Leggevo qualche tempo fa dell'aumento dei casi di "vishing": il furto di credenziali attuato tramite una telefonata pretestuosa in cui un impostore (o una segreteria telefonica appositamente predisposta allo scopo illecito) si finge l'amministratore di un sistema informativo, ad esempio di una banca online.
La notizia già di per sè fa scalpore perché le vittime, spesso pensionati e con bassi redditi, si sono ritrovati con il conto corrente prosciugato da imbroglioni in possesso di codici utente e password carpiti durante le telefonate; ma balza ulteriormente agli occhi perché il medesimo articolo evidenziava che l'Abf - l'Arbitro Bancario Finanziario a cui ci si può rivolgere per la risoluzione delle controversie tra i clienti e gli istituti di credito - avrebbe dato ragione alle banche, che accuserebbero i clienti di essere troppo creduloni.
Indubbiamente gli attacchi di social engineering - definiti dall’esperto statunitense Christopher Hadnagy come "ogni atto tendente a influenzare una persona, per spingerla ad intraprendere un'azione che non necessariamente è nel suo migliore interesse" - sono una minaccia attuale e pericolosa. Essa è favorita da tre aspetti in particolare: la diffusione delle tecnologie dell'informazione e dei servizi on-line; lo stato di analfabetismo tecnologico generale e la leggerezza nel condividere dati personali online; ed infine dalla generale non inclusività delle interfacce utente software che pone serie barriere tecnologiche ad anziani, bambini e disabili.
Ma d'altra parte va detto che non si tratta di minacce nuove: le truffe nelle case degli anziani da parte di sedicenti funzionari dell'ENEL, ad esempio, sono figlie delle medesime tecniche manipolative. E lo stesso Hadnagy, nel suo libro “Social Engineering: the science of human hacking”, fa osservare che sono tecniche antiche come il mondo, citando come prima fonte storica di attacco di ingegneria sociale il passo di Genesi 27, in cui Giacobbe, travestendosi e impersonando suo fratello Esaù, raggira il padre cieco ed anziano - Isacco - carpendone la benedizione.
Ma vediamo di approfondire due aspetti di particolare interesse: cosa c'è di nuovo e cosa di vecchio negli odierni attacchi di ingegneria sociale.
Gli aspetti di novità sono il portato dello stato della tecnica: computer, smartphone e tablet hanno creato un universo parallelo e le attività sociali si sono traferite nel mondo virtuale. Sono nati nuovi vettori di attacco e le procedure offensive si sono evolute. Ecco allora che, oltre al già menzionato vishing, sono nati il "phishing" - cioè l'attacco realizzato con una email truffaldina, finalizzato al furto di identità del malcapitato o all'infezione del suo client con virus informatici - e lo "smishing", l'equivalente del primo, attuato però tramite un SMS sul telefonino della vittima.
Di vecchio c'è la vulnerabilità sfruttata: il naturale processo di rilassatezza, di minor presenza a sé stessi, che caratterizza la maggior parte delle ore di veglia del nostro cervello e che è fisiologicamente messo in atto per ragioni di economicità dei processi cognitivi. Quando siamo in una situazione normale, che non consideriamo di pericolo, la mente va in "eco-mode", in automatico, e reagisce agli stimoli secondo una risposta preconfezionata, figlia dell'esperienza fatta in casi analoghi: in sostanza, si risparmiano energie mentali per quando, invece, ci si troverà in una situazione inconsueta, percepita come pericolo, ed in cui servirà il massimo dell'attenzione e dell'energia - "adaptive mode" - per rispondere alla minaccia secondo un comportamento stavolta non pre-confezionato, ma adattato al contesto specifico.
Tutta qui l'arte del truffatore, dell'ingegnere sociale: la capacità di presentare alla vittima un contesto informativo che non venga percepito inusuale, pericoloso, anormale; che anzi gli ricordi similitudini con esperienze ampiamente vissute o con nozioni acquisite nel passato; e su cui la risposta comportamentale possa essere "automatica", inconsapevole.
Su questo aspetto gli psicologi sociali hanno scritto pagine di considerazioni e prodotto migliaia di ricerche. La psicologa statunitense Ellen Langer, in particolare, ha presentato gli esiti di un famoso laboratorio - noto in bibliografia come l'esperimento della fotocopiatrice (Langer 1978) - in cui ha parlato di "insensatezza delle azioni riflessive". Ed ha dimostrato che, nelle interazioni sociali, sia verbali, che scritte, la mente umana agisce di norma con una azione riflessiva del tutto slegata dal significato sostanziale della richiesta; e legata alla sola rispondenza formale, strutturale del paradigma comunicativo.
Più precisamente, la scienziata ha dimostrato che, quando siamo tranquilli ed assorti nei nostri pensieri, rispondiamo ad una richiesta che ci viene fatta analizzando semplicemente la struttura formale, stilistica della frase: se questa ci pare "convenzionale" e non ci allarma, entriamo in uno stato di acquiescenza, di fatto spalancando le porte alla persuasione e, purtroppo, anche alla manipolazione.
Ora, sarebbe troppo semplice e scontato limitarsi ad esclamare: "bisogna prestare attenzione" o "non bisogna essere creduloni". Chi afferma così, non sta tenendo conto dei meccanismi mentali sopracitati. Ciò che bisogna fare invece è porre in essere una articolata politica sociale e di sicurezza che si muova su almeno tre capisaldi principali.
Anzitutto spingere l'acceleratore sull'abbattimento del "divario digitale" che caratterizza larghe fasce di popolazione e segnatamente attraverso mirate e reiterate campagne informative che inducano automatismi comportamentali di sicurezza, non ultima l'educazione alla riservatezza online.
Investire, inoltre, su tecnologie e applicazioni software che richiamino l'attenzione dell'utente in caso di elementi di inaffidabilità dell'interlocutore o di compromissione dei dispositivi.
Infine incentivare l'industria ed il mercato dei servizi informatici allo sviluppo di interfacce utente più inclusive che consentano l'accesso sicuro alla tecnologia anche agli utenti più fragili nelle relazioni sociali.
Per approfondire:
https://www.social-engineer.org/framework/general-discussion/social-engineering-defined/
https://www.difesaonline.it/evidenza/cyber/diversity-inclusion-la-cyber-tutela-delle-fasce-deboli
Pensieri lenti e veloci - Daniel Kahneman | Oscar Mondadori
Foto: web