Nel Disinformatico è capitato spesso di
parlare di social engineering, ossia l'arte subdola di
indurre le persone a compiere azioni pericolose o abbassare le
proprie difese usando soltanto la persuasione psicologica.
Knowbe4.com
ha pubblicato un elenco di quelli che definisce i sette vizi capitali
di questo settore, ossia le sette leve psicologiche principali
utilizzate dai truffatori. Eccoli, con alcuni esempi ispirati da
episodi realmente accaduti.
Curiosità. Si lascia in giro
un'esca che incuriosisce la vittima, per esempio una penna USB nei
bagni del reparto amministrativo dell'azienda, e si aspetta che
qualche dipendente la raccolga e la inserisca nel PC di lavoro. La
penna contiene malware, che a quel punto invade la rete aziendale
dall'interno.
Cortesia. L'aggressore sceglie
una vittima specifica, ne studia la vita personale e poi invia una
proposta che si adatta perfettamente agli interessi o ai bisogni
della vittima (per esempio un documento PDF che invita a un evento
che interessa molto il bersaglio). Il PDF è infetto e la vittima si
fida ad aprirlo perché ha stabilito con il mittente un rapporto di
cortesia.
Ingenuità. L'aspirante intruso
si procura un nome di dominio molto simile a quello di una banca e
poi contatta via mail alcuni dei dipendenti dell'istituto, mandando
dal dominio falso mail di autorizzazione. I dipendenti le ricevono e
quando si presenta allo sportello un complice dell'aggressore i
dipendenti gli concedono di incassare un assegno falso.
Avidità. Qualcuno vi offre via
Internet un affarone che vi può cambiare la vita ma è un po' losco?
Magari vi dice che potete riscuotere una vincita ingente, se solo
anticipate qualche centinaio di franchi per le spese amministrative?
Metodi classici, che oggi prendono forme sempre più ridicole proprio
per preselezionare le vittime più probabili.
Sconsideratezza. Un tecnico che
lavora agli impianti nucleari iraniani dovrebbe rendersi conto che
magari qualche servizio segreto straniero potrebbe essere interessato
a spiarlo, ma l'attacco informatico che ha danneggiato le centrifughe
iraniane è stato messo a segno dando una semplice penna USB a uno di
questi tecnici, che l'ha inserito non nel PC di casa, ma nel computer
che usava per lavoro e che collegava alle centraline di gestione
delle centrifughe per programmarle. In questo modo è stata
scavalcata la barriera di separazione fra Internet e gli impianti
iraniani.
Timidezza. Un sosia di Brad Pitt
si avvicina al banco della ricezione dell'azienda presa di mira e
chiede scusa per il ritardo. Sorride e chiede un favore alla
ricezionista: può stampare una copia nuova di un documento sul quale
ha appena rovesciato il caffé? Porge una penna USB alla donna, che è
ammaliata dal sorriso dell'uomo e dimentica che una penna USB può
infettare una stampante di rete e da lì permettere di penetrare
nell'intera rete aziendale.
Apatia. Vari dipendenti di un
reparto spedizioni ricevono la stessa mail (fasulla) che simula di
provenire da un corriere e contiene un link. Nessuno di loro si
sofferma con il mouse per qualche istante sul link per vedere se
porta davvero al sito del corriere; nessuno di loro segnala agli
altri l'anomalia. Due di loro cliccano sul link e infettano i propri
PC.
Nessun commento:
Posta un commento