L’ingegneria sociale (social engineering) è sempre più usata, con crescente successo, per violare sistemi informatici. Si sta imponendo quindi, tra gli esperti, l’idea che sia necessario un approccio multidisciplinare, tecnico e umano (antropologico) assieme, per affrontare il fenomeno social engineering, rilevato in crescita del 56.9% rispetto al 2017 dal Rapporto Clusit 2019.
Solo così sarà possibile comprenderne la genesi, i fattori intervenienti, le potenzialità destabilizzanti e le ragioni alla base del suo impressionante tasso di successo. E cominciare a combatterlo con maggiore efficacia.
Cosa rende efficace un attacco di social engineering
Il social engineering è l’arte di manipolare le persone, agenti all’interno di dinamiche sociali e di gruppo, allo scopo di ottenere informazioni.
L’interesse analitico allo studio del fenomeno discende dalla consapevolezza del profondo cambiamento che la rivoluzione cibernetica ha introdotto nelle dinamiche di interazione quotidiana: il carattere info-centrico della società della Terza Piattaforma, in cui gli attori economici e sociali operano in un contesto prevalentemente dematerializzato (il cosiddetto cyberspace), tende a generare un ecosistema ideale su cui l’attaccante esperto innesta, pianifica e spesso stratifica le metodologie e le tecniche di ingegneria sociale allo scopo di violare un sistema informativo: nello spazio cyber infatti si perde la dimensione fisica dell’interazione faccia a faccia, della prossemica (utile per la verifica sociale) ed aumenta il relativismo cognitivo.
Gli attacchi di Social Engineering risultano pericolosi proprio perché non tecnici. Indipendentemente dalle misure di sicurezza multilivello implementate su un certo perimetro organizzativo, è sempre possibile prendere di mira (e sfruttare efficacemente) alcune “tare” presenti nella natura umana: la fiducia negli altri e la reciprocità, la dissonanza cognitiva, l’ignoranza o la mancanza di conoscenza, l’istinto gregario (e il disagio nel contravvenire ad un ordine), l’utilitarismo.
Emerge chiaramente la complessità «antropologica» delle dimensioni che rendono efficace un attacco di Social Engineering; la manipolazione umana, caratteristica della fattispecie, sfrutta conoscenze multidisciplinari, dalla psicologia cognitiva all’antropologia, dalla psicologia sociale alla sociologia dei gruppi, dalla gnoseologia della conoscenza all’informatica e, di fronte al carattere umano e non meccanico dei target, sembra potersi affermare che non esistono misure di sicurezza tecniche valide in assoluto; l’unica contromisura realmente efficace, afferente alla dimensione organizzativa, coinvolge la formazione delle risorse umane, il tentativo di fornire loro gli strumenti per riconoscere un pattern di attacco e per rispondervi con un’euristica alternativa, non prevedibile dal criminale e, pertanto, consona agli obiettivi dell’organizzazione.
Mai come in questo ambito costituisce bagaglio imprescindibile dell’analista quella doppia competenza, umanistica e tecnica, su cui si fonda e si sostanzia il nuovo quadro normativo sulla protezione dei dati personali.
Con riferimento al processo di analisi del rischio infatti, le tecniche di Social Engineering, da un lato possono essere utilizzate insieme ai tradizionali vettori di attacco, dall’altro ne possono rappresentare una valida alternativa: interpretando l’evento di attacco in una chiave di lettura economico-materialistica, davanti ad un perimetro sicuro tecnicamente, che costerebbe al criminale un certo impiego di tempo e di risorse, l’ingegneria sociale potrebbe configurarsi ai suoi occhi come più conveniente.
I target più comuni sono gli operatori posti ai “confini” del perimetro organizzativo, come receptionist e personale di help desk, clienti e fornitori dell’organizzazione, ma anche i profili con un accesso privilegiato, come gli amministratori di sistema, il supporto tecnico ecc.
Una volta aperto il varco con tecniche di human hacking, è possibile veicolare un qualsiasi vettore malevolo, generando impatti negativi generalizzati: perdite economiche; danni reputazionali, potenziale perdita di continuità operativa, conseguenze sui diritti e le libertà delle persone.
Le variabili intervenienti
Le variabili utili per determinare il grado di esposizione di un’organizzazione alla minaccia dell’ingegneria sociale potrebbero essere schematizzate (senza pretesa di esaustività) nelle seguenti:
- la dimensione dell’organizzazione: l’eventuale presenza di diverse unità operative collegate in una qualche fase di processo, aumenta la probabilità, per l’attaccante, di intromettersi nei flussi di comunicazione e di coordinamento;
- la presenza/assenza di policy documentate e di controlli organizzativi: lasciare un processo operativo alla discrezionalità dell’operatore umano aumenta il potenziale distruttivo di un attacco riuscito.
- un accesso al patrimonio informativo non regolato dal punto di vista tecnico e sistemistico: se il profilo di accesso della risorsa umana agli asset informativi aziendali non risulta minimizzato, cioè ispirato al principio del minimo privilegio, l’eventuale violazione avrà un impatto generalizzato e non circoscritto;
- la mancanza di sessioni/training di formazione: se il vertice organizzativo non fornisce alla risorsa umana gli strumenti per riconoscere i pattern di attacco e per rispondere di conseguenza, la probabilità di occorrenza della minaccia aumenta.
- La mancanza di sensibilità e di consapevolezza del vertice aziendale: spesso l’organizzazione si limita ad implementare misure tecniche di sicurezza e a dare istruzioni “in negativo” su azioni da non fare, senza considerare che gli asset di trattamento non sono solo meccanico-informatici ma anche umani, le cui strategie cognitive, che collegano ragionamento e comportamento, pensiero e azione, sono caratterizzate da una relazione non-lineare.
Una prospettiva antropologica: social engineering e tecniche di persuasione
Gli uomini sono esseri sociali che agiscono nel loro contesto.
La relazione che esiste tra pensiero e azione è stata oggetto di studio di numerose discipline, dalla filosofia (e gnoseologia della conoscenza) alla psicologia (cognitiva e sociale), dalla sociologia alla logica e all’intelligenza artificiale.
Tutte concordano sulla natura limitata delle risorse sensitive e razionali e sulla tendenza dell’essere umano al “risparmio computazionale”.
Il meccanismo alla base del ragionamento umano è caratterizzato da scorciatoie, da euristiche, cioè semplici ed efficienti regole che semplificano la soluzione a problemi complessi, rendendo possibile l’azione in un contesto in cui si hanno informazioni incomplete.
Le tecniche di ingegneria sociale sfruttano con efficacia le euristiche umane e la relazione non lineare tra pensiero e azione, stimolando attivamente un comportamento, senza che la vittima se ne renda conto.
Robert Cialdini, nel 2001, scrive un testo illuminante, “Le Armi della Persuasione” che illustra “come e perché si finisce col dire di si”.
La coerenza, l’impulso ad essere/sembrare consistenti con le proprie asserzioni o posizioni precedentemente espresse, è forse la tara umana più forte.
Già introdotto da Leon Festinger nel 1957 con la sua “Teoria della Dissonanza Cognitiva”, il principio rappresenta un’arma potente di influenza sociale.
Un attaccante potrebbe sfruttare un’affermazione della vittima sull’impegno ambientale per convincerla a cliccare d’impulso su un link malevolo, che tratti di un contenuto analogo.
La reciprocità agisce come un’ulteriore spinta occulta: in genere l’uomo sente il bisogno di contraccambiare favori veri, o presunti tali.
L’antropologia culturale considera questo aspetto come tipico di tutte le società umane, qualcosa di viscerale, profondamente legato alla nostra natura.
E’ un istinto potente, che agisce in una fase pre-razionale e che può essere sfruttato per generare azioni, specie in contesti di reverse social engineering.
A titolo esemplificativo, l’attaccante potrebbe costruire consapevolmente uno scenario (pretext) preoccupante per la vittima, presentarsi come una figura che, apparentemente senza nulla in cambio, si offre per risolvere la situazione e, solo in un secondo momento, “presentare il conto”, richiedendo certe informazioni all’operatore che, sentendosi in debito, esaudisce la richiesta, con un meccanismo di acquiescenza o di risposta attiva;
La Psicologia Sociale ci insegna inoltre che le persone, in media, tendono a ritenere maggiormente validi i comportamenti o e le scelte che vengono effettuati da un elevato numero di propri simili.
Un attaccante potrebbe confezionare un trojan emulando contenuti di un soggetto fisico, o un cartone animato, o un videogioco «di moda», apparentemente «desiderabile e fidato» perché lo «usano tutti».
L’euristica della riprova sociale funziona tanto più efficacemente quanto più il soggetto che sta per entrare in azione o che si trova davanti ad una scelta potenziale, percepisce se stesso come aggravato da due condizioni:
- l’incertezza: quando la situazione è ambigua, si osserva il comportamento degli altri e lo si accetta come buono con meno resistenza o senso critico.
- l’emergenza: se la situazione non è sotto controllo e si è spinti all’azione, si ha meno tempo per razionalizzare e per valutare di agire al di fuori del comportamento di massa.
Continuando la rassegna, è noto che le asserzioni sostenute da un riferimento ad una figura di rilievo, reale o presunto, o presentate come se fossero derivate da tale figura/istituzione, accrescono la loro valenza persuasoria.
L’istinto gregario, il naturale senso di deferenza nei confronti dell’autorità, radicato nell’essere umano, fa parte del nostro essere sociale ed è rafforzato dall’educazione e dalle abitudini culturali che presiedono ai meccanismi di istituzionalizzazione.
Gli uomini, oltre ad essere predisposti al principio di autorità, ne vengono progressivamente educati perché vivere in società, rispettandone le regole e le istituzioni, conviene alla specie, è un vero e proprio meccanismo evolutivo.
L’opera di Milgran “Obbedienza all’Autorità”, già negli anni ’60, forniva alla comunità scientifica evidenze sperimentali del fenomeno di sadismo correlato ad un ordine impartito dall’autorità.
Lo stesso fenomeno è alla base di atti indotti dai capi carismatici di sette come i noti suicidi collettivi della storia contemporanea (ad esempio quello in Guyana – 1978).
Tornando al nostro focus, l’attaccante può impersonare un agente di polizia, un carabiniere, un ufficiale della guardia di finanza; oppure un caporeparto, il responsabile di settore, il dirigente, una persona autorevole all’interno del contesto sociale della vittima, per creare uno scenario attendibile ed ottenere le informazioni manipolando l’istinto gregario della risorsa.
Un altro fattore importante di sollecitazione sembra essere la simpatia. Attraverso la costruzione di un legame di empatia e “similitudine”, reale o presunto, è più facile spingere ad una certa azione oppure modificare degli atteggiamenti.
Le persone, se portate in uno stato rilassato, di comfort, tendono ad abbassare le barriere razionali e ad assecondare l’interlocutore con cui hanno stabilito il legame empatico, in modo proporzionale al grado di similitudine percepita, anche in contesti non logicamente correlati all’ambito, al contenuto e all’episodio empatico.
Accade ad esempio che l’attaccante, dopo aver acquisito le informazioni utili a costruire un personaggio credibile e «simile» alla vittima, investa del tempo a creare una relazione con quest’ultima, per conquistare la sua fiducia e utilizzarla in un contesto altro, quello vero dell’exploit, in cui riesce a suscitare il comportamento o l’azione desiderata.
Non si dimentichi il principio di scarsità: l’istinto di sopravvivenza innato all’essere umano spinge a procurarsi scorte dei beni percepiti come scarsi. Se la disponibilità di un bene, di un oggetto o di una risorsa viene presentata come limitata nel tempo, le persone agiranno per procurarsela.
Un attaccante potrebbe costruire uno scenario in cui presenta un contenuto (trojan), o anche la sua stessa azione (attraverso metodologie di reverse social engineering), con quelle caratteristiche sopra descritte, scarsità, limitata disponibilità, desiderabilità, per indurre nella vittima il comportamento desiderato.
Da ultimo, la dottrina filosofica ed etica dell’utilitarismo ci insegna come la ricerca umana del Bene si concretizzi in una serie di comportamenti, tendenti a massimizzare ciò che produce vantaggio e a minimizzare lo svantaggio.
Meno in astratto, le azioni umane tendono proattivamente a ricercare il premio e ad evitare la punizione. La psicologia, nella corrente del comportamentismo, è ricca di esempi relativi a questo tipo di condizionamento.
L’attaccante potrebbe efficacemente sfruttare la “tara” utilitaristica inducendo la vittima a rivelare informazioni in cambio di una presunta ricompensa (configurabile nei termini più adatti al contesto: di tipo sociale, materiale, empatico) oppure con la minaccia di conseguenze negative o ritorsioni.
Perché il cyber spazio è terreno fertile per il social engineering
Ma perché parlare di psicologia e che relazione può esistere tra il meccanismo di ragionamento umano e il cyber space, cioè il nuovo spazio sociale in cui esso si esprime?
Fin dagli albori della storia dell’uomo la filosofia si è interrogata sui fondamenti e sui meccanismi della conoscenza. Lo stadio di acquisizione e rilevazione delle informazioni, più vicino all’esperienza, passa attraverso i sensi che costituiscono i canali fisici attraverso cui l’evento esterno viene scomposto, esperito e in seguito ri-concettualizzato.
E’ attraverso i sensi che l’essere umano fa esperienza del mondo che lo circonda e, solo in un secondo momento, vede entrare in gioco l’astrazione concettuale e l’organizzazione dei pensieri in un quadro più o meno organico ed evoluto.
L’eterna dialettica tra materialismo ed idealismo non fa che spostare l’ago della bilancia della conoscenza una volta a favore dei sensi e dell’esperienza, un’altra volta a favore del pensiero, dei paradigmi e della creatività del soggetto pensante nell’interpretazione della realtà.
Le conseguenze filosofiche, in termini di relativismo gnoseologico, del principio di indeterminazione di Heisemberg (secondo cui è impossibile conoscere i dettagli di un sistema senza perturbarlo) aprono la strada ad una prospettiva analitica in cui l’essere umano diventa entità autoreferenziale.
Non esiste una realtà al di fuori dell’uomo perché non è possibile esperire senza modificare.
Come diventa possibile, con queste premesse, la quotidianità della vita sociale? Come fanno le persone ad essere d’accordo sull’esperienza alla base della vita di tutti i giorni?
Esiste un meccanismo latente di conferma implicita basato sulla dimensione fisica, sulla prossemica, sulla gestualità, attraverso il quale teniamo sotto controllo le reazioni degli altri e validiamo le interazioni sociali.
Ecco perché, quando la relazione da fisica diventa virtuale, diventa difficile presupporre e dare per scontate le reazioni e le rappresentazioni che il nostro interlocutore ha della realtà che ci riguarda.
Per tutte le ragioni sopra evidenziate, le tecniche di Social Engineering vedono nel cyberspace un terreno fertile di sviluppo e di efficacia.
Perché senza interazione fisica è difficile validare la relazione.
Perché senza interazione fisica è facile rimanere confinati nei propri paradigmi, nelle proprie rappresentazioni, indotte a regola d’arte.
Perché nel cyberspazio possiamo decidere di rischiare poco, mantenendo così il controllo della zona di comfort. Questo è ciò che consente agli esseri umani di risparmiare le proprie risorse computazionali, di non utilizzare senso critico, di non razionalizzare.
E questo rappresenta tutto ciò di cui il criminale ha bisogno per condurre con successo un attacco di ingegneria sociale.
Alcuni possibili schemi di classificazione
In un articolo del 2014 pubblicato sul Journal of Information Security and Application, Hobel, Weippl e Huber propongono una tassonomia degli attacchi di Social Engineering basata su tre variabili:
- Il canale utilizzato (Channel) per compiere l’attacco. Questo potrebbe essere:
- e-mail (il Rapporto Clusit 2018 rileva un aumento delle mail di phishing e reverse social engineering del 34,21 % tra il 2016 e il 2017);
- chat e canali di messaggeria istantanea, utilizzati spesso e con facilità da profili fake, accuratamente costruiti nella fase di pretext e costruzione dello scenario;
- telefono, mezzo che, pur mantenendo la distanza (facilitando il camuffamento) dalla vittima, è in grado di approssimarsi maggiormente all’interazione fisica;
- social network, uno spazio veramente privilegiato per gli attaccanti: all’interno delle piattaforme social è possibile non solo accedere con facilità alle più svariate informazioni, anche dettagliate e in certi casi riservate, spontaneamente condivise dagli utenti, ma anche conoscere quali sono i collegamenti della vittima e, semplicemente osservando i commenti e l’interazione, dedurne il grado di affinità e di confidenzialità. E’ possibile quindi scegliere un profilo da emulare, costruirne uno fake identico e, attraverso il secondo, perpetrare l’attacco, senza passare per la fase di costruzione della relazione.
- servizi cloud: l’attaccante potrebbe simulare l’offerta di un servizio in cloud e rilasciare all’interno della risorsa, incautamente acquistata dalla vittima, un agente malevolo. Oppure potrebbe impersonare un provider legittimo per gli stessi fini illeciti.
- siti e piattaforme web: caricare lo script malevolo su un sito web ed agganciare la vittima nel momento in cui atterra su quella particolare url, è un classico metodo di delivery del vettore di attacco. Il sito potrebbe essere reale, esso stesso oggetto di defacement (compromissione), oppure potrebbe essere un sito clonato, apparentemente identico a quello legittimo, che in realtà comunica con un backend (server) di proprietà del criminale.
- La seconda variabile utilizzata per la tassonomia proposta dagli autori citati è l’operatore (operator). E’possibile infatti distinguere gli attacchi condotti da un soggetto:
- umano: le vittime adescabili sono quantitamente circoscritte ma solitamente l’attacco, condotto da una persona ben addestrata, risulta essere più raffinato, efficace e, di conseguenza, dannoso.
- automatizzato (software). Esistono dei tool, ad esempio il SET (Social Engineering Toolkit) che vengono utilizzati per perpetrare attacchi di phishing su larga scala. L’attacco è meno raffinato, contiene alcune intrinseche “pecche” (ad esempio nella grammatica) che ne rendono più facile la detection ma, proprio come la grossolana rete usata dai pescatori (da cui il nome), conta sulla ragionevole probabilità statistica di un certo numero di successi, visto la larga scala dell’esca lanciata e rappresenta pertanto, sui grandi numeri, una minaccia di tutto rispetto.
- La terza variabile considerata dagli autori è la tipologia dell’attacco (type). Si distinguono infatti attacchi :
- fisici, basati cioè sulla presenza e il contatto fisico dell’attaccante;
- tecnici, perpetrati attraverso Internet e il cyberspace;
- sociali, basati sulle dinamiche euristiche alla base dell’interazione umana analizzate precedentemente;
- socio-tecnici, i più pericolosi, che combinano il potenziale destabilizzante della conoscenza delle tecniche di persuasione con le skill informatiche sufficienti per camuffarsi con efficacia, sfruttando i confini sfumati del cyberspace.
Più nel dettaglio, l’ultima variabile di classificazione proposta dagli autori potrebbe essere raffinata distinguendo gli attacchi:
- human based: basati sul contatto diretto:
- Impersonation
- Reverse Social Engineering
- Tailgaiting
- Vishing
- Dumpster Diving
- Eavesdropping
- Shoulder Surfing
- Piggybacking
- computer-based: perpetrati attraverso skill tecniche e strumenti informatici:
- Phishing
- Pop-Up
- Spam
- Messaggeria Istantanea
- mobile based: perpetrati attraverso tecnologie mobile:
- app malevole
- false applicazioni antivirus
- clonazione di app legittime
- smishing (SMS phishing)
L’identificazione delle fasi dell’attacco
Sempre a scopo analitico e descrittivo è possibile identificare, nelle dinamiche sottostanti ad un attacco di Social Engineering, una sequenza di fasi tendenzialmente regolari:
- Information gathering, lo step preliminare di acquisizione delle informazioni: il primo passo di un attacco è quello di tentare di conoscere quei dettagli che possano rendere una storia credibile, gli interessi condivisi, i tipi di contenuti scambiati dalle varie unità organizzative o con i partners commerciali, in modo da inserirsi in qualche modo nei flussi operativi. Tali informazioni possono essere acquisite sia localmente (osservando, spiando da lontano, frugando nella spazzatura) sia da remoto, sfruttando le enormi potenzialità della rete e i contenuti (omni)presenti su Internet. Un’importante fonte sorgente è il sito web dell’azienda. Esso verrà probabilmente sottoposto ad un raffinato check (in parte manuale, in parte automatizzato), volto ad individuare informazioni di interesse, indirizzi, telefoni, nomi di persona, link, pdf o file excel condivisi o nominati ecc. Anche i commenti al codice del sito (cioè contenuti appositamente “taggati” dallo sviluppatore per istruire l’interprete del codice ad ignorarli) non vengono tralasciati: spesso infatti contengono informazioni importanti sulla versione del software utilizzata, sul nome dello sviluppatore e sull’azienda partner che ha realizzato il sito. Un altro canale preferenziale di acquisizione delle informazioni è quello relativo ai social network: oltre ai tool da riga di comando, in grado di individuare dati di impiegati nelle varie organizzazioni iscritti ai social (ad esempio Linkedn), l’attaccante può liberamente accedere ai dati sulle preferenze, sugli interessi, sulle amicizie, se le impostazioni di privacy della vittima lo consentono. Tutte queste informazioni, che in sé stesse sembrerebbero poco utili, se incrociate con quelle ottenute in maniera automatizzata (con tool come Maltego), consentono considerazioni aggiuntive molto potenti, in grado di discriminare, ad esempio, tra una relazione solo professionale e una relazione di amicizia, per poi scegliere l’una o l’altra a seconda dello scenario più utile per l’attaccante. Una volta acquisito il footprint (l’impronta) dell’organizzazione scelta come vittima, l’attaccante si preoccupa di mappare gli eventuali fornitori di servizi, che potrebbero essere sfruttati nella fase di creazione dello scenario. Con tool come Maltego, ad esempio, è possibile conoscere l’ip del web server, il suo owner (proprietario), cioè la compagnia hosting provider, nonché i link alle organizzazioni in qualche modo coinvolte nei flussi operativi della vittima contenuti nei domini e nei sottodomini del sito. Il social engineer ripeterà così sui fornitori tutta l’analisi sopra descritta, per ottenere una fotografia della realtà scansionata il più possibile accurata; a catena, il quadro di relazioni (e di informazioni) davanti ai suoi occhi sarà sempre più organico e accurato.
- La costruzione del pretext , è la fase creativa, in cui l’attaccante utilizza le informazioni organiche acquisite durante lo step precedente, allo scopo di costruire uno scenario credibile, una falsa ambientazione, in grado di stimolare all’azione la vittima, sfruttando a regola d’arte le tare, le semplificazioni, le scorciatorie cognitive tipiche dell’essere umano. Incrociando, ad esempio, le informazioni acquisite dai social e dall’analisi dei commenti al codice del sito, potrebbe scoprire che lo sviluppatore è anche amico di un impiegato; incrociando quelle sui file condivisi ottenute tramite Maltego e quelle sugli interessi di Linkedn, potrebbe individuare, come un contenuto rilevante per le tre entità, l’organizzazione, l’impiegato, lo sviluppatore, la normativa sulla sicurezza aziendale. Potrebbe decidere quindi di confezionare un trojan, camuffato da pdf, contenente una metodologia di sviluppo di codice sicuro; di impersonificare lo sviluppatore ed inviare una mail all’impiegato con l’allegato; nel testo della mail, con tono empatico, l’attaccante-sviluppatore suggerirà al suo amico di leggere il pdf perché sarebbe vantaggioso per il suo capo fare una formazione ai fornitori sul contenuto dell’articolo.
- La costruzione del vettore di attacco, rappresenta la fase in cui viene confezionato il mezzo scelto per procurare le informazioni. Tale mezzo dipende infatti dal contesto: può essere una conversazione, fisica o telefonica, attraverso cui l’attaccante manipola la vittima che detiene le informazioni e le ottiene direttamente, oppure un oggetto, un contenuto, appositamente confezionato per apparire «innocuo» e legittimo (ad esempio un trojan, una mail, un link ecc. Il concetto importante su cui soffermarsi è quello della simulazione. L’attaccante agisce attivamente per far sembrare il vettore malevolo in tutto e per tutto appartenente ad una sfera legittima riconducibile alla quotidianità della vittima, non in grado di generare in essa un alert che attiverebbe difese razionali.
- L’instaurazione della relazione, è il momento in cui l’attaccante prende contatto con la vittima e cerca di conquistare la sua fiducia . Può essere più o meno lunga, a seconda della strategia scelta per la delivery del vettore malevolo. La creazione della relationship è particolarmente importante negli scenari di reverse social engineering, in cui l’attaccante crea appositamente il la situazione emergenziale e si propone come deus ex maquina in grado di risolverla mentre, nei casi di impersonificazione di qualcuno con cui si abbia già una relazione, può essere ragionevolmente saltata, visto che si “cavalca” quella preesistente. Con riferimento alle tecniche di persuasione analizzate nei paragrafi precedenti inoltre, la relazione può essere di qualsiasi tipo: di amicizia/empatia, professionale/di ruolo (sfruttante la variabile dipendenza/autorità) e via dicendo, a seconda dello scenario costruito.
- L’exploit, è il momento in cui viene effettivamente rilasciato il vettore di attacco. Certo, può esserci un periodo finestra, una latenza, tra il momento di delivering (ad esempio l’invio della mail) e l’azione effettiva di attivazione del vettore (il doppio clic della vittima sul pdf e l’esecuzione del codice malevolo); tuttavia, più le fasi precedenti di acquisizione delle informazioni, costruzione dello scenario e instaurazione della relazione sono state accurate, più i due momenti tendono a coincidere e l’attacco di Social Engineering può dirsi andato a buon fine. In caso contrario, se per qualche motivo la vittima è messa in grado, con opportune tecniche e contromisure, di porre in atto un’euristica alternativa, l’exploit vero e proprio non viene finalizzato e l’attacco si ferma alla (sotto)fase di delivering.
- La fase di post-exploitation. Se il vettore di attacco (ad esempio una backdoor o uno spyware) lo richiede o lo consente, può esserci un’ulteriore fase successiva al vero e proprio exploit in cui:
- L’attaccante ha accesso attivo alla macchina della vittima e può eseguire comandi da remoto, con gli stessi privilegi assegnati alla macchina stessa.
- L’attaccante riceve passivamente (in genere via mail) le informazioni che rappresentano il suo obiettivo (ad esempio, tutte le password digitare dalla vittima sulla tastiera del computer).