Sicurezza e ingegneria sociale

Getting your Trinity Audio player ready...

Sicurezza, nel linguaggio comune italiano, si presta a diverse interpretazioni. Più specifici i due termini inglesi “safety” e “security”, il primo dei quali dedicato a tutto ciò che riguarda l’ambito di prevenzione e garanzia dell’incolumità delle persone fisiche, mentre il secondo, più generico, si rivolge solitamente agli strumenti e processi relativi alla tutela del patrimonio o delle informazioni, inclusi i dati personali.

Trasponendo i due termini nella realtà, possiamo definire “safety” l’attività che viene svolta al fine di garantire, ad esempio, che le macchine operatrici dispongano di protezioni per evitare incidenti sul lavoro, che i dispositivi medici (pompe di insulina, pacemaker, ecc.) siano progettati per evitare danni al paziente a causa di un errato funzionamento, che le aziende abbiano adottato le misure di sicurezza per la prevenzione degli infortuni, e così via.  Per “security”, invece, possiamo far riferimento a quello che nel linguaggio comune è la difesa del perimetro fisico o digitale in cui ogni cittadino svolge le proprie attività e, quindi, impianti di allarme, sistemi di videosorveglianza, credenziali di autenticazione per l’accesso ai dati digitali, strumenti di controllo degli accessi agli edifici e agli archivi cartacei, antivirus e firewall, ecc.

Si parla spesso di misure di sicurezza e di prodotti che aumentano l’efficacia di tali misure, sia nel campo della protezione delle informazioni che nell’ambito della tutela dei dati personali ma, nonostante gli sforzi delle aziende e dei legislatori (italiano ed europeo) per introdurre meccanismi e metodologie sempre più efficienti, l’anello debole della catena della sicurezza resta comunque l’elemento umano, arginabile solo con una accurata selezione (focalizzata sull’attitudine a svolgere determinati lavori) e formazione del personale.

La preparazione e la creatività delle persone incidono sugli strumenti che quotidianamente utilizziamo per le nostre attività, sia personali che lavorative, poiché la progettazione ed il funzionamento (anche in termini di istruzioni) di qualsiasi dispositivo è affidato comunque, all’origine, ad un essere umano o ad un gruppo di esseri umani.

Per quanto egli possa essere preparato, le sue convinzioni, la sua formazione, le sue esperienze (anche emozionali e, quindi, presenti nell’inconscio), incideranno sulla progettazione del dispositivo e perfino sulle regole che successivamente esso utilizzerà per assumere decisioni, frutto comunque di un calcolo probabilistico e di opzioni predeterminate. Oggi, in effetti, si parla erroneamente di intelligenza artificiale per indicare semplicemente sistemi “esperti”, cioè in grado di apprendere dal contesto che li circonda e dalle operazioni che esegue (inclusi gli errori che commette) per perfezionare l’interazione con il mondo esterno, ma sempre con il limite della programmazione di base e dei criteri determinati dal programmatore per analizzare le situazioni. Non si può ancora parlare di “intelligenza” in termini di creatività, poiché, a fronte di una situazione non prevista ed alla quale non vi sono scelte predeterminate o vi sono scelte equivalenti senza priorità, il sistema si blocca. Ne è un esempio il crescente ricorso a strumenti sempre più sofisticati nel campo della diagnosi delle autovetture che, nonostante siano progettati e sviluppati dagli stessi produttori, non riescono a rilevare i difetti che si manifestano per la prima volta e che non sono stati individuati nella fase di test, semplicemente perché non li conoscono e non hanno, quindi, istruzioni per rintracciarli.

Lato utente, il problema è ancora più complesso, perché è in forte crescita – complice anche la pandemia da Covid19, che ha accelerato il ricorso agli strumenti informatici e alle connessioni telematiche – una tecnica di aggressione ai beni digitali e alle strutture governate da strumenti informatici meglio nota come social engineering (ingegneria sociale), basata essenzialmente sulla capacità dell’agente di suscitare emozioni nella vittima, che ne distolgono l’attenzione dai rischi per la sicurezza, per focalizzarli su un altro problema, generato appositamente.

Negli anni in cui l’utilizzo della posta elettronica non era ancora molto diffuso, la c.d. truffa alla nigeriana mieteva vittime ovunque e destò un tale allarme sociale da indurre diverse trasmissioni televisive a spiegare come funzionasse il raggiro. L’e-mail che perveniva alla potenziale vittima riferiva di un’eredità giacente in un paese africano (alternativamente, Nigeria, Costa d’Avorio, Sud Africa) ed era inviata da un sedicente funzionario governativo che rappresentava di aver bisogno delle coordinate bancarie del presunto erede per accreditare somme ingenti, chiedendo un bonifico per consentire l’identificazione tramite conto corrente e garantire il pagamento delle spese notarili. Inutile specificare che, intrattenuta la corrispondenza ed eseguito il bonifico, dell’eredità e del funzionario non restava traccia.

Tale frode si è nel tempo evoluta ed ha abbracciato tutti i settori della vita quotidiana ormai convertiti al digitale, passando dalle e-mail agli smartphone e dall’ambito successorio a quello bancario, ma con una caratteristica sempre uguale: spostare l’attenzione della potenziale vittima su un argomento di particolare interesse (eredità giacente, rimborso da parte di un Ente, mancato pagamento di una fattura, amico o parente in difficoltà, addebiti sospetti sulla carta di credito, ecc.) con lo scopo di spostare l’attenzione su tale questione ed indurlo ad abbassare la guardia sulle misure di sicurezza, spesso ottenendone perfino la collaborazione.

Le capacità di circuire l’utente e la procedura adottata sono spesso talmente efficaci da trarre in inganno anche professionisti ed industriali decisamente smaliziati ma, probabilmente, non adeguatamente formati sulla sicurezza informatica e il social engineering. Del resto, facendo un altro lavoro, potrebbero non averne mai sentito parlare o non aver prestato attenzione alle notizie diffuse dai media su tali argomenti.

Quattro casi sono sintomatici del ritardo con il quale, solitamente, anche grandi aziende ed enti governativi svolgono un’adeguata formazione a tutela delle proprie risorse ed informazioni, di solito dopo aver subito un attacco:

  1. Un criminale che, probabilmente, nel periodo precedente, aveva acquisito informazioni sulle abitudini e sugli spostamenti di un Dirigente di una nota associazione italiana, ha atteso che quest’ultimo fosse in volo per ragioni di lavoro per inviare una e-mail, apparentemente proveniente dal Dirigente, alla sua Segretaria, con un ordine di bonifico urgente, specificando anche di non contattarlo perché non raggiungibile. Bonifico eseguito in buona fede dalla dipendente e somme scomparse, ovviamente.
  • Spesso, un comune impiegato ritiene di utilizzare la posta elettronica per lo scambio di dati poco rilevanti, soprattutto quando, in conformità alle politiche aziendali, non ne fa anche un uso personale e non tratta dati espressamente classificati come riservati. Questa convinzione, che ha come conseguenza, solitamente, l’adozione di credenziali deboli, semplici da ricordare e da digitare, lo espone maggiormente ad una violazione dell’account di posta elettronica, che può essere utilizzato, ad esempio, per inserirsi in una conversazione con un cliente e venire a conoscenza della conclusione di un contratto. Al criminale sarà sufficiente far seguire alla conferma d’ordine un ulteriore messaggio (che risulterà partito, anche come indirizzo reale, dalla casella di posta aziendale in uso al dipendente) con il quale segnalare che l’IBAN inserito nel contratto non è utilizzabile (ad esempio, per una verifica fiscale in corso), comunicando un IBAN alternativo per il versamento. Se il cliente non avrà la sensibilità di controllare telefonicamente, tramite un numero già noto, la richiesta di variazione, eseguirà il pagamento e, cosa ancor peggiore, sarà liberato dall’obbligazione, avendo ricevuto il messaggio dalla mailbox della vittima, che non potrà, quindi, pretendere un ulteriore pagamento per la stessa fornitura.
  • Sfruttando l’immagine di un noto corriere italiano, un messaggio invita a consultare la nota allegata o il sito di cui espone il link, per prendere visione delle fatture non pagate o dei pacchi in giacenza, pena l’interruzione del servizio o la restituzione dei beni al mittente. Solitamente il link o l’allegato contengono un malware che esfiltra i dati dal dispositivo della vittima e procede alla cifratura della memoria interna. Successivamente, un nuovo messaggio chiede un riscatto – generalmente in bitcoin – per evitare la pubblicazione delle informazioni ed ottenere la chiave di sblocco.
  • Per aggirare i sistemi di doppia autenticazione predisposti dagli Istituti di credito, alcuni criminali utilizzano un sottile stratagemma: grazie all’uso di sistemi VoIP, creano utenze telefoniche virtuali con le quali  trasmettono, agli smartphone delle vittime, messaggi SMS che si accodano a quelli effettivamente provenienti dalla banca, inducendo in errore il destinatario sull’origine della comunicazione. Il messaggio invita a scaricare un aggiornamento dell’app tramite link (e la conseguenza può essere quella di cui al punto precedente) o, più di recente, a chiamare un numero verde per dare conferma di alcuni addebiti sospetti che stanno per essere caricati sul conto corrente dell’interessato. Al numero verde risponde un operatore che, con atteggiamento gentile e professionale, informa la vittima di addebiti che, ovviamente, non ha mai autorizzato e, dopo aver spostato l’attenzione su tale problema, chiede le credenziali di autenticazione per “verificare” che il cliente sia effettivamente titolare del conto (primo inganno) e, successivamente, lo invita a fornirgli il codice dispositivo per annullare l’operazione (secondo inganno). In tal modo, aggirando il sistema di autenticazione a due fattori che dovrebbe garantire la sicurezza delle transazioni, ottiene dalla stessa vittima i codici necessari per eseguire il bonifico su un conto estero, dal quale i fondi saranno immediatamente rimossi.

Appare evidente che, contro simili meccanismi di frode, focalizzati prevalentemente sull’elemento umano per aggirare le misure di sicurezza applicate, non vi sono soluzioni di tipo tecnologico ma occorre invece investire sulla cultura della sicurezza informatica, attraverso la formazione costante del personale dipendente e degli stessi manager e proprietari, in quanto principali destinatari di tali tipologie di aggressione. Non a caso, sia la ISO 27000 per la sicurezza informatica che il Reg. UE 679/2016 per la tutela dei dati personali pongono particolare attenzione alle politiche e procedure che regolano l’attività delle risorse umane e alla formazione del personale.

Gianluca Pomante

Fonte Sicurezza Magazine