La storia e la trasformazione di un mestiere leggendario
Alla base della sua evoluzione, la conoscenza e l’utilizzo dell’ingegneria sociale
C’è hacker e hacker. Oppure mettiamola così: anche tra i cyber criminali si può trovare un Arsenio Lupin o un ladro di galline. Parliamo di un “mestiere” che, infatti, presenta, nella sua pratica, molte differenze, sia nel metodo sia negli obiettivi. E per chi si vuole difendere da questi abili professionisti può essere utile avere qualche nozione in più sulla loro variegata tipologia.
Cominciamo con brevi cenni etimologici e “storici”. La parola “hacker” viene dal verbo inglese hack, che in ambito informatico significa attaccare e accedere illegalmente e fa capolino ufficialmente nel 1980 in un articolo pubblicato su Psychology Today dal titolo: “The Hacker Papers”, nel quale si parla della dipendenza provocata dall’utilizzo del computer. La strada è aperta: due anni dopo esce il film Tron che narra la storia di un hacker, proprietario di una sala giochi, il cui corpo fisico viene trasformato in una forma digitale da un software pirata chiamato Master Control che lo costringe a partecipare a giochi in stile gladiatorio e ad allearsi con un personaggio di un programma per computer.
Gli hacker nell’immaginario cinematografico
L’anno seguente esce l’imperdibile War Games, che ha come protagonista un adolescente geniale che entra nel programma militare segreto degli USA e interagisce con il sistema di intelligenza artificiale (IA), innescando azioni che potrebbero scatenare una guerra nucleare tra Stati Uniti e Unione Sovietica. Nell’ 85 è la vota di Prime Risk dove un ingegnere donna e il suo amico scoprono un modo per truffare i bancomat. Facendolo, però, si rendono conto di poter distruggere la Federal Reserve degli Stati Uniti.
Da allora, la lista di film con questo soggetto si è fatta davvero lunghissima ed è passata attraverso pietre miliari imperdibili per gli appassionati, come Matrix (1999), Hackers (1995), i signori della truffa (1992), The Italian job (2003), Citizenfour (2015) fino a Silk Road, uscito nel 2021, che racconta la storia del mercato anonimo del dark web lanciato all’inizio del 2011 da Ross Ulbricht, incarcerato a vita dopo che un’operazione dell’FBI ha chiuso Silk Road, il sito che dà il nome alla pellicola, considerato l’”Amazon delle droghe”.
Insomma, il tema è appassionante, intrigante e di grande attualità. Ci si scrivono libri, si girano film e anche la cronaca pullula di storie legate alle incursioni nei sistemi informatici. Basti pensare al caso di Julian Assange, fondatore di Wikileaks, su cui le opinioni pubbliche e interi paesi, ancora si dividono. Perché in gioco non c’è solo la vita di un hacker ma delicati equilibri geopolitici nonché l’affermazione di importanti principi, come quello della libertà di espressione e del suo limite. Indubbiamente, un personaggio come Assange, a prescindere da come la si pensi, rimarrà sui libri di storia come una delle figure più leggendarie di questi ultimi anni.
Fare l’hacker di mestiere
Tutto questo per dire che quello dell’hacker rimane sempre un mestiere che, nell’immaginario di molti, ha un grande appeal. Anche perché non ci sono solo gli hacker criminali, chiamati anche cracker, o black hat, ma anche quelli (white hat) che lo fanno a fin di bene o per proteggere la sicurezza di un paese, di un’azienda o di un’organizzazione. Insomma, le sfumature sono tante e ognuno può scegliere quella che gli somiglia di più.
In fondo basta essere esperti di informatica e buttarsi nella Rete, no? Bè, in realtà la questione è molto più complessa di così. O meglio, per essere un “ladro di galline” non ci vuole molto. Basta trovare il modo per fa arrivare un malware nel computer della vittima, anche semplicemente ricattandolo di diffondere, attraverso i social o gli indirizzi email trafugati, informazioni scabrose sul suo conto. Roba un po’ datata ma qualcuno che ci casca, e che paga un riscatto, si trova sempre. Soldi veloci e che non richiedono un grosso impegno. Se però si alza l’asticella dell’ambizione e si aspira a una sfida più intrigante e a guadagni più sostanziosi, entra in gioco l’ingegneria sociale, che richiede un’accurata scelta della vittima e una sua approfondita conoscenza.
Ingegneria sociale: una vera manipolazione psicologica
Il termine ingegneria sociale ha origine nelle scienze sociali e indica qualsiasi tentativo da parte dei principali attori del cambiamento (ad esempio media, governi o gruppi privati) di influenzare o modellare il comportamento delle persone. Oggi il termine è strettamente legato alla sicurezza informatica.
Nel mondo informatico si traduce nell’utilizzo di metodi che non hanno niente a che vedere con la tecnica ma che sono più “sociali”, appunto, e che servono a prendere contatto con una vittima, dopo averla studiata attentamente e valutato i suoi comportamenti, per portarla, attraverso una manipolazione psicologica, a condividere informazioni personali importanti.
Può succedere, ad esempio, che la vera vittima sia il manager di una grossa azienda ma che la persona manipolata sia suo figlio che, in modo totalmente inconsapevole, fa amicizia in rete con un suo coetaneo (o sedicente tale) con cui scambia documenti, link o allegati che hanno come vero obiettivo il computer del papà.
L’ Arsenio Lupin moderno si muove tra conoscenze tecniche e meccanismi psicologici
Un attacco di social engineering procede per tappe. Prima di tutto lo studio: il cyber criminale analizza attentamente comportamenti, abitudini e preferenze della vittima, per guadagnare la sua fiducia ed entrare in contatto con lui/lei. A questo segue la fase delle tecniche vere e proprie che saranno differenti a seconda del profilo psicologico e sociale della persona da colpire. Ci possono volere anche diverse settimane prima di ottenere risultati che però saranno senz’altro molto più fruttuosi rispetto a quelli derivati dalle “banali” infezioni malware.
Insomma, parliamo di alta specializzazione, conoscenze tecniche ma sicuramente di approccio multidisciplinare, creatività, genialità, conoscenza della realtà e dei meccanismi psicologici.
Difendersi da tutte queste abilità che possono essere utilizzate contro di noi diventa sempre più difficile. Soprattutto senza una guida adeguata. Ogni mail che riceviamo può contenere un tranello così come ogni contatto nuovo sui social.
Le regole per schermarsi sono poche ma fondamentali:
- fare sempre molta attenzione a ogni gesto compiuto online,
- non accettare “regali” (link, allegati, video, immagini ecc) dagli sconosciuti,
- conoscere il più possibile l’avversario anticipando le sue mosse.
Questo si può fare solo attraverso una formazione ad hoc, sempre aggiornata sulle ultime novità e che consenta vere e proprie esercitazioni che simulino tutte le possibili truffe. Perché anche conoscendo la teoria, quello che fa la differenza è sperimentare nel concreto le numerose e sofisticate possibilità di essere ingannati.
Per saperne di più sui percorsi formativi di Cyber Guru