Il Condor
Erano gli anni ’80 quando un giovane Kevin Mitnick, grazie a semplici tecniche di ingegneria sociale, guadagnava il pieno controllo della “Pacific Bell”.
“Una cosa che ho fatto per far credere alla persona al telefono che ero un dipendente della compagnia telefonica, è stato di usare la pubblicità di Pacific Telephone, quella che parte quando si è in attesa. Ho registrato questi annunci creando un nastro in loop. Quindi, ogni volta che chiamavo l’ufficio interno della compagnia telefonica, trovavo un modo per dire “oh, ho un’altra chiamata, lascia che ti metta in attesa.” Lasciavo che sentissero le loro stesse pubblicità, così, inconsciamente, si creava quella fiducia che faceva credere loro che io fossi realmente uno del gruppo. Una volta che fai parte del “gruppo”, ottieni cooperazione. Ottieni conformità.” – Kevin Mitnick
Ecco, questo sopra è un semplice ma potente esempio di ingegneria sociale. Ma che cos’è nello specifico?
L'ingegneria sociale
Tecnicamente parlando si tratta di un attacco volto a sfruttare l’anello debole della catena, in questo caso l’utente finale, le persone in carne ed ossa, per ottenere la loro piena fiducia e farsi aprire le porte del paradiso direttamente dal padrone di casa.
Si possono anche fare ingenti investimenti in sistemi di protezione sempre più sofisticati, ma finchè ci sarà una persona fisica di fronte a un sistema informatico, sarà sempre quello il punto più debole.
Tuttavia, a mio avviso, questa è la tecnica più complessa e sopraffina che si possa mettere in atto. Parafrasando il grande “Léon” dell’omonimo film:
“Il fucile è la prima arma che si impara ad usare perché… ti permette di mantenere una certa distanza dal cliente. Più ti avvicini a diventare professionista, più riesci ad avvicinarti al cliente. Il coltello per esempio, è l’ultima cosa che si impara.” – Léon
Profilo dell'ingegnere sociale
Sfatiamo il mito dell’hacker con la felpa nera, rintanato nel suo stanzino al buio illuminato solo dalla luce degli schermi e dei led, l’ingegnere sociale è tutt’altro che questo! L’ingegnere sociale opera alla luce del sole, è una persona empatica, spesso eclettica, che trasmette sicurezza e altamente preparata. Il suo obiettivo è trasmettere sicurezza al prossimo per guadagnarsi la sua fiducia.
Un vero e proprio manipolatore, un perfetto giocatore di scacchi, dove la scacchiera è l’ambiente in cui viviamo e le pedine sono le persone in gioco.
Ogni mossa (e contromossa) è studiata e calcolata, e più il nostro attore è bravo ad interpretare il proprio ruolo, più l’attacco sarà efficace. Si, proprio di un attore stiamo parlando, un professionista che sin dalle prime fasi di preparazione del piano indossa la maschera e inizia a recitare la propria parte.
La lista della spesa
Come ogni operazione che si rispetti, la raccolta di informazioni è fondamentale. Ma dato che come detto prima il bersaglio sono le persone, ecco che arriva in aiuto l'”Open Source Intelligence” o meglio conosciuta come “OSINT”.
“La Open Source Intelligence, acronimo OSINT, è quella disciplina dell’intelligence che si occupa della ricerca, raccolta ed analisi di dati e di notizie d’interesse pubblico tratte da fonti aperte.” – Wikipedia
Grazie all’OSINT, partendo anche da un minimo set di dati riguardanti l’obiettivo (a volte anche una sola foto può bastare, grazie agli eventuali metadati contenuti), si può tracciare una complessa rete di informazioni collegate tra di loro e ciò permette di avere un’immagine sempre più definita del bersaglio.
Avete presente nei film quelle scene in cui si vedono appese al muro foto e articoli di giornale, tutti collegati tra di loro con delle linee e il personaggio di turno consuma nervosamente l’ennesima sigaretta mentre li scruta attentamente? Ecco, il risultato è praticamente lo stesso.
Ma l’OSINT non è l’unico mezzo disponibile, infatti esistono centinaia di tecniche collaterali sfruttabili per raggiungere l’obiettivo.
Social media intelligence (SOCMINT), phishing, smishing, vishing, giusto per citarne alcune, ma non ne entro nel merito altrimenti non sarebbero più 4 chiacchiere ma servirebbe almeno una cena per discuterne nel dettaglio.
Resta il fatto che l’hacking della mente rimarrà per molto tempo nella classifica delle attività più complesse. E no, non solo nell’ambito della cybersecurity, ma anche nei contesti più disparati della vita di tutti i giorni (Vendere qualcosa per esempio. Si lo so, è l’esempio più banale che si potrebbe fare ma per il resto vi lascio all’immaginazione.).
Considerazioni personali
L’hacking è un’arte, uno stile di vita, una vocazione. L’andare a vedere cosa c’è dietro la porta chiusa a chiave. Un invito silenzioso ad aprire un lucchetto, spesso invisibile, messo la da qualcuno. E come tale, nel tempo diventa così tanto parte della propria vita che non si riesce più a distinguerne i contorni.
Ma cosa succede se quello di hackerare le persone diventa un’abitudine? Io questa domanda me la faccio spesso, ve la lascio lì.
Per adesso l’unica cosa che mi viene in mente in risposta è questa frase:
“Adoro i piaceri semplici, sono l’ultimo rifugio della gente complicata.” – Oscar Wilde