La psicologia nel Cybercrime
La venuta di Internet e dell’espansione della rete a livello globale degli ultimi decenni hanno fatto sì che parte della nostra vita, delle nostre esperienze e del nostro sapere più intimo fosse preda del cyberspazio ormai considerato dal Pentagono, a livello strategico il più recente ambiente di guerra ovvero, il quinto dominio dopo terra, mare, cielo e spazio e con ciò che questo comporta.
Pertanto viviamo in un mondo in cui parte della nostra esistenza trascorre connessi a Internet sicuri del nostro antivirus e del nostro sistema operativo.
Ma come ci ha insegnato Kevin Mitnick, uno degli hacker più famosi al mondo: “Si possono investire milioni di dollari per i propri software, per l’hardware delle proprie macchine e per dispositivi di sicurezza all’avanguardia, ma se c’è anche solo un unico dipendente della nostra azienda che può essere manipolato con un attacco di ingegneria sociale, tutti i soldi investiti saranno stati inutili”.
Nonostante oggi la tecnologia informatica abbia prodotto sistemi di sicurezza sempre più evoluti rispetto alla crescita delle minacce informatiche, è ancora l’essere umano il reale esecutore: inserisce password, configura qualsiasi apparecchiatura tecnologica, digita le proprie credenziali e-banking e tanto altro, ma rimane l’anello più debole, l’elemento di sicurezza più complicato da gestire dovuto principalmente alla sua emotività, ai suoi tratti comportamentali e agli errori cognitivi.
L’aumento esponenziale dei reati informatici in questi ultimi anni, come ci aggiorna il Rapporto Clusit 2020, al terzo posto compare la categoria “Phishing/Social Engineering”, e rappresenta ormai il 17% del totale dei cybercrime.
Prima di definire l’Ingegneria Sociale (Social Engineering), conosciamo l’autore.
L’ingegnere sociale possiamo definirlo un hacker nella comune accezione del termine, con buone conoscenze di psicologia sociale e cognitiva oltre che di informatica. Il suo “modus operandi” consiste in un processo di manipolazione della psiche umana vera, particolarmente scaltro nel condizionare e manipolare la vittima servendosi del più possente strumento: la menzogna.
La prassi più utilizzata per acquisire dati importanti è stabilire un approccio diretto con la vittima, ottenere la fiducia e suggestionarla al punto da spingerla a farle fare scelte pericolose come dare le proprie credenziali anche bancarie.
Le persone oggi sono esposte agli attacchi di ingegneria sociale anche a causa della sempre maggiore abitudine a rendere pubbliche le proprie informazioni personali attraverso i social network.
Ogni notizia che si pubblica, una fotografia su un social network, implica dei rischi che possono essere sottovalutati da un utente non esperto.
L’Ingegneria Sociale utilizza oltre a tecniche di Hacking non tecnologico come il dumpster diving, ovvero il rovistare nei cestini dei rifiuti, cinque modalità principali attraverso le quali si può manifestare:
Phishing: inviando email autentiche solo all’apparenza, contenenti malware, questa forma di attacco si è evidenziato essere il più pericoloso a livello aziendale. Nato con lo scopo di attaccare con l’inganno un obiettivo specifico, corrispondente con la componente più debole di un sistema, è stato impiegato per hackerare elezioni politiche, violare la Casa Bianca, frodare le aziende e aggredire tutti quelli che possono essere remunerativi all’Hacker (in modo particolare se le informazioni che si riescono ad ottenere dovessero essere cifrate e rilasciate al legittimo proprietario solo mediante un riscatto solitamente in bitcoin).
Smishing: è un tipo di phishing che ha come modalità di invio un SMS.
Vishing: usato recentemente per carpire informazioni tramite chiamate vocali particolari e accurate. È semplice da utilizzare e poco costoso, a volte difficile da riconoscere e difendersi. Con l’avvento dell’Intelligenza Artificiale è diventata una tecnica devastante, riuscendo a esempio a clonare con un sintetizzatore vocale la voce di un CEO e indurre per timore dell’autorità un sottoposto a effettuare bonifici su conti anonimi come è successo recentemente in un’azienda britannica, come riportato dal Wall Street Journal.
Baiting: tecnica molto raffinata, utilizza di solito un inganno, in grado di consentire all’ingegnere sociale di installare indirettamente un software malevolo nel pc della vittima. Sfruttando la curiosità dell’uomo, questa tipologia offensiva impiega un vero e proprio “cavallo di Troia”, sotto forma di pen drive o hard disk lasciati di solito in luoghi esposti e visibili, in modo poi da aprire un varco nei dati informatici della vittima. Si immagini appunto una pen drive legata a un portachiavi con scritto elenco licenziamenti anno 2021, lasciata in un parcheggio riservato ai dirigenti di una grande azienda, sfruttando il desiderio di conoscere la propria situazione, un dipendente la raccoglie e la inserisce nel proprio pc, inserendo di fatto un virus nella rete aziendale.
Un caso analogo di rilevanza internazionale, sempre sfruttando la curiosità di un dipendente che ha inserito una chiavetta usb, è stata l’operazione di Intelligence “Staxnet” ovvero l’installazione di un virus informativo che è stato in grado di danneggiare la centrale nucleare iraniana Natanz danneggiando di conseguenza il processo di arricchimento dell’uranio.
Qualunque sia il metodo utilizzato, il piano è quello di focalizzarsi sui tratti comportamentali e psicologici dell’obiettivo, ovvero la sua apprensione per l’autorità, la sua impazienza per una potenziale vincita, la paura di avere una perdita, l’ignoranza e molto altro.
Ad esempio buona parte delle email di phishing che circolano tutt’oggi fanno leva sull’impazienza prodotta dalla voglia di scoprire il premio che si è vinto oppure aprendo mail di interesse personale facendosi vittime della propria curiosità.
Come afferma il Dottor Paul Zac, neurologo e psicologo, autore del libro “La molecola della fiducia”, ha evidenziato il fondamentale compito svolto dall’ossitocina all’interno delle dinamiche relazionali. L’aumento di questo ormone nel sangue, nel momento in cui nasce una relazione di fiducia può, simultaneamente in presenza di un altro neurotrasmettitore come la dopamina può originare sensazioni di eccitazione e di felicità in grado di far abbassare le difese e ad aprire qualsiasi tipo di porta.
Ogni attacco, specialmente se ben studiato, deve ricorrere a una serie di sequenze. Nell’ingegneria sociale sono quattro i principali livelli che abitualmente avvengono in successione:
Raccolta delle informazioni (footprinting): è prima fase nella quale si conoscono tutti i dati sulla vittima, questo periodo è basilare per l’ingegnere sociale che deve porre in atto tecniche mirate per ottenere il maggior numero di informazioni, in questo momento devono essere attivate tutte quelle strategie di influenzamento e manipolazione insieme nel sapere dove e come curiosare. Che si tratti dell’attività di Intelligence attraverso contatti personali (Humint), oppure di tecniche OSINT o SOCMINT (Social Media Intelligence) che permette di compiere un monitoraggio degli eventi in tempo reale sui Social, analisi delle relazioni reali e virtuali, analisi del sentiment dei partecipanti (in riferimento a persone, orientamenti politici e religiosi), in modo da profilare la vittima applicando eventualmente una sorta di test della personalità in modo da accertarsi se la vittima è ad esempio un introverso oppure estroverso. Questa fase è quella che normalmente richiede un tempo maggiore. In un tempo come quello odierno, denso di notizie, non sempre è semplice riconoscere quelle più importanti e assicurarsi dei dati personali ed essere sicuri della loro analisi. Un buon ingegnere sociale deve essere in grado di riconoscere i particolari dove gli altri vedono l’ovvio. Ci sono delle domande fondamentali a cui dare risposta una volta identificata la vittima, come quali sono i suoi hobby, dove risiede, come è costituita la sua famiglia, se ha animali, il lavoro, che studi ha fatto, quali social network utilizza e quale sarebbe il pretesto migliore per avvicinarlo in base a un suo profilo di personalità.
L’intrusione: è l’essenza dell’attacco, dove assume la massima lesività. In questo stadio l’attaccante e vittima si confrontano. È l’ultima fase in cui la vittima ha una capacità di riconoscere l’inganno e poter difendersi riconoscendo la strategia dell’ingegnere sociale. Oltrepassato questo stadio, se l’attacco ha avuto successo è quasi impossibile riavere le informazioni cedute. È in questo momento che l’hacker deve utilizzare delle abilità sofisticate di influenzamento e manipolazione, si possono rifare alle tecniche di PNL, dei principi della persuasione di Robert Cialdini oppure tecniche ancora più ricercate come il linguaggio suggestivo-ipnotico di Milton Erikson.
La fuga: l’ingegnere sociale dopo essersi introdotto nel sistema della vittima o aver preso quanto desiderava pianifica la fuga. Cancella le tracce, gli indizi del suo probabile intervento e fa in modo che la situazione si normalizzi senza alcun rischio. A questo punto la vittima si accorge ma è troppo tardi dell’avvenuta intrusione.
La difesa: l’ultima parte è relativa alle eventuali strategie da parte dell’hacker e tutele adottate per sviare o difendersi da possibili reazioni da parte della vittima. Comprendono, una cultura aziendale adeguata in caso di attacchi mirati alle aziende, ma anche tecniche psicologiche ingegnose da impiegare ad attacco in corso. La difesa dagli attacchi dell’Ingegneria Sociale, può compiersi per mezzo di un’approfondita e preventiva conoscenza del fenomeno tramite un programma di formazione e informazione, dalla gestione delle emozioni utilizzando tecniche di Intelligenza Emotiva, all’esposizione controllata alla manipolazione (Stress test) per avere consapevolezza delle modalità delle tecniche di persuasione utilizzate, e soprattutto, la convinzione che tutti siamo personalmente sensibili ed esposti a tali pericoli di inganno proprio perché i processi psicologici su cui si basano sono parte integrante del nostro assetto mentale e comportamentale.
.