L’Agenzia europea per la sicurezza delle reti e dell’informazione (Enisa) ha pubblicato un Libro Bianco sul ‘Social Engineering’, una tecnica fraudolenta sempre più usata dai criminali informatici per ricavare illecitamente informazioni personali degli utenti internet.
La tecnica è molto semplice: il malcapitato di turno riceve una email che sembra provenire da un indirizzo conosciuto (magari quello della propria banca o dell’amministratore di sistema). In questa email viene fatta richiesta di fornire nome utente e password di un account, ad esempio quello del proprio conto corrente o della posta elettronica, con la scusa di fare dei controlli o del verificarsi di un non meglio specificato problema.
Se la vittima abbocca, il truffatore (o social engineer) avrà ottenuto il suo scopo, ossia quello di aver creato una ‘breccia’ nel sistema dell’utente, da cui avviare la violazione del sistema stesso.
Le tecniche fraudolente diventano tra l’altro sempre più sofisticate: se da un lato troviamo infatti tattiche - quali le truffe nigeriane e quella del prigioniero spagnolo – che circolano da decenni, dall'altro i cybercriminali continuano a modernizzare e riformulare gli attacchi sulla base dei trend del momento.
Ultimi in ordine di tempo a finire nel mirino degli hacker, i siti di social networking, di video sharing e di VoIP, i service provider di servizi email gratuiti, le banche e i più comuni siti di commercio elettronico.
Di recente una nuova forma di truffa metteva in guardia le potenziali vittime da messaggi di phishing, legittimando paradossalmente quella stessa email e ingannando così gli utenti che cliccavano su un link collegato a un sito fraudolento.
Le possibili forme di truffa, insomma, sono tante e variegate: come difendersi?
L’Enisa fornisce nel suo Libro Bianco 3 case study che analizzano: il primo la capacità degli utenti di riconoscere i messaggi di phishing; il secondo la dimestichezza con le minacce di ingegneria sociale da parte di alcuni gruppi mirati, il terzo i risultati di un test per dimostrare come la consapevolezza dei pericoli riduca la possibilità di incorrere in truffe.
Il documento identifica 5 possibili strumenti di difesa e pubblica una ‘check list’ (LIST) per contrastare il fenomeno.
Il White Paper, infine, include anche i consigli di Kevin Mitnick, pirata informatico ‘pentito’ e attualmente CEO dell'azienda di consulenza e sicurezza informatica Mitnick Security Consulting LLC.
Obiettivo principale del White Paper è quello di aumentare la consapevolezza degli utenti verso questo tipo di minacce.
Il metodo è semplice: gli internauti, dice Enisa, dovrebbero usare una lista di domande (LIST) per verificare: la legittimità (la richiesta è consueta?), l’importanza dell’informazione (qual è il valore dell’informazione che mi viene richiesta e come se ne potrebbe abusare?) la fonte (Sono sicuro che è leggitiima e come posso verificare?) e il momento (devo rispondere adesso?).
Per Andrea Pirotti, direttore esecutivo Enisa, “Aumentare la consapevolezza di lavoratori e utenti sul fattore sicurezza è una seria preoccupazione per l’Europa: dovremmo tutti diventare più consapevoli e responsabili poiché è nell’interesse di tutti poter usare internet in maniera sicura”.
