Social Engineering: le emozioni, il fattore umano della truffa

Social engineering

A qualcuno può essere capitato, magari in un momento difficile dell’esistenza, il pensiero inconfessabile di diventare un hacker. Per risolvere un po’ di problemi, sistemare un po’ di cose, magari comprare quella casa tanto desiderata che con il lavoro quotidiano è irraggiungibile. Insomma, per dare una bella mano di vernice fresca alla propria vita e poi tornare al lavoro normale.

La brutta notizia, oltre alle spiegazioni che dovremmo dare alla nostra coscienza e alle notti passate insonni per la paura di essere scoperti, è che il mestiere del hacker non è per niente facile.

Bisogna essere molto preparati, avere alte competenze tecniche ed essere profondi conoscitori della psicologia umana. Soprattutto se il filone scelto per i propri “affari” è proprio quello digitale.  Non a caso, alle conoscenze che ruotano intorno alla manipolazione delle vittime, è stata data una definizione altisonante: Ingegneria sociale.

Social engineering: psicologia e tecnica

Per Social Engineering si intende infatti lo studio del comportamento delle persone al fine di manipolarle e ingannarle puntando sulle loro emozioni. L’obiettivo? Sfruttare a proprio beneficio le debolezze umane per  creare un varco di accesso ai dati e alle informazioni protette.

Si tratta di una vera e propria manipolazione psicologica che agisce principalmente su alcune leve come:

  • la soggezione verso l’autorità;
  • la prova sociale, ovvero la pressione dei pari per incoraggiare un certo comportamento;
  • i sentimenti della simpatia e della somiglianza;
  • il bisogno di dimostrare impegno, reciprocità e coerenza: alla gente piace, per esempio, ripagare un favore;
  • la fretta e la distrazione;
  • l’avidità, che spesso si traduce in incapacità di resistere ad offerte molto convenienti,
  • la compassione e i buoni sentimenti.

Considerato che ogni genere di attacco informatico gioca su un tipo specifico di debolezza umana, si può affermare che l’ingegneria sociale passa trasversalmente attraverso più o meno tutte le forme di attacco informatico, e ne costituisce l’humus su cui il crimine attecchisce e si diffonde.

Ogni hacker punta alla risposta emotiva

Dalle tanto diffuse mail di phishing, che agiscono sull’ingannevole provenienza di una mail apparentemente legittima e fidata, alla più sofisticata Business Email Compromise (BEC), dove ad essere sollecitato è il desiderio di fare qualcosa di gradito al capo; dalla truffa del Contact form, che fa leva sull’ansia suscitata dalla minaccia di un’ azione legale, all’utilizzo del problema Covid in tutte le sue sfumature (varianti, Green Pass ecc..) per ingannare il malcapitato attraverso le svariate emozioni che questo suscita.

Quello che assicura il successo al criminale informatico è sempre l’azione reattiva della vittima. Ovvero una risposta immediata e istintiva alla provocazione. Se e quando il pensiero arriverà sarà ormai troppo tardi.

Le risposte emotive sono, infatti, proprio quelle più profondamente radicate in tutti noi. L’uso della persuasione e della manipolazione emotiva nelle campagne di phishing è stato oggetto di uno studio pubblicato dall’American Psychological Society nel 2018, nel quale è stata presa in esame “l’eccitazione emotiva come tattica di frode”.

Secondo la ricerca, le persone esaminate, hanno preso decisioni sbagliate rispondendo a messaggi di persuasione sia negativi sia positivi perché “l’eccitazione emotiva può influenzare la suscettibilità alle informazioni ingannevoli”.  E questo è proprio il comportamento che il truffatore si aspetta.

La pericolosità di questo tipo di rischio sta, dunque, proprio nel fattore umano. Quel click, fatto con inconsapevole leggerezza e velocità, può essere fatale e trascinare il malcapitato in un groviglio di problemi che, per essere risolti hanno bisogno di soldi e tempo. Insomma, una brutta storia.

Come si può correre ai ripari?

Non ci sono particolari tecniche o software che ci possano proteggere da questo genere di attacchi. L’unica soluzione è una formazione continua e sempre aggiornata di Cyber Security Awareness. Una maggiore consapevolezza dei rischi cyber è necessaria per riconoscere gli inganni che manipolano le risposte emotive.

Mai, dunque, perdere la concentrazione sui propri gesti al computer e sulle conseguenze che questi possono generare. E mai rimanere indietro nella formazione e nell’addestramento. Solo così renderemo la vita difficile al hacker di turno che dovrà andarsi a cercare un’altra vittima meno preparata di noi.

Per saperne di più sui percorsi formativi di Cyber Guru