Secondo l’ultimo report di Kaspersky Lab, Facebook ha dominato la classifica in relazione ai tentativi di aggressione degli utenti in rete, rappresentando il 60% di tutti gli attacchi di phishing dei social network, nel primo trimestre di quest’anno (confermando, di fatto, il primato del 2017), seguito dal social russo VK e da LinkedIn.
Facebook sotto attacco, le ragioni
La ragione di questi risultati è probabilmente il numero degli utenti mensili attivi su Facebook (circa 2,13 miliardi, compresi quelli che accedono ad app sconosciute usando le loro credenziali FB e permettendo l’accesso ai loro account).
Questo rende gli utenti di Facebook un target di interesse, per attacchi di phishing e spear phishing.
Qualche settimana fa Verizon, nell’undicesima edizione del DBIR 2018, aveva riportato una notizia simile, indicando una particolare crescita degli attacchi di ingegneria sociale per i cosiddetti data breach, registrando tali attacchi (ed il phishing) nei primi tre possti rispetto alle varietà di incidenti e data breach nell’ultimo anno a livello internazionale:
DBIR 2018 – Verizon – pagina 8
Tipologie di attacco “social”: phishing e pretexing
Ci sono due principali tipologie di attacco cosiddetto “social”, che apparentemente possono sembrare uguali. Il più noto è il “phishing”, ovvero quei messaggi che vengono inviati in genere via e-mail e sono progettati per influenzare il destinatario a “cadere” nella trappola, spingendo lo stesso a cliccare su un link o aprire un allegato, con lo scopo finale di richiedere password o nelle forme più subdole per infettare con un malware.
Oltre al phishing, però, esiste quello che viene definito “pretexting”, che ha visto nell’ultimo anno 170 incidenti – contro i 61 dell’anno precedente – e 114 data breach (fonte DBIR2018, Verizon), ovvero la creazione di una falsa narrativa per ottenere informazioni o influenzare il comportamento di un utente.
Spear phishing e Ceo Fraud
Come appare chiaro, c’è un confine sottile ed un’area grigia tra questi due fenomeni, possiamo definire il pretexting quel tipo di attacco che non si limita ad una singola e-mail, ma è un attacco di ingegneria sociale più sofisticato sul piano relazionale, include di fatto una serie di dialoghi (via email, al telefono o mediante i già citati social network, che aiutano ad innalzare la fiducia tra gli interlocutori). Il pretexing è spesso usato nel cosiddetto “spear phishing” aziendale o meglio noto come “CEO Fraud” o “Business Email Compromise”. Come già anticipato, una delle differenze tra il pretexting ed il phishing è che nel primo caso si utilizza molto di più l’approccio di social engineering “tradizionale”, in quanto lo scopo è quello di guadagnare la fiducia dell’interlocutore ed acquisire quante più informazioni possibili, in particolare ai danni dei comparti di Amministrazione e Risorse Umane dell’Azienda.
Secondo le ultime statistiche, a differenza del pretexting, che è motivato finanziariamente per oltre il 95% delle volte, le motivazioni del phishing sono suddivise tra finanziarie (59%) e spionaggio (41%).
Il phishing è spesso usato come l’azione iniziale di un attacco per installare un malware e portare all’esfiltrazione di dati.
PA e Sanità i settori più colpiti
I settori industriali più colpiti sono la Pubblica amministrazione e la sanità, per acquisire dati personali, segreti industriali et similia (come di seguito meglio illustrato).
DBIR2018 – Verizon
DBIR2018 – Verizon
Le nuove minacce e l’evoluzione dell’ingegneria sociale
Appare utile, a supporto di questa analisi, fare una digressione di natura evoluzionistica. Nel corso degli anni sono state effettuate diverse ricerche, di natura scientifica, con lo scopo di compiere un’analisi sulle differenze delle sequenze di DNA di uomo e scimpanzé. Tutte hanno mostrato che le due specie sono approssimativamente identiche, al 98,5 per cento. Non a caso si dice che l’uomo derivi dalla scimmia e che, ad oggi, è ancora il primate che maggiormente ci somiglia. La scimmia è notoriamente un animale furbo, che sfrutta la propria intelligenza per mettere in atto comportamenti che le permettano di trarre profitto per sé, ingannando gli altri. Esattamente come l’uomo.
Ma cosa c’entrano le scimmie con il phishing o il pretexing? Questi attacchi di social engineering portano l’utente ad essere ingannato, a compiere azioni che, in maniera consapevole, non porrebbe in essere. Il comportamento che viene posto in essere dall’attaccante è il medesimo, per tipologia, rispetto a quello che viene attuato dalle scimmie, quando mirano ad ottenere un vantaggio personale a danno di altri soggetti. Un tipo di intelligenza, malevola, vecchia come il mondo. Ciò che cambia sono i mezzi attraverso i quali gli attacchi vengono perpetrati.
Comunicazione mediata dai new media
Occorre fare una precisazione. Il mondo attuale si è evoluto, e con esso l’uomo e le differenti forme di comunicazione. Pertanto, negli ultimi anni, i processi di comunicazione sono stati profondamente modificati dalla comparsa di nuove tecnologie che hanno comportato, tra le altre cose, la grande diffusione dei personal computer, del telefono cellulare, di internet, ecc. Per “comunicazione mediata dai new media” si intende una comunicazione tra due o più persone ottenuta attraverso l’utilizzo di strumenti tecnologici che effettuano un’elaborazione digitale dell’informazione, dove l’informazione consiste nella differenza tra due o più elementi o dati. La combinazione tra computer e internet ha dato vita alla “comunicazione mediata da computer” (di seguito CMC) che comprende numerose attività e modalità di comunicazione. Nel loro insieme i new media costituiscono un nuovo spazio comunicativo, chiamato “cyberspazio”. Tale tipologia di comunicazione rende il processo di interazione molto differente rispetto a quello a cui siamo abituati nelle interazioni faccia-a-faccia.
New media e nuove interazioni
Dal punto di vista relazionale tutto questo ha comportato una profonda modificazione relativamente al tipo di interazioni alle quali si era abituati fino a qualche anno fa.
Il proliferare dei social network, ed il conseguente successo che questi sono riusciti ad ottenere, si basa proprio sul fatto che l’uomo, a livello relazionale, è sempre più compromesso, e preferisce interagire in maniera “virtuale”, tramite i social network, piuttosto che “vis-a-vis”. Apparentemente, dal punto di vista psicologico, la barriera posta dal computer, sembrerebbe proteggere l’utente nel momento in cui naviga in rete. Ma è davvero così?
Cosa spinge gli utenti nella trappola del phishing
Innanzitutto, nella CMC, sono assenti gli aspetti di metacomunicazione, che caratterizzano la conversazione quotidiana e che indicano come intendere i contenuti di ciò che è comunicato. Infatti, la mimica facciale, la postura, il tono della voce, ecc. aiutano a comprendere quale significato attribuire all’atto comunicativo in corso. Inoltre, la CMC non offre garanzie sull’identità dei soggetti. Questo aspetto in particolare può essere molto pericoloso se utilizzato con intenzioni malevole nei confronti dell’altro, come nel caso dell’ingegneria sociale.
Ecco perché, se dal punto di vista dell’attaccante, viene semplicemente messo in atto un comportamento che mira ad ottenere un vantaggio personale, seppure in maniera eticamente discutibile, dal punto di vista della vittima è facile cadere nella trappola. Il bisogno di fiducia, correlato alla necessità di relazione, che aumenta tanto più che, come abbiamo detto, ne siamo maggiormente privati negli ultimi anni, spinge l’utente nella trappola del phishing e del pretexing. Una delle ragioni per le quali gli attacchi di ingegneria sociale funzionano bene è che le persone tendono a fidarsi quando vengono a contatto con l’altro. La natura umana ci spinge a fidarci di quelli intorno a noi.
Il riconoscimento della menzogna
Gli scienziati hanno addirittura individuato un ormone, l’ossitocina, che sarebbe responsabile di questa naturale tendenza alla fiducia. Il più delle volte questo avviene perché non siamo portati a credere che l’altro abbia l’intenzione di ingannarci, ma abbiamo l’idea preconcetta che ognuno si mostri per ciò che è realmente. Quando la vittima cade nella trappola dell’attaccante, crede che l’ingegnere sociale sia realmente chi afferma di essere. Corollario di tale argomentazione è il fatto che poche persone possiedono le abilità necessarie a rilevare tutti quei segnali che indicherebbero che la persona con la quale stiamo interagendo ci sta mentendo. Non a caso questo è uno degli argomenti che maggiormente ha interessato i ricercatori su tale tema. Per esempio, Paul Ekman, a proposito del riconoscimento delle emozioni sulle espressioni facciali, ha impiegato più di venti anni di studi per comprendere i segnali che potessero essere utili per la comprensione delle regole di esibizione emotiva. Addirittura, sono stati prodotti dei programmi televisivi, come il celebre “Lie to me” per indagare il tema del riconoscimento della menzogna, che è da sempre risultato agli occhi della maggior parte delle persone, tanto affascinante quanto utile come abilità da sviluppare per difendersi da possibili inganni.
Le tecniche di persuasione e di manipolazione usate
L’istinto che conduce a cliccare, e cadere nella rete del phishing, è più forte di quello che ci inviterebbe a proteggerci, in maniera più razionale. Le operazioni tipiche dell’ingegneria sociale sfruttano le reazioni dell’individuo soprattutto quando, isolato dal gruppo, può essere più facilmente aggredito e raggirato perché ancora psicologicamente condizionato dalle regole dettate dall’ambiente di appartenenza originale.
Non risulta dunque un caso la statistica citata all’inizio del presente articolo. Facebook, il social network ad oggi più popolare in tutto il mondo, risulta un mezzo utile da sfruttare per ingannare gli utenti iscritti.
Le tecniche di persuasione e di manipolazione che vengono utilizzate, sono fondamentalmente le stesse rispetto a quelle che vengono utilizzate in altri settori, quali ad esempio il commercio. Ma poiché nel sovraccarico informativo in cui tipicamente ci troviamo a vivere, diventiamo ancora più vulnerabili a tali tecniche, la loro conoscenza potrebbe essere utile anche a scopo difensivo: diventare consapevoli che una persona o una tecnologia sta cercando di indurci a compiere un’azione che non desideriamo veramente, ci consente di fermarci e riflettere su quali sono i nostri reali desideri ed obiettivi.
Sicurezza, il fattore umano anello debole della catena
L’ingegneria sociale, della quale il phishing rappresenta una dei più comuni tipologie di attacco, significa l’uso del proprio ascendente e delle capacità di persuasione per ingannare gli altri, convincendoli che l’ingegnere sociale sia quello che non è oppure manovrandoli. Di conseguenza l’ingegnere sociale può usare la gente per strapparle informazioni con o senza l’ausilio di strumenti tecnologici. In questo caso è proprio il fattore umano, il cosiddetto“Human-Factor” ad essere l’anello più debole della catena di sicurezza.
In tale direzione anche gli studi sul ruolo dell’amigdala nel cervello, ovvero quanto ci sia qualcosa di “primitivo” al di là delle tecnologie e quanto invece queste ultime possano esponenzialmente abilitare (o disabilitare) certi meccanismi di difesa. Come molti appassionati sanno, Goleman, uno dei massimi esperti dell’intelligenza emotiva, ha studiato ed approfondito l’amigdala ed il cosiddetto “sequestro neurale”. Ma cosa vuol dire? Semplificando, sembrerebbe che in caso minaccia forte, sia proprio l’amigdala a prendere il controllo della risposta d’emergenza attraverso l’antica linea diretta con il primitivo sistema nervoso simpatico bypassando, quindi, il “resto”. Questa modalità biologica trascinerebbe l’individuo in una reazione comportamentale istintiva ed irrazionale, appunto primitiva, portando il soggetto a commettere errori.
Secondo chi scrive, su questo ed altri aspetti si basano alcune tipologie di truffe e frodi informatiche e non a caso alcuni specialisti di ingegneria sociale hanno parlato di Biohacking anche rispetto al “cervello” (o di mind hacking).
Attacchi social e aziende: l’approccio con i simulatori
Al di là degli approcci tecnologici, ovvero l’uso di strong authentication, antispam, sandbox o altri supporti per l’analisi del traffico e della behaviour nelle comunicazioni aziendali, appare di fondamentale importanza misurare, nelle aziende, il livello di rischio del fattore umano oltre che addestrare tutti gli attori (non solo gli utenti finali) nella identificazione e gestione di questa tipologia di attacco (compresa l’identificazione di host potenzialmente compromessi e confermare l’esistenza dell’esfiltrazione dei dati, in caso di phishing andato a buon fine).
Per un’azione preventiva, in particolare, sono stati sviluppati, e vengono sempre più utilizzati nelle aziende, i cosiddetti “simulatori di phishing”, attraverso i quali possono essere eseguite delle campagne di formazione online mirate all’incremento della consapevolezza e della sensibilità nel riconoscimento di email malevole di phishing. Incrementare il livello di consapevolezza dell’utente e di sensibilità alla protezione delle credenziali e dei dati è ciò che definisce il concetto di “security awareness” ed è la contromisura più efficace, perché è indipendente dalla forma di phishing.
Non avrebbe alcun senso effettuare delle simulazioni di phishing senza pianificare successivamente interventi mirati ad incrementare la consapevolezza del fenomeno, per permettere alle persone coinvolte di riconoscere gli attacchi e di mettere in atto una serie di accorgimenti di sicurezza, qualora dovessero presentarsene di reali.
