2013/05/31

I sette vizi capitali delle truffe in Rete

Questo articolo era stato pubblicato inizialmente il 31/05/2013 sul sito della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la consultazione.

Nel Disinformatico è capitato spesso di parlare di social engineering, ossia l'arte subdola di indurre le persone a compiere azioni pericolose o abbassare le proprie difese usando soltanto la persuasione psicologica. Knowbe4.com ha pubblicato un elenco di quelli che definisce i sette vizi capitali di questo settore, ossia le sette leve psicologiche principali utilizzate dai truffatori. Eccoli, con alcuni esempi ispirati da episodi realmente accaduti.

Curiosità. Si lascia in giro un'esca che incuriosisce la vittima, per esempio una penna USB nei bagni del reparto amministrativo dell'azienda, e si aspetta che qualche dipendente la raccolga e la inserisca nel PC di lavoro. La penna contiene malware, che a quel punto invade la rete aziendale dall'interno.

Cortesia. L'aggressore sceglie una vittima specifica, ne studia la vita personale e poi invia una proposta che si adatta perfettamente agli interessi o ai bisogni della vittima (per esempio un documento PDF che invita a un evento che interessa molto il bersaglio). Il PDF è infetto e la vittima si fida ad aprirlo perché ha stabilito con il mittente un rapporto di cortesia.

Ingenuità. L'aspirante intruso si procura un nome di dominio molto simile a quello di una banca e poi contatta via mail alcuni dei dipendenti dell'istituto, mandando dal dominio falso mail di autorizzazione. I dipendenti le ricevono e quando si presenta allo sportello un complice dell'aggressore i dipendenti gli concedono di incassare un assegno falso.

Avidità. Qualcuno vi offre via Internet un affarone che vi può cambiare la vita ma è un po' losco? Magari vi dice che potete riscuotere una vincita ingente, se solo anticipate qualche centinaio di franchi per le spese amministrative? Metodi classici, che oggi prendono forme sempre più ridicole proprio per preselezionare le vittime più probabili.

Sconsideratezza. Un tecnico che lavora agli impianti nucleari iraniani dovrebbe rendersi conto che magari qualche servizio segreto straniero potrebbe essere interessato a spiarlo, ma l'attacco informatico che ha danneggiato le centrifughe iraniane è stato messo a segno dando una semplice penna USB a uno di questi tecnici, che l'ha inserito non nel PC di casa, ma nel computer che usava per lavoro e che collegava alle centraline di gestione delle centrifughe per programmarle. In questo modo è stata scavalcata la barriera di separazione fra Internet e gli impianti iraniani.

Timidezza. Un sosia di Brad Pitt si avvicina al banco della ricezione dell'azienda presa di mira e chiede scusa per il ritardo. Sorride e chiede un favore alla ricezionista: può stampare una copia nuova di un documento sul quale ha appena rovesciato il caffé? Porge una penna USB alla donna, che è ammaliata dal sorriso dell'uomo e dimentica che una penna USB può infettare una stampante di rete e da lì permettere di penetrare nell'intera rete aziendale.

Apatia. Vari dipendenti di un reparto spedizioni ricevono la stessa mail (fasulla) che simula di provenire da un corriere e contiene un link. Nessuno di loro si sofferma con il mouse per qualche istante sul link per vedere se porta davvero al sito del corriere; nessuno di loro segnala agli altri l'anomalia. Due di loro cliccano sul link e infettano i propri PC.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili