logo academy

Social Engineering: i meccanismi psicologici degli scam

30 agosto, 2022
9 min
Social Engineering: i meccanismi psicologici degli scam
Principiante
Cosa Imparerai

    Esistono truffatori, soprattutto online, che usano meccanismi di manipolazione per indurre soggetti target a rivelare informazioni sensibili, come password, od ottenere denaro, anche sotto forma di criptovalute. Essendo, queste pratiche ingannevoli o scam, basate su vulnerabilità psicologiche comuni a tutti, è importante riconoscerle ed affrontarle: scopriamo cos’è il Social Engineering, l’insieme di queste strategie di raggiro, e come proteggersi.

    Che cos’è il Social Engineering?

    Un parametro fondamentale di ogni sistema informatico è la sicurezza: al di là delle prestazioni, ogni tecnologia deve essere protetta dai malintenzionati, i cosiddetti hacker o talvolta scammer. Pensando alla blockchain, già sappiamo che lo scambio di criptovalute è reso sicuro dalla crittografia a chiavi pubbliche e private, registrate entrambe nel wallet personale: stringhe alfanumeriche così complesse da essere pressoché impossibili da “indovinare”; tuttavia, gli scammer potrebbero sfruttare meccanismi più “primitivi” di questi.

    Se gli hacker, infatti, si riconoscono nell’uso di programmazione e codici, gli scammer agiscono a livello “umano”: non sfruttano vulnerabilità nei software, ma nelle persone. In altre parole, condizionano gli utenti a condividere dati preziosi, come l’accesso ai suoi account o altri codici segreti, attraverso strategie di manipolazione, riassunte nel termine Social Engineering (ingegneria sociale).

    Gli scammer, solitamente, adescano un certo bacino di utenti contattandoli direttamente e in massa, sfruttando i social network oppure infiltrandosi abusivamente nelle community online. Per comprendere meglio cos’è il Social Engineering e riconoscere le eventuali minacce in cui potresti imbatterti, è importante definire il modo in cui agiscono gli scammer, prima e dopo averti contattato. 

    Il processo di Social Engineering prevede una sorta di circolo vizioso, scandito in 4 passaggi:

    1. Indagine: il malintenzionato, dopo aver identificato il bersaglio, raccoglie quante più informazioni utili sul suo conto. Il background, così costruito, permette di definire il profilo e il contesto personale della vittima, in modo da scoprirne i punti deboli. In base a questi, si pianifica l’approccio, scegliendo la strategia di social engineering più adatta.
    2. Hook/contatto: il periodo di indagine culmina nella prima interazione con l’utente bersaglio: grazie alle informazioni raccolte, lo scammer cerca di creare un clima di fiducia e quindi convincere il malcapitato a comunicare. Questa è una fase cruciale perché il soggetto target, se evita il contatto, potrebbe salvarsi: più tarda a liberarsi, più sarà difficile sfuggire alla manipolazione.
    3. Play/manipolazione: superata la diffidenza del soggetto, i truffatori fanno leva sulle vulnerabilità psicologiche che caratterizzano ognuno di noi. Quindi, architettando situazioni credibili o raccontando storie verosimili, gli scammer ingannano le vittime, convincendole a divulgare informazioni critiche, riguardanti privacy e sicurezza. 
    4. Exit/fuga: ottenuto ciò che si era prefissato di scoprire, il truffatore fa perdere le proprie tracce. Online, però, non può semplicemente “fuggire”: lo scammer, per non essere scoperto, deve eliminare tutto ciò che potrebbe ricondurre a sé. Quindi, deve nascondere o distruggere i suoi mezzi fraudolenti: i siti-truffa spariscono da internet, come gli account falsi dai social network. Invece, nei casi più semplici, come l’invio di una mail o una chiamata telefonica, al malintenzionato basterà concludere la messinscena con una scusa convincente. 
    Il ciclo del Social Engineering

    Le strategie di social engineering

    Approfondiamo ora cos’è il Social Engineering da un punto di vista psicologico perché l’ingegneria sociale, all’origine, è un’applicazione disonesta dei 6 principi di persuasione di Cialdini: una teoria psicologica in realtà innocua, usata nelle scienze sociali e soprattutto nelle strategie di marketing. Le vulnerabilità psicologiche che questa teoria mette in luce caratterizzano, per natura, ognuno di noi: è importante riconoscerle, perché sono la base di ogni strategia di Social Engineering:

    1. Reciprocità: siamo inclini a “restituire” un favore, dunque crediamo e siamo disponibili con chi ci regala qualcosa.
    2. Scarsità: siamo sensibili al senso di urgenza, desideriamo ciò che è presentato come limitato, in esaurimento, o che potrebbe darci accesso ad un élite. Questa paura di “perdere l’occasione” prende il nome di FOMO (Fear of Missing Out) nel mercato delle criptovalute. 
    3. Coerenza: spesso non siamo in grado o troviamo difficile sottrarci ad impegni e scelte presi, per il bisogno di mostrarci sicuri e in linea con le nostre decisioni;
    4. Autorevolezza: valutiamo come vere le affermazioni di persone qualificate, dunque competenti e credibili.
    5. Consenso: seguiamo l’opinione della maggioranza, una “riprova sociale” che vede nella scelta più comune quella migliore.
    6. Simpatia: essenzialmente, abbiamo più fiducia nelle persone che ci somigliano o che ci piacciono, come gli influencer.

    Gli scammer traducono alcuni di questi bias cognitivi, ovvero scorciatoie mentali che conducono ad errori di valutazione, in strategie di social engineering. Infatti, è facile “falsificare” la situazione che possa attivarli: fingersi uno studioso, un personaggio famoso oppure promettere regali inesistenti, sono presupposti sufficienti a manipolare le vittime. Scopriamo i 4 metodi di social engineering più diffusi in ambiente digitale, dunque comuni anche a criptovalute e blockchain: conoscerli è essenziale per proteggersi da situazioni simili.

    Baiting

    Il Baiting consiste nel presentare, spesso attraverso i social network, false promesse di premio o guadagno che inducono a compiere azioni rischiose, come cliccare link ingannevoli. Qui la combinazione tra reciprocità verso chi sembra regalarci qualcosa, scarsità di un’offerta a tempo quasi scaduto e riprova sociale, innescata da false affermazioni come “sono già stati distribuiti token a più di 1000 persone”, convince gli utenti a rivelare informazioni preziose; ad esempio, la chiave privata del proprio wallet, illudendosi sia necessaria per ottenere il bottino promesso. Casi simili possono fare leva anche sull’autorità e la simpatia di un account che, sebbene falso, ritrae un esperto o un personaggio famoso regalare criptovalute attraverso link posti, ad esempio, in un tweet o in una live. 

    Scareware

    I target vengono tempestati da falsi allarmi, attraverso banner pop-up o mail, così da essere persuasi a credere che il proprio computer sia compromesso da un virus, ad esempio. Gli scammer sfruttano la paura dei soggetti per convincerli a scaricare un software, presentato come soluzione sicura (scare + software= scareware). In realtà, questo non è altro che un malware, trasmesso dal truffatore stesso per sottrarre informazioni sensibili. Questo caso di social engineering potrebbe prevedere la collaborazione con un hacker per progettare i software ostili, ma solitamente questi non sono molto complessi. 

    Pretexting

    Lo scammer si presenta come una figura autoritaria o intimidatoria, come la polizia o un funzionario fiscale, per convincere le vittime a rivelare informazioni sensibili, al fine di risolvere problematiche fittizie. Un truffatore potrebbe anche fingersi l’operatore di un exchange, così da indurti a rivelare la tua password per affrontare qualche fantomatica difficoltà con il tuo account. Ricorda che nessun membro del team di Young Platform ti chiederà mai alcuna password o chiave privata. 

    Phishing

    Il phishing è il metodo di social engineering più diffuso e consiste, sostanzialmente, nell’invio di una serie di email o messaggi di testo, il cui contenuto crei curiosità, paura o urgenza, così da convincere gli utenti a cliccare link o scaricare allegati infetti. Uno scammer potrebbe mettere in atto un tentativo di Phishing anche attraverso una copia esatta di un sito web legittimo, al fine di raccogliere dati d’accesso. Il caso più famoso, infatti, è la richiesta di “cambio password” per una falsa intrusione nel proprio account: l’utente, digitando il vecchio codice e quello sostitutivo in un form uguale all’originale, ma controllato dallo scammer, dà così accesso completo al proprio exchange wallet, ad esempio.

    Il phishing, oltre alla sua forma più comune, può presentarsi in diversi modi: attraverso SMS o in generale messaggistica supportata dai cellulari (Smishing), attraverso chiamate fraudolente (Vishing), oppure con target specifico (Spear Phishing), ovvero in strategie create ad hoc per una precisa realtà (azienda o individuo)

    Curiosità

    Il rapporto CLUSIT 2019 sulla sicurezza nelle tecnologie di informazione e comunicazione (ICT) ha rivelato che, in Italia, il 97% degli utenti non sa riconoscere una mail falsa. Quindi controlla sempre che l’indirizzo del mittente sia autentico perchè, in caso contrario, potrebbe trattarsi di un tentativo di phishing.

    Ora che sai cos’è il Social Engineering, vorrai capire come proteggerti da queste manipolazioni psicologiche, soprattutto per evitare le truffe online a tema criptovalute. Si dice che “la prudenza non è mai troppa” e, sebbene banale, questa massima spiega in buona parte come proteggersi dal Social Engineering, ma esistono altri strumenti di difesa adatti al caso: vediamoli insieme. 

    Come proteggersi dal Social Engineering

    La prima strategia per proteggersi dal social engineering è essere consapevoli della sua esistenza, quindi conoscere le varie tecniche di manipolazione che potrebbero usare contro di te, per riconoscerle e talvolta prevenirle. Leggere con attenzione questo articolo è sicuramente un buon inizio, ma potrebbe non bastare: è necessario individuare le informazioni sensibili che gli scammer potrebbero tentare di sottrarci. Password, seed phrase, chiavi private, indirizzi ed identità sono elementi critici nel mondo delle criptovalute, ma in generale in ambiente digitale. Quindi, per capire come gestirli e conservarli, leggi i criteri e le soluzioni del password management.

    Assicurati di rivedere periodicamente le tue soluzioni di difesa, perché le tecniche di social engineering, con il tempo, potrebbero diventare più subdole e sofisticate. A tal proposito, seguire da vicino le vicende del mondo crypto potrebbe esserti utile, per non essere vittima di casi già noti di social engineering: rimani sempre aggiornato con le news del blog di Young Platform!

    Correlati