Discutendo di sicurezza, in un modo o nell’altro mi ritrovo spesso ad esprimere un concetto: molti dei problemi derivano dal fattore umano, concetto che in inglese viene sintetizzato con l’acronimo PEBKAC, Problem Exists Between Keyboard And Chair.
Tutti abbiamo visto film come Codice Swordfish: anche con una pistola puntata alla tempia (accompagnata magari da distrazioni decisamente più gradevoli), un hacker esperto è in grado di bucare un qualsivoglia sistema, digitando pochi comandi alla tastiera… Ma è realmente così?
social engineering
In realtà, uno dei vettori più usati negli attacchi informatici è il social engineering, ovvero la manipolazione del fattore umano: sfruttando alcune peculiarità del carattere e del pensiero umano (empatia, curiosità, paura o anche solo bisogni materiali, come il sesso), chi attacca riesce ad avere accesso alle informazioni più disparate con uno sforzo minimo.
La versione più moderna del social engineering sono le mail di phishing: se mi arriva una mail dalla banca che mi dice che per problemi di sicurezza devo assolutamente accedere al mio Internet banking, quale sarà la mia reazione? La paura suscitata potrebbe spingermi a farlo, senza preoccuparmi della bontà della richiesta.
Per i più curiosi, uno dei libri più importanti sulle tecniche usate nel social engineering è L’arte dell’inganno di Kevin Mitnick, importante hacker-cracker statunitense degli anni ’90.
Fonte: SMBC Comics
Continua a leggere →