Inizio del Mese europeo della cibersicurezza sul tema dell’ingegneria sociale

02.10.2023 - In ottobre si terrà il Mese europeo della cibersicurezza («European Cyber Security Month», ECSM). La campagna annuale di sensibilizzazione è organizzata dall’Agenzia dell’Unione europea per la cibersicurezza («European Union Agency for Cybersecurity», ENISA) congiuntamente agli Stati membri europei e quest’anno è dedicata al tema dell’ingegneria sociale. In qualità di partner di cooperazione dell’ENISA, l’NCSC svolge un ruolo attivo nella campagna. Per sensibilizzare la popolazione sul tema dell’ingegneria sociale, l’NCSC ha sviluppato, in collaborazione con diverse organizzazioni, contenuti specifici per i giovani, per chi lavora e per gli anziani. Le reti partner distribuiranno i contenuti della campagna in tutta la Svizzera.

I cibercriminali non sono solo tecnicamente esperti, ma spesso anche abili nel manipolare le loro vittime. La procedura dell’ingegneria sociale è messa in pratica quando i cibercriminali utilizzano psicologia e manipolazione per ottenere informazioni preziose o denaro. L’ingegneria sociale sfrutta tipiche caratteristiche umane come avidità, fiducia, curiosità, paura o rispetto per l’autorità. L’acquisizione o l’ottenimento della fiducia giocano un ruolo centrale in questo senso. Chantal Billaud lavora presso Prevenzione Svizzera della Criminalità (PSC) ed è confrontata quotidianamente con questa problematica. Di seguito fornisce alcune informazioni sul tema dell’ingegneria sociale.

Psicologia e manipolazione nell’ambiente cibercriminale: intervista dell’NCSC a Chantal Billaud di PSC

Cosa si intende per ingegneria sociale?
Ingegneria sociale è un termine tecnico emerso con la cibercriminalità. Si tratta di tentativi da parte di cibercriminali di manipolare il comportamento umano attraverso diverse tecniche, ad esempio per ottenere i dati delle vittime, accedere ai loro dispositivi digitali o sottrarre loro denaro.

Come valuta il rischio attuale rappresentato dall’ingegneria sociale?
I criminali ricorrono a queste tecniche sin dai primi ciberdelitti. Come continuano a ripetere gli esperti, il principale anello debole della cibersicurezza è l’essere umano. Il rischio attuale rimane quindi elevato. Ecco perché la sensibilizzazione è molto importante. Quanto più efficaci sono le misure di protezione tecniche aggiuntive, tanto minori saranno le probabilità di successo dei tentativi di ingegneria sociale.

Quali sono le caratteristiche principali dell’ingegneria sociale dal punto di vista psicologico e criminologico?
Questi due aspetti non possono essere considerati separatamente. Sul piano psicologico si esamina il punto di vista della vittima, mentre sul piano criminologico il punto di vista dell’autore del reato. La vittimologia (ipotesi e teorie sulla vittimizzazione) fa anche parte della criminologia. Le due discipline sono interessate alla stessa cosa: i criminali sfruttano in modo mirato le debolezze umane per ottenere l’accesso o le informazioni che desiderano. A seconda del tipo di truffa, l’attacco punta a debolezze diverse (dal punto di vista delle vittime) dando luogo a manipolazioni diverse (punto di vista degli autori del reato). Le debolezze sfruttate vanno dal desiderio d’amore alla pura avidità di denaro. Per quanto riguarda le manipolazioni, queste spaziano dall’invio di semplici messaggi spam che promettono una vincita in una lotteria spagnola ad attività di spionaggio di diverse ore o giorni che prendono di mira i responsabili decisionali di un’azienda.

Un aspetto dell’ingegneria sociale è quello di conquistare la fiducia delle vittime. Quale strategia perseguono i cibercriminali?
Instaurare un rapporto di fiducia è una condizione essenziale per il successo della manipolazione. A differenza dell’hacking tecnico, i truffatori tentano di persuadere la vittima a compiere un’azione a loro vantaggio. Si tratta, ad esempio, di comunicare la password, autorizzare l’accesso al computer, cliccare su un link, aprire un allegato o utilizzare una chiavetta USB infetta. Per fare un’analogia suggestiva, l’hacking può essere paragonato al classico furto con scasso, mentre il furto di dati mediante la manipolazione psicologica è simile al furto con destrezza. Nel primo caso, i criminali scassinano la porta di casa, mentre nel secondo caso usano l’inganno per entrare. Nel campo psicologico, i criminali che praticano l’ingegneria sociale non solo devono saper conquistare la fiducia degli altri, ma padroneggiare anche altre forme di manipolazione che permettono loro di raggiungere l’obiettivo prefissato.

Può fare un esempio concreto?
Vediamo esempi di ingegneria sociale quotidianamente. Tutte le e-mail di truffa dell’anticipo adottano metodi di ingegneria sociale, così come tutte le e-mail di phishing e tutte le richieste di contatto sui social media da parte di sconosciuti (troppo belli, innamorati, realizzati). Una tipica frode basata sulla manipolazione psicologica è la truffa dell’amore, le cosiddette «love scam» o «romance scam». L’energia criminale dei truffatori si concentra sul costruire la fiducia e sul creare dipendenza emotiva.

Un esempio concreto è stato fornito nel programma «Kassensturz Espresso»: https://www.srf.ch/sendungen/kassensturz-espresso/multimedia-teil-1-honey-i-miss-you-so-much

Il modus operandi è sempre lo stesso: instaurare un rapporto di fiducia con la vittima, conquistare il suo cuore, stabilire dipendenze emotive, fingere uno stato di emergenza, fare appello all’amore e alla disponibilità e chiedere denaro per poter finalmente stare insieme. Lo scambio può durare da mesi ad anni!

Chi sono le vittime di ingegneria sociale?
Come già detto, tutti hanno a che fare quotidianamente con l’ingegneria sociale. Affinché un tentativo di manipolazione abbia successo, la vittima deve trovarsi in una situazione di grande vulnerabilità. Se ha anche una scarsa competenza mediatica o semplicemente sottovaluta le possibilità di manipolazione in rete, è più probabile che la truffa abbia successo.

In breve, l’ingegneria sociale può colpire chiunque, perché i ciberdelinquenti sanno come sfruttare qualsiasi tipo di vulnerabilità. E chi di noi non ha un momento di debolezza? La PSC ha pubblicato un articolo sull’argomento: https://www.skppsc.ch/it/chi-e-vulnerabile-alle-truffe/

Come fanno i cibercriminali a scegliere le loro vittime? Esistono caratteristiche specifiche?
Anche in questo caso si può fare un’analogia con il furto con scasso: i ladri in cerca di piccole somme di denaro utilizzano strumenti semplici e sfruttano tutte le opportunità a loro disposizione. Ci provano in maniera indiscriminata: in alcuni casi l’effrazione riesce rapidamente perché le misure di sicurezza sono scarse, mentre in altri devono andarsene a mani vuote.

Lo stesso vale per gli spam. Gli stessi tentativi di manipolazione e furto di dati vengono rivolti a un numero molto elevato di persone. Alcune persone cadono nel tranello, mentre tutte le altre cancellano i messaggi.

Quando puntano a una grande preda, i cibercriminali si preparano più intensamente, proprio come un ladro che vuole rapinare una banca. Nel caso della truffa del CEO, ad esempio, i criminali svolgono spesso un grande lavoro di preparazione: spiano i dati dell’azienda, si informano sui responsabili decisionali ecc. Così facendo, aumentano le probabilità che la truffa abbia successo e che il bottino sia più sostanzioso. La formula è quindi la stessa del crimine convenzionale (e di qualsiasi operazione legale): maggiore è il profitto atteso, più meticolosi sono gli atti preparatori.

Un ulteriore punto: i criminali che operano con gli spam o altri invii di massa, all’inizio impiegano poche risorse, ma aumentano drasticamente i loro sforzi, soprattutto nell’ambito dell’ingegneria sociale, una volta che una persona ha «abboccato». Nel caso delle truffe dell’amore o delle truffe dell’investimento, i criminali investono molto tempo ed energia per persuadere la vittima ad agire a loro vantaggio. Ciò significa che i criminali scrivono, telefonano e cercano in tutti i modi di convincere la vittima dell’autenticità dell’offerta (ricchezza in bitcoin o possibilità di sposare il professore di successo del Canada).

Esiste una correlazione tra la situazione personale e la probabilità di diventare vittime dell’ingegneria sociale (ad es. mancanza di denaro, di prestigio o di affetto fisico o mentale)?
Come accennato nella domanda, la correlazione tra «truffa» e «mancanza» è fondamentale per il successo di una frode.

Le vittime dell’ingegneria sociale spesso si vergognano di essere cadute nella trappola. Cosa dite alle vittime?
Sì, soprattutto nel caso delle truffe dell’amore constatiamo che oltre alla perdita economica, le vittime perdono la fiducia nelle altre persone e diffidano delle proprie emozioni. Cerchiamo di far capire alle vittime che i cibercriminali sono professionisti senza scrupoli e che può capitare a chiunque di cadere nella loro trappola. Inoltre, la polizia punisce gli atti criminali e non i sentimenti legittimi recati alle vittime. Sono gli autori e non le vittime a doversi vergognare, ma purtroppo non possiamo influenzare i sentimenti delle persone che subiscono questi torti.

Quali sono le conseguenze finanziarie ed emotive dell’ingegneria sociale?
La perdita dipende dal caso specifico. I danni emotivi sono maggiori quando c’è stato anche un coinvolgimento emotivo da parte delle persone interessate; nel caso della truffa dell’amore i danni emotivi sono di solito i più gravi. Ad oggi esistono gruppi di auto-aiuto per le vittime di truffe dell’amore e, nei casi più critici, raccomandiamo un supporto psicoterapeutico.

La truffa comporta sempre una perdita di denaro. La gravità di questa situazione dipende fortemente dal rapporto tra importo perso e patrimonio totale della vittima.

Pertanto, l’entità della perdita è sempre relativa.

Come riconoscere l’ingegneria sociale e come proteggersi da essa?
Il campo è troppo complesso e mutevole per poter dare una risposta univoca a tale domanda. La frase «Quando una cosa è troppo bella per essere vera, è perché non è vera» può fungere da direttiva. Ma cosa significa questo per una persona che ha gravi difficoltà finanziarie, è completamente disperata e quindi accetta un’offerta che promette di risolvere tutti i suoi problemi? È proprio in questi momenti che si smette di pensare razionalmente. Pertanto, un buon consiglio è il seguente: di fronte a un’offerta finanziaria o sentimentale particolarmente gradita e allettante, pensateci molto bene prima di accettarla. In genere, i criminali esercitano pressione sulle vittime inducendole ad agire in fretta. È inoltre consigliabile coinvolgere amici e familiari, che spesso hanno una visione più neutrale della situazione. Vale la pena fare anche ricerche su Google, perché sebbene le truffe cambino rapidamente, anche il web reagisce rapidamente e le prime persone a essere truffate spesso pubblicano le segnalazioni su Internet. In caso di dubbi, è possibile contattare anche la PSC o la polizia cantonale.

Cosa vorrebbe dire in conclusione ai lettori?
Che su Internet tutto, davvero tutto ciò che può essere manipolato e abusato, viene manipolato e abusato, in modo tale che è impossibile per chiunque verificarne l’autenticità. Con l’uso dell’intelligenza artificiale, questo problema si aggraverà ulteriormente. Per questo motivo, in generale è necessaria una sana diffidenza e, in caso di dubbio, è opportuno consultare esperti e confidenti nel mondo reale.

Ulteriori informazioni:

Ultima modifica 02.10.2023

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2023/ecsm-2023-start.html