maniera molto simile, in un’azienda, si potrebbe avere la convinzione che le strategie di marketing utilizzate abbiano come unica conseguenza quella di colpire il proprio concorrente: un osservatore esterno capirà come, in entrambi i casi, lo scenario non sia stato compreso fino in fondo.
A nessuno piace pensare di poter essere vulnerabile, ed ancor meno contemplare che la propria vulnerabilità possa emergere proprio da quelli che immaginiamo essere nostri punti di forza. Allo stesso tutti siamo convinti che nessuno mai potrà manipolarci e portarci a prendere una decisione non voluta o indurci a mantenere o cambiare una determinata idea.
Niente di più falso: per farvi un paio di esempi banali, tutti siamo portati a scegliere i marchi meglio sponsorizzati e al supermarket tendenzialmente scegliamo quello che ci suggerisce la pubblicità oppure le moderne strategie di Content Marketing.
Le prime ipotesi di Sociologi e Psicologi di metà ‘900 sulla possibilità di poter essere manipolati, come singoli e come gruppo, scioccarono l’opinione pubblica, e l’uomo comune imparò che la vulnerabilità fisica stava passando in secondo piano ma emergeva il problema della propria Vulnerabilità Psicologica.
Ancora oggi ci ripetiamo Le altre persone sono influenzabili! Io No! Io ho delle idee mie…
Quello che tutti sappiamo è che gran parte delle manipolazioni non avviene sotto atteggiamenti minacciosi, bensì in una maniera nascosta e profonda, potremmo dire irrilevante ed irrilevabile dalla persona che non conosce l’Ingegneria Sociale.
Abbiamo grandi interventi manipolativi, come nella Politica o nelle pubblicità, ma anche delle azioni a livelli intermedi e bassi, come si possono osservare durante un colloquio di lavoro, nella presentazione di una Startup o quando il vostro caro bimbo vi convincerà che un nuovo Mac Book Pro lo aiuterà a far meglio i compiti di scuola.
Il potere della forma del linguaggio e dei contenuti espressi, negli anni 2000, può riuscire a manipolare la Mente (idee, passioni, preconcetti, etc.) e, di conseguenza, i comportamenti, come ci insegnano da ormai mezzo secolo le Scienze Cognitivo-Comportamentali.
Il Social Engineering è quella miscela di Scienza e di Arte della relazione che consente, a chi ne conosce le regole, di distrarre, manipolare, ingannare, influenzare, nei pensieri e nel comportamento, la propria vittima al fine di raggiungere l’obiettivo prefissato, un guadagno secondario di qualche genere (per un hacker possono essere informazioni sensibili come ad esempio delle passwords). Ricordiamoci che un Ingegnere Sociale (“Social Engineer”) non è uno stregone o un Cavaliere Jedi, e non ipnotizza nessuno.
L’intervento manipolativo consiste per lo più in un “influenzamento” piuttosto che in una “manipolazione” e le strategie ed i mezzi che aiutano il social engineer nel portare a termine la sua missione sono molteplici: in maniera inappropriata si parla di “metodi” o di “tecniche” di influenzamento, in realtà ci troviamo di fronte a delle Strategie complesse ben pianificate a misura del target.
La minaccia rappresentata dall’Ingegneria Sociale è un rischio per i singoli che hanno accesso ad informazioni sensibili potenzialmente sfruttabili a scopo di lucro, ma anche per le aziende, un rischio da non sottovalutare mai, poiché la fuoriuscita di informazioni, da singoli o da gruppi, nell’era dell’OffLine come in quella dell’OnLine avviene ogni ora, e anche le informazioni all’apparenza poco utili possono rappresentare la chiave per l’ingresso ad altre e più rilevanti informazioni sensibili.
Oggi conosciamo il fenomeno come la richiesta di una password al telefono o come l’email che ci chiede i dati della carta di credito: questi tentativi sono ormai conosciuti da tutti e facilmente smascherabili.
Ma come reagireste se qualcuno vi contattasse direttamente in ufficio, sul cellulare o sull’email privata o in una situazione sociale con le modalità indirette tipiche dell’Ingegneria Relazionale?
E se parlasse con un gergo familiare all’azienda, presentandosi col nome del dirigente di una vostra associata e chiedendovi formalmente un’informazione all’apparenza non fondamentale? Se una richiesta simile avvenisse via fax, la vostra segretaria realmente farebbe caso al numero diverso? O si limiterebbe a leggere l’intestazione, magari presa da altri compiti “più urgenti”? Azioni tali sono attualmente possibili dopo aver raccolto informazioni apparentemente futili tramite semplici telefonate al call center.
Quando si parla di tecniche che garantiscono l’accesso al social engineer, spesso viene tirata in causa la “disponibilità dovuta”. In realtà, non c’è poi così tanta la disponibilità in una persona.
Questo pensiero causa la reazione: no disponibilità=no pericolo. Totalmente Sbagliato…
A parte il fatto che la disponibilità viene spesso guadagnata dall’ingegnere sociale, ciò che ne facilita i compiti è la disattenzione. Quando facciamo un qualsiasi lavoro, le nostri principali priorità sono: il portare a compimento quel lavoro stesso e cosa fare dopo il lavoro. Se qualcuno s’infila tra queste nostre priorità, viene trattato con sufficienza e si cerca di accontentarlo pur di levarselo di torno. Altre volte il lavoro ci annoia e tendiamo a prolungare il discorso con una persona a noi estranea ma che risulta piacevole. Nessuno pensa al passaggio di quell’estraneo come qualcosa di “non casuale”. Nessuno vede in lui un pericolo.
Immaginate allora che quell’estraneo non sia tale, ma vedetelo come un fattorino, un dipendente in prova, uno stagista o un dipendente vero e proprio. Se prima l’avvisaglia di pericolo era nulla, ora c’è addirittura fiducia. E il fattore sicurezza dov’è andato a finire?
Gli scenari che vi ho appena esposto possono riguardarci tutti e possono essere portati avanti da chiunque abbia un atteggiamento spregiudicato e possegga qualche competenza relazionale di base. Sono strategie applicabili anche senza esperienza, che tuttavia possono sfuggire anche a misure di sicurezza elettroniche sofisticate, le stesse che vi fanno dormire tranquilli e “al sicuro” la notte. Questo perchè dietro anche alla più sofisticata tecnologia c’è sempre un essere umano.
In risposta a questa domanda, riporto un breve racconto che è facile reperire sul web:
Ho sempre letto racconti di hacker famosi che, tramite le tecniche di social engineering, riuscivano a impossessarsi di password o racconti di spionaggio in generale. E mi sono sempre chiesto cosa farei io al loro posto. Sono uno studente al quarto anno e spesso sono stato tentato dal pensiero d’ infilarmi in qualche posto di nascosto, magari per leggere una relazione o per falsare qualsiasi cosa, ma non l’ho mai fatto per paura di compromettere la mia carriera universitaria. Oltre a fare lo studente, mi diverto a scrivere recensioni di videogiochi per un magazine online, questo mi garantisce giochi gratis e posso spendere i miei soldi per divertirmi con gli amici. Un giorno mi venne chiesto di partecipare ad una conferenza stampa di una famosa società di software che produce anche videogiochi. Sinceramente non mi attirava molto, ma il responsabile non aveva altro personale vicino e aveva bisogno di una relazione. Così decisi di accettare. Durante il viaggio in treno mi balenò in mente l’idea di scoprire qualche segreto, senza idee maliziose, solo per sfidare me stesso. Quando fui di fronte al complesso della software house ne rimasi affascinato. Avevo visto dei palazzi così solo nei filmati sulla Silicon Valley. Mentre m’incamminavo verso i locali in cui era stata organizzata la conferenza, notai subito varie telecamere, porte a vetri azionate dall’interno e porte chiuse che necessitavano, credo, di un pass. La tentazione di entrare in quelle porte era irresistibile. Così quando la conferenza ebbe termine, nella confusione tra l’organizzazione dello spuntino e chi voleva provare i nuovi giochi, vidi la mia occasione poggiata sulla scrivania, era il pass di uno dei dirigenti addetti alla presentazione. Approfittai del fatto che era di spalle per seguire l’evolversi di una partita sul maxi schermo e misi il pass nella mia cartella. Ce l’avevo fatta! Ero nella sede di una grande software house e avevo un pass da dirigente! Già in precedenza avevo notato che i corridoi erano semi deserti, così iniziai ad andare a zonzo alla ricerca del mio target. Fossi stato una spia avrei potuto prender nota della piantina. Passando davanti ad una porta a vetri, controllata elettronicamente, notai che l’impiegata era occupata a discutere con tre persone, sicuramente non mi avrebbe chiesto chi ero e volli provare. Così bussai, mostrando semplicemente il pass, lei mi aprì e non s’insospettì minimamente vedendomi imboccare con sicurezza il corridoio che portava ad altri uffici, era davvero troppo presa dalla discussione e dovevo avere l’aspetto di uno che sapeva bene dove andare. Le porte erano tutte chiuse, provai ad origliare accanto ad una di queste e non sentendo rumori provai ad entrare. Fatto! Ero dentro! Ora dovevo raccogliere più informazioni possibili e potevo agire con una discreta calma, sulla scrivania erano infatti appuntati gli impegni, e quel giorno l’impiegato non sarebbe rientrato in ufficio. Iniziai a ficcare il naso tra le cose sulla scrivania e tra le cartelle, c’era anche un pc ma non m’interessava. In una cartella trovai un comunicato post-datato di sei mesi che pubblicizzava un nuovo servizio alle aziende. Mi ritenni soddisfatto, in meno di un’ora avevo acquisito un’informazione privata di una grande azienda ed ero alla mia prima esperienza! Scattai una foto al documento, rimisi tutto a posto e tornai al banchetto. Presi una tartina e feci finta d’uscire sul terrazzino per una sigaretta. Al rientro diedi nuovamente il pass al dirigente sbadato, spiegando d’averlo trovato fuori. Lui, visibilmente imbarazzato, mi ringraziò e mi chiese l’indirizzo per omaggiarmi con una sorpresa. Dopo due settimane ricevetti la sorpresa, che su ebay mi fruttò circa 500 euro. Niente male come prima esperienza, e complimenti alla software house!
Quello che vi ho già detto e che vi ribadisco è che nell’Ingegneria Relazionale non esistono tecniche gnerali di manipolazione ma è possibile, invece, individuare dei Punti Caldi su cui costruire una strategia.
Eccovi degli esempi di Vulnerabilità:
- Illusione d’invulnerabilità
- Coinvolgimento emozionale
- Disarmonia dello staff aziendale
- Scarsa conoscenza del personale
- Politiche di sicurezza approssimative
…ed eccovi alcuni Strumenti dell’Ingegnere Relazionale:
- Annunci
- Messenger o chat aziendali
- Help Desk
- Colloqui di lavoro
- Assunzioni a tempo determinato – Stage e visite guidate
- Collaborazioni freelance
- Comunicazioni di servizio
Come breve introduzione penso possa essere adeguata, ed arrivati a questo punto dovreste aver compreso come e in che modo, nonostante le strutture tecnologiche, i singoli e le aziende possano subire grosse fughe di dati.
La gravità del problema è davvero rilevante: con strategie di base o altre più personalizzate ed articolate, si può riuscire ad attentare alla sicurezza di un’ azienda con successo, pensate poi a quali scenari si potrebbero presentare di fronte alle strategie avanzate di un gruppo di Ingegneri Sociali esperti e coordinati tra loro: password, formule, brevetti, movimenti di borsa, anticipi di mercato e comunque tanto, tanto denaro e potere alla fine di tutto.
Le Informazioni ed i contenuti interpretano un ruolo fondamentale in queste dinamiche di potere, ed il gioco è sempre di più basato sulla gestione delle Informazioni: chi non è in grado di prendersene cura è destinato a perdere.
Bibliografia:
- Kevin David Mitnick “L’arte dell’inganno” (“The Art of Deception”), 2002
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Ultimi post di Valerio Rosso (vedi tutti)
- Trauma, MicroTrauma e Stress Nascosto: The Ghost in The Machine - 19/11/2023
- Potomania: cosa devi sapere su questo Disturbo Mentale - 16/11/2023
- Il Mito della Colazione - 07/11/2023
Lascia un commento