Pretexting
Il pretexting è un tipo di attacco di ingegneria sociale che sfrutta una situazione creata ad arte dall'aggressore per attirare la vittima in una situazione vulnerabile, così da indurla con l'inganno a fornire informazioni private, in particolare informazioni che la vittima in genere non fornirebbe al di fuori del contesto del pretesto.[1] Nella sua storia, il pretexting è descritto come la prima fase dell'ingegneria sociale ed è stato utilizzato dall'FBI nel corso delle indagini.[2] Un esempio specifico di pretexting è l'ingegneria sociale inversa, in cui l'aggressore inganna la vittima inducendola a contattare per prima l'aggressore.
La prevalenza del pretexting tra gli attacchi di ingegneria sociale è dovuta al fatto che si basa sulla manipolazione della mente umana per ottenere l'accesso alle informazioni desiderate dall'aggressore, invece di dover hackerare un sistema tecnologico. Nel cercare le vittime, gli aggressori possono prestare attenzione a numerose caratteristiche, come la capacità di fidarsi, la bassa percezione della minaccia, la reazione all'autorità e la predisposizione a reagire con paura o eccitazione in differenti contesti.[3][4] Nel corso della sua storia, gli attacchi di pretexting sono diventati via, via sempre più complessi, passando dalla semplice manipolazione degli operatori al telefono durante il secolo scorso, fino allo scandalo della Hewlett Packard, che ha interessato numeri di previdenza sociale, telefoni e banche.[5] Attualmente, nelle organizzazioni vengono utilizzati quadri didattici sull'ingegneria sociale, anche se i ricercatori del mondo accademico hanno suggerito possibili miglioramenti a tali contesti.[6]
Quadro generale
modificaIngegneria sociale
modificaL'ingegneria sociale è una tattica di manipolazione psicologica che porta alla risposta involontaria o inconsapevole del bersaglio/vittima.[7] Si tratta di una delle principali minacce alla sicurezza informatica nel mondo odierno: colpisce le organizzazioni, la gestione aziendale e le industrie.[7] Gli attacchi di ingegneria sociale sono considerati difficili da prevenire a causa della loro radice nella manipolazione psicologica.[8] Questi attacchi possono anche raggiungere una dimensione più ampia. In caso di attacchi di sicurezza di altro tipo, potrebbe essere violata un'azienda che detiene i dati dei clienti. Con gli attacchi di ingegneria sociale, sia l'azienda (in particolare i lavoratori all'interno dell'azienda), sia il cliente sono direttamente suscettibili a essere presi di mira.[8]
Un esempio è dato dal settore bancario, dove possono essere attaccati non solo i dipendenti della banca, ma anche i clienti. Gli aggressori legati all'ingegneria sociale si rivolgono direttamente ai clienti e/o ai dipendenti per aggirare il tentativo di hackerare un sistema puramente tecnologico e sfruttano le vulnerabilità umane.[8]
Anche se la sua definizione in relazione alla sicurezza informatica sia stata distorta da diverse pubblicazioni, un elemento comune è che l'ingegneria sociale (nella cybersecurity) sfrutta le vulnerabilità umane per violare entità come computer e tecnologie dell'informazione.[2]
Al momento, la letteratura e la ricerca sull'ingegneria sociale sono scarse. Tuttavia, una parte importante della metodologia di ricerca sull'ingegneria sociale consiste nel creare un pretesto artificioso. Quando si valuta quali sono gli attacchi di ingegneria sociale più pericolosi o dannosi (come il phishing, vishing e water-hole), la tipologia di pretesto è un fattore largamente insignificante, dato che alcuni attacchi possono avere più pretesti. Pertanto, il pretexting stesso è ampiamente utilizzato, non solo come attacco a sé stante, ma come componente di altri.[9]
Il pretexting nella cronologia dell'ingegneria sociale
modificaNell'ambito della cybersecurity, il pretexting può essere considerato uno dei primi stadi evolutivi dell'ingegneria sociale. Per esempio, mentre l'attacco di ingegneria sociale noto come phishing si basa su oggetti moderni come le carte di credito e avviene principalmente nel contesto elettronico, il pretexting era, e può, essere attuato senza la tecnologia.[10]
Il pretesto è stato uno dei primi esempi di ingegneria sociale. Coniato dall'FBI nel 1974, il concetto di pretexting veniva spesso utilizzato come ausilio nelle indagini. In questa fase, il pretexting consisteva in un aggressore che chiamava la vittima chiedendo semplicemente informazioni.[2] Gli attacchi di pretexting consistono solitamente in tattiche di persuasione. Dopo questa fase iniziale dell'evoluzione dell'ingegneria sociale (1974-1983), il pretexting si è trasformato non solo in tattiche di persuasione, ma anche in tattiche di inganno. Con lo sviluppo della tecnologia, i metodi di pretexting si sono sviluppati di pari passo. Ben presto gli hacker hanno avuto accesso a un pubblico più ampio di vittime grazie alla diffusione dei social media.[2]
Ingegneria sociale inversa
modificaL'ingegneria sociale inversa è un esempio più specifico di pretexting.[1] Si tratta di una forma non elettronica di ingegneria sociale in cui l'aggressore crea un pretesto con cui l'utente viene manipolato per contattare l'aggressore per primo, anziché il contrario.
Generalmente, gli attacchi di ingegneria inversa prevedono che l'aggressore pubblicizzi i propri servizi come una sorta di aiuto tecnico, garantendo la propria credibilità. In seguito, la vittima viene indotta a contattare l'aggressore dopo aver visto la pubblicità, senza che l'aggressore contatti direttamente la vittima. Una volta che un aggressore è riuscito a portare a termine un attacco di ingegneria sociale inversa, è possibile sferrare un'ampia gamma di attacchi di ingegneria sociale grazie al falso senso di fiducia creato tra l'aggressore e vittima (per esempio, l'aggressore può fornire alla vittima un link malevolo sostenendo che si tratta di una soluzione al problema della vittima. Grazie al legame tra l'aggressore e la vittima, quest'ultima sarà portata a credere all'aggressore e a cliccare sul link dannoso).[11]
Aspetto sociale
modificaIl pretexting è stato e continua a essere considerato una tattica utile negli attacchi di ingegneria sociale. Secondo i ricercatori, ciò è legato al fatto che non si basa sulla tecnologia (come l'hacking nei sistemi informatici o la violazione della tecnologia). Il pretexting può avvenire online, ma si basa maggiormente sull'utente e sugli aspetti della sua personalità che l'aggressore può utilizzare a proprio vantaggio.[12] Gli attacchi che dipendono maggiormente dall'utente sono più difficili da tracciare e controllare, poiché ogni persona risponde in modo differente agli attacchi di ingegneria sociale e di pretexting. L'attacco diretto a un computer, invece, può richiedere meno sforzi per essere gestito, poiché i computer funzionano in maniera relativamente simile.[12] Esistono alcune caratteristiche degli utenti che gli aggressori individuano e prendono di mira. Nel mondo accademico, alcune caratteristiche comuni[13] sono:
Premio
modificaSe la vittima è "premiata", significa che ha qualche tipo di informazione che l'ingegnere sociale desidera.[3]
Capacità di fidarsi
modificaL'affidabilità va di pari passo con la simpatia, poiché in genere più una persona è simpatica, più è affidabile.[13] Allo stesso modo, quando si instaura un rapporto di fiducia tra l'ingegnere sociale (l'aggressore) e la vittima, si stabilisce anche un rapporto di credibilità. Pertanto, è più facile che la vittima divulghi informazioni personali all'aggressore se è disposta a confidarsi con maggiore facilità.[4]
Suscettibilità a reagire
modificaQuanto facilmente una persona reagisce agli eventi e in che misura può essere usata a favore di un ingegnere sociale? In particolare, emozioni come l'eccitazione e la paura vengono spesso utilizzate per convincere le persone a divulgare informazioni. Per esempio, si può creare un pretesto in cui l'ingegnere sociale prospetta un premio eccitante per la vittima se questa accetta di fornire all'ingegnere sociale le proprie coordinate bancarie. La sensazione di eccitazione può essere utilizzata per attirare la vittima nel pretesto e convincerla a fornire all'aggressore le informazioni ricercate.[13]
Bassa percezione della minaccia
modificaNonostante la consapevolezza dell'esistenza di minacce, quando si compie un'azione online, la maggior parte delle persone compie azioni contrarie, come cliccare su link casuali o accettare richieste di amicizia sconosciute.[13] Questo perché una persona percepisce l'azione come una bassa minaccia o una conseguenza negativa. Questa mancanza di paura/pericolo, nonostante la consapevolezza della sua presenza, è un altro motivo per cui gli attacchi di ingegneria sociale, in particolare il pretexting, sono molto diffusi.[14]
Risposta alle autorità
modificaSe la vittima è sottomessa e compiacente, è più probabile che l'aggressore riesca a portare a termine l'attacco. In particolare se viene creato un pretesto in cui la vittima ritiene che l'aggressore sia un'autorità.[13]
Esempi
modificaPrimi pretexting (1970-80)
modificaL'articolo dell'ottobre 1984 Switching centres and Operators descriveva un attacco pretestuoso comune all'epoca. Gli aggressori erano soliti contattare gli operatori che operavano specificamente per le persone non udenti che utilizzavano le telescriventi. La filosofia era che questi operatori fossero spesso più pazienti degli altri, per cui fosse più facile manipolarli e convincerli a fornire le informazioni che l'aggressore desiderava.[2]
Esempi recenti
modificaUno dei più importanti è lo scandalo Hewlett Packard. L'azienda Hewlett Packard voleva sapere chi stava facendo trapelare informazioni ai giornalisti. Per farlo, ha fornito agli investigatori privati le informazioni personali dei dipendenti (come i numeri di previdenza sociale) e gli investigatori privati hanno a loro volta chiamato le compagnie telefoniche spacciandosi per quei dipendenti nella speranza di ottenere i tabulati delle chiamate. Quando lo scandalo è stato scoperto, l'amministratore delegato si è dimesso.[15]
In generale, i socialbot sono falsi profili di social media gestiti da macchine e utilizzati dagli aggressori di ingegneria sociale. Su siti di social media come Facebook, i socialbot possono essere utilizzati per inviare richieste di amicizia di massa al fine di trovare il maggior numero possibile di potenziali vittime.[5] Utilizzando tecniche di ingegneria sociale inversa, gli aggressori possono usare i socialbot per ottenere quantità massicce di informazioni private su molti utenti dei social media.[16]
Quadro educativo attuale
modificaGli attuali quadri educativi sul tema dell'ingegneria sociale si dividono in due categorie: consapevolezza e formazione. La consapevolezza è quando le informazioni sull'ingegneria sociale vengono presentate ai destinatari per informarli sull'argomento. La formazione consiste nell'insegnare le competenze necessarie che le persone impareranno e utilizzeranno nel caso in cui subiscano o possano subire un attacco di ingegneria sociale.[6] La sensibilizzazione e la formazione possono essere combinate in un unico processo intensivo quando si costruiscono strutture educative.
Sebbene siano state condotte ricerche sul successo e sulla necessità dei programmi di formazione nel contesto dell'educazione alla cybersecurity,[17] fino al 70% delle informazioni possono andare perdute quando si tratta di formazione sull'ingegneria sociale.[7] Da una ricerca sulla formazione in materia di ingegneria sociale nelle banche dell'Asia Pacifica, è emerso che la maggior parte dei programmi si limitava a trattare la sensibilizzazione o la formazione. Inoltre, l'unico tipo di attacco di ingegneria sociale insegnato era il phishing. Osservando e confrontando le politiche di sicurezza sui siti web di queste banche, le politiche contengono un linguaggio generalizzato come "malware" e "truffe", mentre mancano i dettagli dei diversi tipi di attacchi di ingegneria sociale e gli esempi di ciascuno di essi.[6]
Questa generalizzazione non giova agli utenti che vengono istruiti da questi programmi, poiché manca una notevole conoscenza quando l'utente viene istruito solo su termini generali come gli esempi sopra citati. Inoltre, i metodi puramente tecnici per combattere gli attacchi di social engineering e pretexting, come i firewall e gli antivirus, sono inefficaci. Questo perché gli attacchi di ingegneria sociale implicano tipicamente lo sfruttamento delle caratteristiche sociali della natura umana, per cui la lotta puramente tecnologica è inefficace.[18]
Note
modifica- ^ a b Frank L. Greitzer, Jeremy R. Strozer e Sholom Cohen, Analysis of Unintentional Insider Threats Deriving from Social Engineering Exploits, in 2014 IEEE Security and Privacy Workshops, IEEE, 2014-05, pp. 236–250, DOI:10.1109/SPW.2014.39. URL consultato il 13 ottobre 2022.
- ^ a b c d e Zuoguang Wang, Limin Sun e Hongsong Zhu, Defining Social Engineering in Cybersecurity, in IEEE Access, vol. 8, 2020, pp. 85094–85115, DOI:10.1109/ACCESS.2020.2992807. URL consultato il 13 ottobre 2022.
- ^ a b (EN) Kevin F. Steinmetz, The Identification of a Model Victim for Social Engineering: A Qualitative Analysis, in Victims & Offenders, vol. 16, n. 4, 19 maggio 2021, pp. 540–564, DOI:10.1080/15564886.2020.1818658. URL consultato il 13 ottobre 2022.
- ^ a b (EN) Abdullah Algarni, What Message Characteristics Make Social Engineering Successful on Facebook: The Role of Central Route, Peripheral Route, and Perceived Risk, in Information, vol. 10, n. 6, 13 giugno 2019, pp. 211, DOI:10.3390/info10060211. URL consultato il 13 ottobre 2022.
- ^ a b (EN) Abigail Paradise, Asaf Shabtai e Rami Puzis, Detecting Organization-Targeted Socialbots by Monitoring Social Network Profiles, in Networks and Spatial Economics, vol. 19, n. 3, 2019-09, pp. 731–761, DOI:10.1007/s11067-018-9406-1. URL consultato il 13 ottobre 2022.
- ^ a b c (EN) Koteswara Ivaturi e Lech Janczewski, Social Engineering Preparedness of Online Banks: An Asia-Pacific Perspective, in Journal of Global Information Technology Management, vol. 16, n. 4, 2013-10, pp. 21–46, DOI:10.1080/1097198X.2013.10845647. URL consultato il 13 ottobre 2022.
- ^ a b c (EN) Ibrahim Ghafir, Jibran Saleem e Mohammad Hammoudeh, Security threats to critical infrastructure: the human factor, in The Journal of Supercomputing, vol. 74, n. 10, 2018-10, pp. 4986–5002, DOI:10.1007/s11227-018-2337-2. URL consultato il 13 ottobre 2022.
- ^ a b c (EN) David Airehrour, Nisha Vasudevan Nair e Samaneh Madanian, Social Engineering Attacks and Countermeasures in the New Zealand Banking System: Advancing a User-Reflective Mitigation Model, in Information, vol. 9, n. 5, 3 maggio 2018, pp. 110, DOI:10.3390/info9050110. URL consultato il 13 ottobre 2022.
- ^ (EN) Rachel Bleiman, An Examination in Social Engineering: The Susceptibility of Disclosing Private Security Information in College Students, 18 settembre 2020, DOI:10.34944/DSPACE/365. URL consultato il 13 ottobre 2022.
- ^ Tommy Chin, Kaiqi Xiong e Chengbin Hu, Phishlimiter: A Phishing Detection and Mitigation Approach Using Software-Defined Networking, in IEEE Access, vol. 6, 2018, pp. 42516–42531, DOI:10.1109/ACCESS.2018.2837889. URL consultato il 13 ottobre 2022.
- ^ Danesh Irani, Marco Balduzzi e Davide Balzarotti, Reverse Social Engineering Attacks in Online Social Networks, vol. 6739, Springer Berlin Heidelberg, 2011, pp. 55–74, DOI:10.1007/978-3-642-22424-9_4, ISBN 978-3-642-22423-2. URL consultato il 13 ottobre 2022.
- ^ a b Ryan Heartfield e George Loukas, Protection Against Semantic Social Engineering Attacks, vol. 72, Springer International Publishing, 2018, pp. 99–140, DOI:10.1007/978-3-319-97643-3_4, ISBN 978-3-319-97642-6. URL consultato il 13 ottobre 2022.
- ^ a b c d e (EN) Michael Workman, Gaining Access with Social Engineering: An Empirical Study of the Threat, in Information Systems Security, vol. 16, n. 6, 13 dicembre 2007, pp. 315–331, DOI:10.1080/10658980701788165. URL consultato il 13 ottobre 2022.
- ^ (EN) Katharina Krombholz, Dieter Merkl e Edgar Weippl, Fake identities in social media: A case study on the sustainability of the Facebook business model, in Journal of Service Science Research, vol. 4, n. 2, 2012-12, pp. 175–212, DOI:10.1007/s12927-012-0008-z. URL consultato il 13 ottobre 2022.
- ^ (EN) Michael Workman, Wisecrackers: A theory-grounded investigation of phishing and pretext social engineering threats to information security, in Journal of the American Society for Information Science and Technology, vol. 59, n. 4, 15 febbraio 2008, pp. 662–674, DOI:10.1002/asi.20779. URL consultato il 13 ottobre 2022.
- ^ (EN) Yazan Boshmaf, Ildar Muslukhov e Konstantin Beznosov, Design and analysis of a social botnet, in Computer Networks, vol. 57, n. 2, 2013-02, pp. 556–578, DOI:10.1016/j.comnet.2012.06.006. URL consultato il 13 ottobre 2022.
- ^ (EN) Kevin F. McCrohan, Kathryn Engel e James W. Harvey, Influence of Awareness and Training on Cyber Security, in Journal of Internet Commerce, vol. 9, n. 1, 14 giugno 2010, pp. 23–41, DOI:10.1080/15332861.2010.487415. URL consultato il 13 ottobre 2022.
- ^ Ryan Heartfield, George Loukas e Diane Gan, You Are Probably Not the Weakest Link: Towards Practical Prediction of Susceptibility to Semantic Social Engineering Attacks, in IEEE Access, vol. 4, 2016, pp. 6910–6928, DOI:10.1109/ACCESS.2016.2616285. URL consultato il 13 ottobre 2022.