Come ti convinco a infettarti da solo
by Paolo Attivissimo
Forse avete sentito parlare dell’espressione “social engineering”. Dietro
queste parole altisonanti si cela un concetto molto semplice: fregare il
prossimo con la psicologia. Il social engineering è infatti l’insieme delle
tecniche psicologiche, anziché informatiche, usate dagli aggressori online
per farci fare quello che vogliono: per esempio, indurci a dare loro i
nostri codici di accesso, ad aprire i loro allegati infetti o a visitare un
sito che contiene dialer o altro materiale pericoloso.
Ripeto: per fare social engineering non occorrono grandi competenze
informatiche: basta conoscere la psicologia di base delle persone, che è
uguale per tutti. Reagiamo tutti allo stesso modo ad alcuni stimoli di
base. Il furbo online che vi vuole fregare usa questa conoscenza per
piegarvi al suo volere.
Lo scopo di quest’articolo non è insegnare a fregare il prossimo, ma
insegnare a riconoscere i tentativi di fregarvi. Conoscere le tecniche di
social engineering è il modo migliore per non finirne vittima. Troverete
inoltre che le tecniche usate dagli imbroglioni online sono molto
illuminanti per quanto riguarda il modo in cui la gente ragiona (o
sragiona), in Internet e nel mondo reale.
Ma a cosa serve il social engineering? Serve ad arrivare là dove non si
arriva con i normali strumenti di intrusione informatica. Uno dei
principali problemi degli autori di virus, che ambiscono a raggiungere la
massima propagazione possibile (è una sorta di gara a chi piscia più
lontano), è che molti programmi di posta non sono così stupidi da eseguire
automaticamente gli allegati, anche se le vecchie versioni di Outlook e
Outlook Express sono notoriamente ingenue in questo senso, e molti utenti
adottano le precauzioni elementari costituite da antivirus, firewall e buon
senso. Per scavalcare queste precauzioni c’è un modo molto semplice:
indurre la vittima, tramite espedienti psicologici e non informatici, a
fidarsi dell’allegato e quindi eseguirlo, in barba al buon senso.
Un altro scopo degli aggressori è indurre l’utente a fidarsi del contenuto
del messaggio che mandano per fargliene eseguire i comandi: per esempio, un
aggressore può creare un messaggio che indice l’utente a visitare un falso
sito Web, costruito in modo da somigliare a uno autentico e affidabile (una
banca o PayPal o Microsoft o quello di un provider, per esempio), e a
immettervi i propri codici d’accesso. La vittima crede di comunicare con la
propria banca, in realtà sta comunicando i propri PIN e password al
malfattore, con tutte le ovvie conseguenze del caso.
A prescindere dal metodo, si tratta comunque di creare fiducia nella
vittima. A quel punto può scattare la trappola, che può sfruttare le
conoscenze informatiche più o meno sofisticate dell’aggressore.
Nel social engineering ci sono alcuni preconcetti da buttare subito. Il
primo è questo: non cominciate a dire “io sono troppo colto/intelligente
per abboccare”. Essere vittima del social engineering non è una questione
di lauree o di quoziente intellettivo. Ho in archivio casi spettacolari di
social engineering perpetrato ai danni di professionisti, professori,
ingegneri e primari d’ospedale. Ci casca chiunque non conosca le tecniche
psicologiche di questa forma di aggressione.
Il secondo preconcetto assai diffuso è che si possa contare sul proprio
antivirus, firewall o altro software di difesa. Non è vero: il social
engineering è fatto apposta per aggirarli. Nel vostro sistema di difesa
informatica, siete voi (o i vostri dipendenti o colleghi) l’anello più
debole: è inutile avere il più bel sistema di protezione dell’universo, se
poi la vostra segretaria ne consegna la password a chiunque le mandi un
e-mail spacciandosi per un tecnico Microsoft o simili.
Nell’arsenale psicologico dell’aggressore ci sono vari grimaldelli per
scardinare le vostre difese mentali: autorevolezza, colpa, panico,
ignoranza, desiderio, avidità e buoni sentimenti. L’aggressore li usa
singolarmente o in combinazione per ottenere il risultato desiderato.
__Autorevolezza__
C’è qualcosa nell’e-mail che ci induce a credere istintivamente alla sua
autenticità. Probabilmente è il fatto che l’e-mail, essendo visualizzato
con caratteri tipografici, eredita l’autorevolezza della carta stampata o
delle comunicazioni burocratiche ufficiali. Con i programmi di posta
cosiddetti “evoluti”, che visualizzano anche le immagini allegate ai
messaggi, un e-mail può anche contenere un logo aziendale o un altro
marchio di fiducia, che ne aumenta ancora l’autorevolezza (reale o apparente).
Ma il mittente di un e-mail è falsificabile con estrema facilità, e anche
un sito è altrettanto facilmente falsificabile. Un e-mail che sembra
arrivare da un indirizzo Microsoft, per esempio, è facilissimo da
confezionare, con tanto di marchi e icone indistinguibili dagli originali.
Inoltre siamo tutti un po’ condizionati ad accettare l’autorità altrui e a
ubbidire ai comandi se impartiti con autorevolezza.
L’aggressore fa leva sul cosiddetto “principio d’autorità”: si spaccia per
una fonte autorevole (un’azienda, un ente, un governo) e ci manda un
messaggio in cui ci chiede per esempio di installare subito il software
allegato (per esempio un falso “aggiornamento di sicurezza” di Windows)
oppure di leggere il documento allegato o visitare un certo sito-trappola,
oppure di mandargli le nostre password “per un controllo”. L’allegato o il
sito contengono software che veicola l’infezione o ruba i codici di
accesso, ottenendo i risultati desiderati dall’aggressore.
Sono richieste che ignoreremmo istintivamente se provenissero da una fonte
non autorevole, ma il principio d’autorità ci fa abbassare le difese.
__Colpa__
Tutti ci sentiamo colpevoli di qualche cosa, e probabilmente lo siamo. Non
ditemi che non avete mai visitato un sito porno o usato software pirata o
scaricato una canzone o un film da Internet. L’aggressore fa leva su questo
principio di colpa per piegarvi al suo volere: vi fa credere di essere a
conoscenza di un vostro misfatto e vi offre un modo per nasconderlo. In
questo modo crea una complicità, si presenta come vostro salvatore, e voi
cadete nella trappola di ubbidire ai suoi comandi.
Per esempio, potreste ricevere un e-mail in cui un “Ente di Sorveglianza
Internet” vi dice di essere al corrente di una vostra attività online
illecita e vi propone di regolarizzare la vostra posizione installando il
programma allegato all’e-mail. Sappiamo tutti che non si devono eseguire
allegati di fonte sconosciuta, ma il senso di colpa tenderà a farcelo
dimenticare. Naturalmente il programma allegato è un virus o simile.
__Panico__
Un altro degli strumenti preferiti degli aggressori è suscitare il panico.
Quando siamo spaventati, le nostre facoltà razionali si annebbiano e
diventa più facile ingannarci. L’aggressore può, per esempio, inviarci un
e-mail in cui dice che è in circolazione un pericolosissimo virus che non
viene ancora rilevato dai normali antivirus, ma che viene debellato dal
programma allegato; però bisogna fare presto!!
Ancora una volta, se la richiesta di eseguire l’allegato giungesse in un
messaggio normale, non abboccheremmo: ma siccome siamo spaventati dal
contenuto del messaggio, tendiamo a cadere nella trappola.
__Ignoranza__
Ammettiamolo, è praticamente impossibile sapere tutto del funzionamento di
Internet e di tutti i complicatissimi apparecchi che ci circondano. Così
l’aggressore può confezionare un messaggio che sembra serio e affidabile
perché dice un sacco di cose che non capiamo ma che hanno l’aria molto
tecnica e (nella nostra ignoranza) plausibile.
Per esempio, difficilmente abboccheremo a un messaggio di uno sconosciuto
che dice “Ciao, installa questo allegato!”, ma sarà più facile cadere nel
tranello se il messaggio proviene da uno sconosciuto che invece dice
“l’interocitore rilevato nel Suo computer è disallineato rispetto ai
compensatori di Heisenberg e sta disturbando le comunicazioni della nostra
rete. Si consiglia vivamente di eseguire l’allegato programma di
riallineamento, codice identificativo AXZ-176-TOO74, certificato
AF709-SOFT-001″. Non sapete cosa vuol dire, ma ha l’aria di essere una cosa
seria, vero?
__Desiderio__
Certi istinti primordiali sono una manna dal cielo per chi vuol fregarvi.
Per esempio, l’idea di poter scaricare immagini e filmati porno manda in
pappa il cervello di quasi tutti gli utenti maschi. Se un maschietto riceve
un e-mail che gli promette formose visioni (magari di qualche personaggio
famoso) se solo esegue l’allegato programmino o visita un certo sito, state
certi che abboccherà quasi sempre, anche se in circostanze normali sarebbe
stato più guardingo.Il sesso è una molla classica degli inganni online: gli
anni passano, ma funziona sempre.
__Avidità__
Anche l’avidità è uno strumento prezioso per l’aggressore. E’ difficile
resistere al richiamo di chi sembra offrirci un “affare eccezionale” o un
“sistema infallibile” per diventare ricchi o piratare il software o avere
qualcosa a scrocco (musica, suonerie per cellulari, vincite alla lotteria).
Purtroppo si tende sempre a dimenticare che se una cosa sembra troppo bella
per essere vera, probabilmente è perché non è vera.
__Buoni sentimenti__
La pornografia è il grimaldello ideale per far vittime fra i maschi, ma con
il gentil sesso non attacca. Ci vuole un approccio più sofisticato, più
soft. In questo caso gli aggressori usano sedurre le proprie vittime
ricorrendo a espedienti che fanno leva sull’amore o sui buoni sentimenti
(meglio se un po’ sdolcinati).
Per esempio, l’aggressore invia un e-mail in cui dice che “qualcuno ti sta
pensando, se vuoi sapere chi è, clicca sull’allegato”. Uno dei virus più
devastanti si chiamava “I love you” dal titolo del messaggio che lo
accompagnava: quest’anonima dichiarazione d’amore fu sufficiente a indurre
milioni di utenti (maschi e femmine) ad aprire l’allegato, attratti
dall’esplicita lusinga, facendosi sistematicamente infettare.
Un altro esempio di questa tecnica è dato dai tanti e-mail che contengono
strazianti appelli per salvare bambini malati o nidiate di gattini o per
fare donazioni a favore di enti più o meno sconosciuti: sono quasi sempre
trucchi per indurvi a comunicare i dati della vostra carta di credito o a
visitare un sito che tenterà di infettarvi. Gli enti benefici veri, quelli
legittimi, difficilmente distribuiscono appelli via e-mail.
__Come difendersi__
Ora che conoscete per sommi capi le tecniche di social engineering, siete
già in gran parte vaccinati: vi mancano soltanto una regola fondamentale,
facile da seguire, e un po’ di allenamento nel riconoscere i sintomi del
social engineering.
La regola fondamentale è questa: Non fidatevi di nessuno su Internet fino a
prova contraria. Nessuno!
Ho accennato a quanto è facile spacciarsi per qualcun altro su Internet.
Chi vuole fregarvi cercherà di conquistarsi la vostra fiducia spacciandosi
per un vostro amico, collega o conoscente (lo fanno quasi tutti i virus) o
per una fonte autorevole (Microsoft, America Online, Telecom Italia, Ebay,
PayPal o la vostra banca, per esempio). Qualsiasi messaggio che vi chieda
di fare qualcosa va verificato prima di decidere cosa farne. Chiamate il
vostro amico/collega o informatevi in giro tramite Google sull’esistenza di
un comunicato ufficiale che confermi l’autenticità del messaggio. Nel
dubbio, non fate nulla e soprattutto non eseguite le istruzioni ricevute.
Per quanto riguarda l’allenamento, invece, ho preparato presso
www.attivissimo.net/security/soceng/soceng.htm
la versione Web di questo articolo, in fondo alla quale trovate una breve
carrellata di esempi reali di social engineering perpetrato tramite
Internet. Probabilmente riconoscerete messaggi che avete ricevuto anche voi
e di cui ho parlato in altri articoli di avviso antitruffa. Questa rassegna
illustra l’astuzia e la creatività dimostrate da chi ordisce questi raggiri
telematici.
E con questo, per il 2003 è proprio tutto. Auguri!
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2003 by Paolo Attivissimo (www.attivissimo.net).
Lascia un commento