Le tante strade del social engineering e perché non riusciamo mai a prevenirlo

Vi ricordate quando da bambini vi dicevano di non accettare caramelle dagli sconosciuti? Bene, quando si parla di social engineering, praticamente, si fa riferimento allo stesso monito, soltanto in formato digitale. Non è un caso se oggi, ancor più degli attacchi hacker tradizionali, ancor più delle violazioni delle policies di sicurezza, ancor più del phishing – o in abbinata con quest’ultimo -, il social engineering è uno degli strumenti maggiormente utilizzati per carpire, senza autorizzazione, dei dati personali o delle informazioni riservate ai vari utenti delle piattaforme digitali. Il social engineering si basa su quelle che sono le nostre debolezze: il rapporto e la relazione con altre persone che cercano di conquistarsi la nostra fiducia. È un aspetto della società che si è acuito fortemente nel corso dei due anni di pandemia, all’epoca del distanziamento e del lockdown: in un mondo dove le frequentazioni nella vita reale erano diventate sempre più rare, le uniche forme di contatto erano rappresentate dalle piattaforme online. Di conseguenza, era molto più possibile che qualche sconosciuto entrasse in contatto con noi, con la scusa di conoscersi, per poi mostrare soltanto alla fine le sue reali e truffaldine intenzioni. Ma procediamo con ordine.

LEGGI ANCHE > Cos’è il phishing, il tentativo di truffa digitale primordiale (ma tuttora in voga)

Cos’è il social engineering e come funziona

Sono diverse le forme di social engineering che si stanno sviluppando negli ultimi tempi e sempre più spesso utilizzano i social network per mettersi in contatto con gli utenti. In maniera direttamente proporzionale alla crescita dell’importanza di piattaforme come Facebook, Twitter, Instagram, ma anche Tinder, Onlyfans e altri luoghi virtuali dove le relazioni sono alla base del meccanismo di funzionamento, sono aumentati anche i casi di social engineering. Ovviamente, questi ultimi avvengono anche attraverso altri canali: il numero di telefono, ad esempio, o ancora l’indirizzo mail. Spesso, i malintenzionati cercano di offrire qualche vantaggio all’utente chiedendogli di rispondere a dei messaggi; si fa finta di essere qualcuno e di intavolare una conversazione per ottenere dei dati riservati; ci si propone come risolutori di un problema inventato (che magari coinvolge i dispositivi digitali degli utenti) per poi approfittare della buona fede degli utenti e ingannarli nel momento in cui questi ultimi ripongono la loro fiducia proprio in chi, in realtà, ha soltanto cattive intenzioni.

Alcuni recenti esempi di social engineering, che riguardano anche l’attualità

Per dare un’idea su quelle che sono le caratteristiche delle ultime tecniche di social engineering, abbiamo fatto riferimento a quanto accaduto in Ucraina. Un gruppo di hacktivisti ucraini, che ha voluto dare un proprio contributo patriottico alla causa del proprio Paese, ha chattato per lungo tempo con dei soldati russi, con l’obiettivo di conquistare la loro fiducia. Per farlo, questi hacker si sono nascosti dietro al profilo di donne particolarmente avvenenti. Con la scusa di ottenere fotografie dei soldati, gli stessi hacker sono riusciti a localizzarli e a girare queste informazioni alle autorità ucraine. Che poi hanno attaccato proprio quel nucleo di soldati che, ormai, era stato localizzato.

Ma anche nei contesti di vita quotidiana e di vita vissuta il social engineering rappresenta un elemento ricorsivo. Ad esempio, nei DM di Instagram spesso i malintenzionati si fingono nostri contatti e si fingono in difficoltà per chiedere il nostro aiuto. Alla fine, attraverso dei link riescono a ingannare le persone in buona fede, che magari pensavano di offrire loro un valido supporto al recupero del loro account Instagram o delle loro password. La stessa cosa, sempre attraverso le Instagram stories, avviene quando i soliti malintenzionati ci attraggono con delle presunte vincite o promettendo una scontistica importante su determinati prodotti.

Come tutelarsi da questo fenomeno

Tuttavia, ci sono dei modi per tutelarsi dal social engineering, per difendersi e per allontanare questi veri e propri tentativi di truffa. Un punto di partenza molto importante è rappresentato senz’altro dall’educazione digitale: informarsi e leggere notizie legate a truffe online, legate a sistemi di abbattimento delle barriere fisiche tra hacker e utenti, imparare a utilizzare bene i social network e gli altri strumenti digitali a nostra disposizione è sicuramente utile a costruirsi una cultura di base che ci farà sempre sospettare quando riceviamo, online, delle richieste anomale.

Bisogna sempre verificare la provenienza dei messaggi, stare attenti e in campana quando un nostro contatto – che magari non abbiamo sentito da diverso tempo – torna a farsi vivo con delle richieste che ci sembrano anomale. Bisogna, poi, ribadire ancora una volta che offerte eccessivamente allettanti (promesse di smartphone gratuiti, di investimenti a basso costo che si rivelano avere dei ritorni milionari, di vincite di premi in denaro per il solo fatto di aver cliccato su un link) non corrispondono a quanto avviene nella realtà. Dove il marketing è una cosa seria e dove gli investimenti non fruttano di certo soldi facili nell’immediato.

Chiunque, anche dopo aver conquistato la nostra fiducia attraverso lunghe conversazioni o lunghi scambi di mail o di messaggi su piattaforme digitali, chieda i nostri dati bancari o le nostre password non può avere di certo delle buone intenzioni. Ma occorre stare molto attenti anche a utenti che inviano link sospetti, che puntano a domini non verificabili: una buona soluzione potrebbe essere quella di fare sempre una verifica del link. Con il tasto destro del mouse, infatti, è possibile verificare la destinazione del link prima di cliccarci sopra. E se questa destinazione non sembra avere nulla a che vedere con il testo contenuto nello slug, ecco che allora potrebbero esserci problemi molto seri. Attenzione anche ai domini di terzo livello, che spesso ingannano più di ogni altra cosa: questi ultimi, infatti, possono essere rassicuranti perché possono contenere delle parole che ci sono familiari; ma è quello che viene dopo che fa fede. E se quello che viene dopo non ha alcun collegamento con la parola che ci suona familiare, allora ecco che bisogna assolutamente avere dei sospetti su quello che ci è stato inviato.

Il social engineering continuerà a proliferare: soltanto nel 2021, situazioni del genere si sono verificate in grande quantità, con un aumento esponenziale rispetto al periodo precedente. Nell’ultimo anno, i casi di social engineering sono cresciuti del 270% e la tendenza è confermata anche in questo 2022. Una buona educazione digitale può salvarci da situazioni decisamente fastidiose.