Qualche settimana fa vi abbiamo raccontato la storia dell’hacking di un account iCloud (il servizio di cloud computing di Apple) e, più recentemente, l’esperimento condotto dalla Radiotelevisione Svizzera, che si è servita di un esperto di sicurezza informatica per cercare di sottrarre i dati personali di alcuni cittadini volontari. In entrambi i casi, gli hacker hanno fatto ricorso al social engineering (ingegneria sociale): questa definizione comprende l’insieme delle tecniche psicologiche messe in atto dai truffatori quando l’informatica non è sufficiente o quando le procedure informatiche sono troppo complesse da mettere in atto. In pratica, anziché entrare direttamente negli account o nelle reti delle vittime, il truffatore utilizza la psicologia, sia contro la vittima prescelta, sia assumendone l’identità per effettuare chiamate e accessi.

Nel primo caso, il truffatore prepara una email che risulti credibile, possibilmente dopo aver studiato la vita e le abitudini della persona prescelta grazie alle informazioni che sono disponibili online, e nasconde un’esca all’interno di questa email: di solito si tratta di un link a un sito fasullo, attraverso il quale potrà entrare in possesso di alcuni dati personali. Se ricorre a un trojan, il malintenzionato potrebbe avere accesso completo al computer della vittima. Si tratta di un’azione simile al phishing, ma non è detto che il messaggio provenga da una banca, da un servizio postale o finanziario: a volte il mittente simulato può essere una qualche autorità (per esempio la Polizia postale), che chiede di pagare una sanzione per un ipotetico comportamento illegale (come il download di file protetti da diritto d’autore).

Nel secondo caso, il truffatore può chiamare il servizio di assistenza clienti di un sito a cui l’utente è registrato, chiedendo di modificare i dati già presenti oppure ottenendo una nuova password, anche questa volta utilizzando solamente le informazioni che si riescono a recuperare in rete (indirizzo di posta elettronica, indirizzo fisico, data di nascita).

In entrambi i casi, in poche e semplici mosse, le vittime si vedono sottratti dati personali: non solo username e password per accedere a vari servizi, ma anche carte di credito e codici per l’accesso all’e-banking. I danni che questo comporta sono abbastanza facili da immaginare.

Nei casi in cui l’ingegneria sociale sia mirata agli utenti, il migliore antivirus è la nostra attenzione: non dobbiamo fidarci di messaggi che provengono da mittenti non conosciuti, non dobbiamo aprirne gli allegati né dobbiamo cliccare i link che vi sono contenuti, anche se si presentano come corretti (mascherare url in un messaggio di posta è molto facile). Come riassume il giornalista informatico Paolo Attivissimo, le principali leve che utilizzano i truffatori sono autorevolezza, colpa

panico, ignoranza, desiderio, avidità, buoni sentimenti.

Alla sicurezza, però, devono pensare anche le aziende, le cui procedure di assistenza, almeno nei casi citati, si sono rivelate piuttosto discutibili, anche se le aziende stesse hanno comunicato che si è trattato di leggerezze del personale coinvolto, responsabile di non aver seguito i protocolli di sicurezza.