Carriera
it
it
Psicologa Sophie Jellema
Le persone spesso ci chiedono: che cos'è esattamente l'ingegneria sociale e se posso fare qualcosa al riguardo? Un hacker ha bisogno di informazioni per penetrare in una rete o in un sistema. Le password, ad esempio.
Per ottenerle, i criminali utilizzano l'ingegneria sociale. Ma come funziona? La psicologa Sophie Jellema risponde a 6 domande sull'ingegneria sociale.
L'ingegneria sociale è hackerare le persone, dice Sophie Jellema. È psicologa presso Bureau Veritas Cybersecurity e aiuta le aziende come ingegnere sociale etico. Un ingegnere sociale capisce come funzionano le persone e come si possono recuperare informazioni da una persona. Quando pensiamo all'hacking, pensiamo a decifrare un codice. Ma si possono hackerare anche le persone. Lo vediamo accadere sempre più spesso, perché le aziende stanno migliorando la protezione tecnica delle loro informazioni. I criminali scelgono la via d'accesso più facile, ovvero gli esseri umani".
Non è necessario essere uno psicologo per estrarre informazioni dalle persone, dice Jellema. Si tratta di capire come funzionano le persone. Diciamo che voglio scoprire la sua password. Potrei chiederglielo direttamente, ma probabilmente direbbe di no. Quindi uso una deviazione. Dico: 'Non è fastidioso digitare 14 caratteri ogni volta?'. Lei potrebbe rispondere: "No, sono solo 8". Ora so qualcosa sui requisiti delle password della sua azienda. Poiché le persone amano raccontare la loro storia, è possibile recuperare molte informazioni". Gli ingegneri sociali spesso vendono queste informazioni attraverso le reti criminali.
Sophie Jellema sta facendo una chiamata di vishing
'Uso soprattutto il telefono quando vado a caccia di password', dice Jellema. Lo faccio solo con il permesso di un'azienda. Quando telefono a un dipendente dell'azienda, di solito fingo di essere qualcuno dell'IT. Dico: 'Stiamo riscontrando delle strane attività sul suo account, può aiutarmi a controllare?' Fingo di poter vedere il suo account. Potrei chiedere: "Il suo computer è lento?". I computer sono sempre lenti, quindi è lì che ottengo il mio primo 'sì'. Li rassicuro, parliamo".
Poi dico: 'Qui sembra tutto a posto. Si è collegato alle 8.30, è corretto?". La maggior parte delle persone si collega intorno alle 9.00, quindi di solito è corretto. Poi dico: 'Vedo anche una reimpostazione della password qui. È stato lei? La sua password è ora 'welcome01'. Non può essere giusto, vero? Temo di aver bisogno della password corretta, potrebbe scriverla per me?". In media, il 60% delle persone con cui parlo al telefono mi danno la loro password. Entro circa due minuti".
Al telefono, Jellema utilizza i 7 principi della persuasione elaborati dallo psicologo americano Robert Cialdini nel 1984. Ad esempio: reciprocità e simpatia. Questi principi provengono dal marketing e funzionano molto bene per ottenere informazioni dalle persone. Potrei dire: 'Sembra che in questo momento qualcosa venga canalizzato dal suo conto. Voglio risolverlo per lei, ma ho bisogno del suo aiuto'. In questo caso si applicano le regole della simpatia e della reciprocità. Creo un po' di panico con un po' di pressione temporale e allo stesso tempo sono molto comprensivo e simpatico; se io aiuto lei, anche lei aiuterà me".
Jellema utilizza gli stessi trucchi dei veri truffatori. 'Se non fosse il mio lavoro, mi sentirei incredibilmente in colpa. Ecco perché ho sempre un colloquio di verifica con le persone che ho 'truffato'. Racconto loro cosa ho fatto e perché potrebbero esserci cascati. Forse sono scossi, quindi li rassicuro. Inoltre, in seguito, comunico sempre il mio vero nome e chiarisco che l'ho fatto per conto del loro datore di lavoro".
L'ingegneria sociale ha molte forme
Esistono molte forme di ingegneria sociale. La più nota è il phishing. Si possono ottenere informazioni in tutti i modi, spiega Jellema: 'Quello che faccio al telefono si chiama voice phishing, o vishing. E naturalmente tutti conoscono il phishing via e-mail. Vediamo anche lo smishing: il phishing via SMS. Ad esempio, nei Paesi Bassi circolano falsi messaggi di testo delle autorità fiscali: 'La preghiamo di pagarci 17,95 euro'.
Recentemente, Jellema e i suoi colleghi hanno assistito a un maggior numero di 'tailored phishing': phishing automatizzato su larga scala, che utilizza e-mail o messaggi di testo su misura. 'I criminali raccolgono informazioni dai social media per questo scopo. Il messaggio sembra totalmente destinato a lei. Non è solo: 'Ehi, nome, cognome', ma anche: 'Lavori per questa azienda da 4 anni'". Romy Schellekens, un membro del nostro team, sta attualmente conducendo una ricerca sul phishing su misura - insieme alla facoltà di Matematica e Informatica della TU Eindhoven. La nostra ipotesi è che molte più persone clicchino sui link contenuti in questo tipo di e-mail'.
Qualunque sia la forma di ingegneria sociale, secondo Jellema si tratta sempre di guadagnare fiducia o di suscitare il suo interesse. Con l'adescamento, l'ingegnere sociale utilizza un''esca', come suggerisce il nome: 'Ad esempio, potrei allegare un allegato interessante ad un'e-mail e inviarlo 'accidentalmente' a tutta l'azienda. Forse il nome del file è 'Bonus gestione anno prossimo'. Il mio malware è nascosto in quel file".
Il pretexting significa fingere di essere qualcun altro per ottenere fiducia. Spesso questo comporta diverse fasi. Un ingegnere sociale potrebbe fingersi sua figlia. Lei manda messaggi da un numero diverso perché le hanno rubato il telefono. Una volta che lei crede a questo pretesto, l'ingegnere sociale le chiederà se può trasferire del denaro sul conto di 'un amico'. Perché non solo il telefono è stato rubato, ma anche il portafoglio.
Un ingegnere sociale spesso utilizza la tecnologia per hackerare le persone. Ma è possibile svolgere il lavoro anche senza utilizzare un computer o un telefono, dice Jellema: 'A volte lavoro come ospite misterioso. Vengo letteralmente pagata per entrare in casa. Ad esempio, recentemente ho svolto un lavoro in un museo. Il compito era: fino a che punto si può penetrare nell'edificio? Quando qualcuno apriva una porta con il suo pass di accesso, io mettevo il piede nella porta. È così che sono entrato nel corridoio che portava allo studio di restauro'.
Un incarico come questo può essere piuttosto snervante, dice Jellema: 'Questo corridoio era ermeticamente chiuso. Ho visto una telecamera. Un po' più avanti c'era la cabina di guardia. Non c'era nessun posto dove nascondersi, tranne un bagno. Quindi: Mi sono nascosta in un bagno per 10 minuti. Alla fine, le guardie capo mi hanno intercettato e non mi hanno lasciato andare. Questo è quello che volete: non perdetemi di vista. Può lasciarmi alla reception, ma se mi lascia da solo, non resterò fermo - proprio come un vero ingegnere sociale'.
Si trova in ufficio e vede una persona che non appartiene a quel luogo. Cosa deve fare? Jellema consiglia: "Non permetta alle persone senza pass di entrare nell'edificio con lei. Potrebbe sembrare un po' scortese, ma io dico sempre agli estranei che cercano di seguirmi all'interno: Mi dispiace, ma abbiamo deciso di mantenere questo edificio sicuro insieme. Quindi non posso farla entrare se non so cosa ci fa qui".
Se un estraneo è già all'interno dell'edificio e la situazione è sicura: parli con lui. Dica: 'Mi scusi, non la conosco. Cosa ci fa qui?" Se qualcuno sembra non essere autorizzato, lo accompagni alla reception o ad una persona di contatto, se ne indica una. Non è necessario ammanettare qualcuno. Mantenga un atteggiamento amichevole.
Potrebbe essere al telefono con qualcuno e non fidarsi di lui. In questo caso Jellema consiglia: 'Non condivida informazioni. Se l'ha già fatto: chiuda la conversazione e lo riferisca il prima possibile a qualcuno che possa indagare.
Nei Paesi Bassi abbiamo il motto: "Fermati, riattacca, chiama la tua banca". Lo faccia! Ha cliccato su uno strano link sul suo portatile di lavoro? Chiami l'IT. Tutti possono essere distratti il venerdì pomeriggio. Succede anche a me: Mi capita di cadere nelle e-mail di Phishing. Ma lo denunci.
Vuole formare i dipendenti della sua azienda contro l'ingegneria sociale? Allora il Programma di sensibilizzazione e comportamento in materia di sicurezza [SAFE] di Bureau Veritas Cybersecurity fa al caso suo. Non esiti a contattarci per maggiori informazioni.
Mail of bel ons voor een vrijblijvend adviesgesprek over het trainen van de medewerkers van uw bedrijf tegen social engineering. We reageren binnen één werkdag.
