Il social hacking, più conosciuto forse come social engineering (ingegneria sociale) è probabilmente una delle forme più pericolose di attacco che può essere portato nei nostri confronti e nei confronti dei dati che custodiamo; conoscerne le caratteristiche è il primo passo per difendersi.
Talvolta, quando un criminale riesce a violare il sistema di sicurezza posto a difesa di una rete informatica, o di un singolo computer, lo fa mediante un utilizzo dello strumento informatico che potremmo sicuramente definire come minimale.Abbastanza sovente, infatti, le reti informatiche vengono utilizzate solo per reperire una serie di informazioni, che poi vengono utilizzate contro un’organizzazione, o un singolo individuo, mediante l’inganno, oppure sfruttandole attraverso canali meno tecnologici, quali l’uso del telefono ed il contatto diretto con le persone.
In uno dei casi più eclatanti di social hacking del quale si sia avuta notizia pubblicamente, verificatosi nel corso del 2015, due ragazzini sono riusciti ad avere accesso all’account di posta elettronica personale del Direttore della C.I.A. John Brennan, utilizzando esclusivamente tecniche di ingegneria sociale, poste in essere nei confronti di impiegati e tecnici del fornitore di connettività statunitense Verizon.
Per proteggersi da un attacco portato a termine mediante tecniche di ingegneria sociale, bisogna innanzitutto tenere le proprie informazioni personali e quelle relative ai propri account al sicuro (nel caso ve lo stiate domandando, il post-it con la password, unica per tutti i vostri 7.458 account, appiccicato sotto il passamano della scrivania non è un metodo di conservazione sicuro).
Inoltre, scegliere con oculatezza i fornitori di servizi online per connettività, posta elettronica, archiviazione, cloud, VPN, tra quelli che offrono le migliori garanzie sotto il profilo della sicurezza degli accessi e della conservazione dei dati.
Quando è possibile, è bene scegliere un fornitore di servizi che sia in grado di offrire un’autenticazione a due fattori; in questo modo, al malintenzionato di turno non sarà sufficiente conoscere la vostra data di nascita (una delle password più “gettonate” in assoluto) per resettarvi l’account!
Si devono prendere, inoltre, le precauzioni necessarie per rendere più sicuro il proprio computer personale (1).
Una cosa importante almeno quanto gli accorgimenti appena descritti è però quella di conoscere le tecniche più utilizzate dai malintenzionati per carpire informazioni, così da non caderne vittima senza volere.
Ecco dunque, sinteticamente descritte, le sei più comuni tecniche di ingegneria sociale della cui esistenza si dovrebbe essere a conoscenza, al fine di proteggere i propri dati.

1. I pretesti.
Chi aspira ad essere il nuovo proprietario dei nostri dati molto probabilmente ci contatterà con un pretesto, che sarà più o meno credibile a seconda di quanto impegno egli avrà messo nel fare ricerche su di noi. Questo pretesto potrà essere utilizzato sia per verificare le informazioni di cui egli è già entrato in possesso, come anche per acquisirne di nuove. In particolare, un malintenzionato potrebbe utilizzare le informazioni di cui è già venuto in possesso per indurci a ritenere che egli sia legittimato ad ottenerne di ulteriori.

2. I diversivi
L’esempio più classico di questa tattica, utile sia per acquisire informazioni che anche per portare a segno vere e proprie truffe, è costituito dall’email, apparentemente proveniente da un fornitore, che ci informa di avere appena cambiato il conto corrente per gli accrediti e che ci prega di effettuare il bonifico per l’ordine appena presentato su questo nuovo conto; indovinate a chi è intestato questo “nuovo” conto? (ovviamente questo tipo di diversivo presuppone una precedente attività “a monte” sul bersaglio designato).
Una forma ancora più semplice di diversivo, questa volta mirata principalmente all’acquisizione di informazioni, è quella di riuscire ad aggiungere, ad un elenco di indirizzi email, un nuovo indirizzo, che ovviamente non ha nulla a che vedere con quelli legittimati a ricevere le informazioni veicolate.

3. Gli adescamenti
La versione più comune di questa tattica si concretizza in una chiavetta USB lasciata in luogo in cui transitiamo quotidianamente, tipicamente un androne, un parcheggio, il pianerottolo delle scale o il tavolino accanto al nostro al bar; ovviamente conterrà, oltre a foto, filmati e musica, anche uno o più programmi malevoli, che infetteranno il nostro computer non appena la connetteremo. In un attacco ben congegnato, i vettori di infezioni saranno stati preparati appositamente per il nostro specifico computer e saranno naturalmente anche in grado di occultarsi ai più comuni antivirus.
Ovviamente un adescamento potrà anche essere meno “tecnico” di quello appena descritto, nella forma di una persona abbastanza abile da essere in grado di indurci a rivelare informazioni rilevanti (tipo una bella donna con una ragguardevole scollatura se il bersaglio è un maschietto, tanto per intenderci).

4. Rivendicare autorità
Specialmente nelle grandi realtà lavorative, può essere difficile, per una persona, conoscere tutti i soggetti che possano ipoteticamente esercitare un’autorità su di lui. Un attaccante motivato può quindi fingersi un superiore e fare pressione su di un soggetto, affinché riveli le informazioni di interesse. In luoghi nei quali la sicurezza dei dati assume particolare rilevanza, è quindi necessario che la catena di comando sia chiaramente conosciuta da tutti, affinché ciascuno abbia ben chiaro chi può accedere a quale dato e sia dunque in grado di poter rifiutare di fornire informazioni a chi non è autorizzato a riceverle.

5. Sfruttare la gentilezza
Siamo quasi tutti generalmente inclini a ritenere che le persone intorno a noi siano animate da buone intenzioni. Si tratta di un atteggiamento sicuramente positivo, ma dal punto di vista della sicurezza delle informazioni, può diventare un presupposto con effetti potenzialmente devastanti. Un attaccante determinato farà sicuramente buon uso della vostra gentilezza d’animo e della vostra fiducia nel prossimo. Tenetelo a mente.

6. Le associazioni mentali
La mente umana è generalmente veloce nel saltare alle conclusioni sbagliate, quando ciò che le viene presentato può essere associato a qualcosa di familiare. Questo spiega perché ci pare di vedere l’immagine del volto della vergine Maria su un toast (2) o una donna che si staglia contro il profilo dell’orizzonte di Marte (3). Un malintenzionato può servirsi di questo genere di associazioni mentali per impersonare qualcuno che non è, fornendoci solo poche ma mirate indicazioni, che la nostra mente andrà ad associare alla persona con la quale crediamo di stare conversando. Chi era quella persona con la quale stavate parlando poco fa al telefono del prossimo security audit? Sarà sicuramente stata Mario Rossi del reparto I.T., perché è sempre lui che chiama per queste cose. Ma se non era Mario Rossi, allora a chi avete appena dato la password del vostro account?

Note:
https://www.intego.com/mac-security-b…l-hacking/
(1): https://www.intego.com/mac-security-b…r-privacy/
(2): http://news.bbc.co.uk/2/hi/4034787.stm
(3): http://www.express.co.uk/news/science…as-lookout