![[schermata falsa di Paypal tratta da Hutteman.com]](paypalspoof_from_hutteman_com.jpg)
(C) 2003 by Paolo Attivissimo -- www.attivissimo.net
Prima versione: 29 dicembre 2003. Ultimo aggiornamento: 30 dicembre 2003
Questo documento può essere duplicato e distribuito liberamente purché in forma gratuita e lasciando intatta l'indicazione dell'autore (Paolo Attivissimo) e di dove reperire le versioni più aggiornate (http://www.attivissimo.net).
Dietro quest'espressione altisonante si cela un concetto molto semplice: fregare il prossimo con la psicologia. Il social engineering è l'insieme delle tecniche psicologiche, non informatiche,
usate dagli aggressori online per farci fare quello che vogliono: per
esempio, indurci a dare loro i nostri codici di accesso, ad aprire i
loro allegati infetti o a visitare un sito che contiene dialer o altro materiale pericoloso.
Ripeto: per fare social engineering non occorrono competenze informatiche:
basta conoscere la psicologia di base delle persone, che è uguale per
tutti. Reagiamo tutti allo stesso modo ad alcuni stimoli di base. Il
furbo online che vi vuole fregare usa questa conoscenza per piegarvi al
suo volere.
Lo scopo di quest'articolo non è insegnare a fregare il prossimo, ma insegnare a riconoscere i tentativi di fregarvi. Conoscere le tecniche di social engineering è
il modo migliore per non finirne vittima. Troverete inoltre che le
tecniche usate dagli imbroglioni online sono molto illuminanti per
quanto riguarda il modo in cui la gente ragiona (o sragiona), in
Internet e nel mondo reale.
Serve ad arrivare là dove non si arriva con i normali strumenti di intrusione informatica.
Uno dei principali problemi degli autori di virus, che ambiscono a
raggiungere la massima propagazione possibile (è una sorta di gara a
chi piscia più lontano), è che molti programmi di posta non sono così
stupidi da eseguire automaticamente gli allegati, anche se le vecchie
versioni di Outlook e Outlook Express sono notoriamente ingenue in
questo senso, e molti utenti adottano le precauzioni elementari
costituite da antivirus, firewall e buon senso.
Per scavalcare queste precauzioni c'è un modo molto semplice:
indurre la vittima, tramite espedienti psicologici e non informatici, a
fidarsi dell'allegato e quindi eseguirlo, in barba al buon senso.
Un altro scopo degli aggressori è indurre l'utente a fidarsi del contenuto
del messaggio che mandano e quindi eseguirne i comandi: per esempio, un
aggressore può creare un messaggio che indice l'utente a visitare un
falso sito Web, costruito in modo da somigliare a uno autentico e
affidabile (una banca o PayPal o Microsoft o quello di un provider, per
esempio), e a immettervi i propri codici d'accesso. La vittima crede di
comunicare con la propria banca, in realtà sta comunicando i propri PIN
e password al malfattore, con tutte le ovvie conseguenze del caso.
A prescindere dal metodo, si tratta comunque di creare fiducia nella vittima. A quel punto può scattare la trappola, che può sfruttare le conoscenze informatiche più o meno sofisticate dell'aggressore.
Non cominciate a dire "io sono troppo colto/intelligente per abboccare".
Essere vittima del social engineering non è una questione di lauree o di
quoziente intellettivo. Ho in archivio casi spettacolari di social
engineering perpetrato ai danni di professionisti, professori,
ingegneri e primari d'ospedale. Ci casca chiunque non conosca le tecniche psicologiche del social engineering.
Non fate affidamento sul vostro antivirus, firewall o altro software di difesa. Il social engineering è fatto apposta per aggirarli. Nel vostro sistema di difesa informatica, siete voi
(o i vostri dipendenti o colleghi) l'anello più debole: è inutile avere
il più bel sistema di protezione dell'universo, se poi la vostra
segretaria ne consegna la password a chiunque le mandi un e-mail
spacciandosi per un tecnico Microsoft o simili.
Nell'arsenale psicologico dell'aggressore ci sono vari grimaldelli per scardinare le vostre difese mentali:
L'aggressore li usa singolarmente o in combinazione per ottenere il risultato desiderato.
C'è qualcosa nell'e-mail che ci induce a credere istintivamente alla sua autenticità.
Probabilmente è il fatto che l'e-mail, essendo visualizzato con
caratteri tipografici, eredita l'autorevolezza della carta stampata o
delle comunicazioni burocratiche ufficiali. Con i programmi di posta
cosiddetti "evoluti", che visualizzano anche le immagini allegate ai
messaggi, un e-mail può anche contenere un logo aziendale o un altro
marchio di fiducia, che ne aumenta ancora l'autorevolezza (reale o
apparente).
Ma il mittente di un e-mail è falsificabile con estrema facilità, e anche un sito è altrettanto facilmente falsificabile.
Un e-mail che sembra arrivare da un indirizzo Microsoft, per esempio, è
facilissimo da confezionare, con tanto di marchi e icone
indistinguibili dagli originali. Inoltre siamo tutti un po'
condizionati ad accettare l'autorità altrui e a ubbidire ai comandi se
impartiti con autorevolezza.
L'aggressore fa leva sul cosiddetto principio d'autorità:
si spaccia per una fonte autorevole (un'azienda, un ente, un governo) e
ci manda un messaggio in cui ci chiede per esempio di installare subito
il software allegato (per esempio un falso "aggiornamento di sicurezza"
di Windows) oppure di leggere il documento allegato o visitare un certo
sito-trappola, oppure di mandargli le nostre password "per un
controllo". L'allegato o il sito contengono software che veicola
l'infezione o ruba i codici di accesso, ottenendo i risultati
desiderati dall'aggressore.
Sono richieste che ignoreremmo istintivamente se provenissero da una
fonte non autorevole, ma il principio d'autorità ci fa abbassare le
difese.
Tutti ci sentiamo colpevoli di qualche cosa, e probabilmente lo siamo.
Non ditemi che non avete mai visitato un sito porno o usato software
pirata o scaricato una canzone o un film da Internet. L'aggressore fa
leva su questo principio di colpa per piegarvi al suo volere: vi fa
credere di essere a conoscenza di un vostro misfatto e vi offre un modo
per nasconderlo. In questo modo crea una complicità, si presenta come
vostro salvatore, e voi cadete nella trappola di ubbidire ai suoi
comandi.
Per esempio, potreste ricevere un e-mail in cui un "Ente di Sorveglianza Internet"
vi dice di essere al corrente di una vostra attività online illecita e
vi propone di regolarizzare la vostra posizione installando il
programma allegato all'e-mail. Sappiamo tutti che non si devono
eseguire allegati di fonte sconosciuta, ma il senso di colpa tenderà a
farcelo dimenticare. Naturalmente il programma allegato è un virus o
simile.
Un altro degli strumenti preferiti degli aggressori è suscitare il panico.
Quando siamo spaventati, le nostre facoltà razionali si annebbiano e
diventa più facile ingannarci. L'aggressore può, per esempio, inviarci
un e-mail in cui dice che è in circolazione un pericolosissimo virus
che non viene ancora rilevato dai normali antivirus, ma che viene
debellato dal programma allegato; però bisogna fare presto!!
Ancora una volta, se la richiesta di eseguire l'allegato giungesse
in un messaggio normale, non abboccheremmo: ma siccome siamo spaventati
dal contenuto del messaggio, tendiamo a cadere nella trappola.
Ammettiamolo, è praticamente impossibile sapere tutto del
funzionamento di Internet e di tutti i complicatissimi apparecchi che
ci circondano. Così l'aggressore può confezionare un messaggio che
sembra serio e affidabile perché dice un sacco di cose che non capiamo
ma che hanno l'aria molto tecnica e (nella nostra ignoranza) plausibile.
Per esempio, difficilmente abboccheremo a un messaggio di uno sconosciuto che dice "Ciao, installa questo allegato!", ma sarà più facile cadere nel tranello se il messaggio proviene da uno sconosciuto che invece dice "l'interocitore
rilevato nel Suo computer è disallineato rispetto ai compensatori di
Heisenberg e sta disturbando le comunicazioni della nostra rete. Si
consiglia vivamente di eseguire l'allegato programma di riallineamento,
codice identificativo AXZ-176-TOO74, certificato AF709-SOFT-001".
Certi istinti primordiali sono una manna dal cielo per chi vuol
fregarvi. Per esempio, l'idea di poter scaricare immagini e filmati
porno manda in pappa il cervello di quasi tutti gli utenti maschi. Se un
maschietto riceve un e-mail che gli promette formose visioni (magari di
qualche personaggio famoso) se solo esegue l'allegato programmino o
visita un certo sito, state certi che abboccherà quasi sempre, anche se
in circostanze normali sarebbe stato più guardingo.Il sesso è una molla
classica degli inganni online: gli anni passano, ma funziona sempre.
Anche l'avidità è uno strumento prezioso per l'aggressore. E'
difficile resistere al richiamo di chi sembra offrirci un "affare
eccezionale" o un "sistema infallibile" per diventare ricchi o piratare
il software o avere qualcosa a scrocco (musica, suonerie per cellulari,
vincite alla lotteria). Purtroppo si tende sempre a dimenticare che se una cosa sembra troppo bella per essere vera, probabilmente è perché non è vera.
La pornografia è il grimaldello ideale per far vittime fra i maschi,
ma con il gentil sesso non attacca. Ci vuole un approccio più
sofisticato, più soft. In
questo caso gli aggressori usano sedurre le proprie vittime ricorrendo
a espedienti che fanno leva sull'amore o sui buoni sentimenti (meglio
se un po' sdolcinati).
Per esempio, l'aggressore invia un e-mail in cui dice che "qualcuno ti sta pensando, se vuoi sapere chi è, clicca sull'allegato". Uno dei virus più devastanti si chiamava I love you
dal titolo del messaggio che lo accompagnava: quest'anonima
dichiarazione d'amore fu sufficiente a indurre milioni di utenti
(maschi e femmine) ad aprire l'allegato, attratti dall'esplicita
lusinga, facendosi sistematicamente infettare.
Un altro esempio di questa tecnica è dato dai tanti e-mail che contengono strazianti appelli per salvare bambini malati o nidiate di gattini o per fare donazioni
a favore di enti più o meno sconosciuti: sono quasi sempre trucchi per
indurvi a comunicare i dati della vostra carta di credito o a visitare
un sito che tenterà di infettarvi. Gli enti benefici veri, quelli legittimi, difficilmente distribuiscono appelli via e-mail.
Ora che conoscete per sommi capi le tecniche di social engineering, siete già in gran parte vaccinati:
vi mancano soltanto una regola fondamentale, facile da seguire, e un po'
di allenamento nel riconoscere i sintomi del social engineering.
La regola fondamentale è questa:
Non fidatevi di nessuno su Internet fino a prova contraria. Nessuno!
Ho accennato a quanto è facile spacciarsi per qualcun altro su Internet. Più sotto ne troverete alcuni esempi notevoli. Chi vuole fregarvi cercherà di conquistarsi la vostra fiducia spacciandosi per un vostro amico, collega o conoscente (lo fanno quasi tutti i virus) o per una fonte autorevole (Microsoft, America Online, Telecom Italia, Ebay, PayPal o la vostra banca, per esempio). Qualsiasi messaggio che vi chieda di fare qualcosa va verificato prima di decidere cosa farne. Chiamate il vostro amico/collega o informatevi in giro tramite Google sull'esistenza di un comunicato ufficiale che confermi l'autenticità del messaggio. Nel dubbio, non fate nulla e soprattutto non eseguite le istruzioni ricevute.
Per quanto riguarda l'allenamento, invece, vi propongo qui sotto una carrellata di esempi reali di social engineering
perpetrato tramite Internet. Probabilmente riconoscerete messaggi che
avete ricevuto anche voi. Questa breve rassegna illustra l'astuzia e la
creatività dimostrate da chi ordisce questi raggiri telematici.
|
L'originale |
La traduzione |
|
Ladies and Gentlemen, Downloading of Movies, MP3s and Software is illegal and punishable by law. We hereby inform you that your computer was scanned under the IP 61.71.109.7. The contents of your computer were confiscated as an evidence, and you will be indicated. In the next days, you'll get the charge in writing. In the Reference code: #21910, are all files, that we found on your computer. The sender address of this mail was masked, to fend off mail bombs. - You get more detailed information by the Federal Bureau of Investigation -FBI- - Department for "Illegal Internet Downloads", Room 7350 - 935 Pennsylvania Avenue - Washington, DC 20535, USA - (202) 324-3000 [segue l'allegato #21910 citato nel messaggio] |
Signore e signori, Lo scaricamento di film, MP3 e software è illegale e punibile dalla legge. Con la presente vi informiamo che il vostro computer è stato sottoposto a scansione con l'IP 61.71.109.7. Il contenuto del vostro computer è stato sottoposto a confisca in quanto prova di reato e ne riceverete notifica. Nei prossimi giorni riceverete per iscritto la comunicazione di reato. Nel codice di Riferimento: #21910 sono presenti tutti i file che abbiamo trovato nel vostro computer. L'indirizzo del mittente di questo messaggio è stato mascherato per evitare mailbomb. - Otterrete informazioni più dettagliate tramite il Federal Bureau of Investigation -FBI- - Dipartimento degli "Scaricamenti illegali da Internet", stanza 7350 - 935 Pennsylvania Avenue - Washington, DC 20535, USA
- (202) 324-3000 [segue l'allegato #21910 citato nel messaggio] |
Un capolavoro del suo genere: sono simultaneamente all'opera i grimaldelli:
Tutto questo ha un unico scopo: indurvi ad aprire l'allegato, che lungi dal contenere l'elenco dei vostri file, racchiude un virus.
|
L'originale |
La traduzione interpretata (l'inglese originale è molto maccheronico) |
|
hi, I am from Austria and you'll don't believe me, but a trojan horse in on your computer. I've scanned the network-ports on the internet. (I know, that's illegal) And I have found your pc. Your pc is open on the internet for everybody! Because the smss.exe trojan is running on your system. Check this, open the task manager and try to stop that! You'll see, you can't stop this trojan. When you use win98/me you can't see the trojan!!
And I've found a tool to kill that bad thing. I hope that I've helped you!
|
ciao, sono austriaco e non mi crederai, ma c'è un trojan horse nel tuo computer. Ho eseguito una scansione delle porte di rete su Internet (lo so, è illegale) E ho trovato il tuo PC. Il tuo PC è aperto su Internet a chiunque! Perché il trojan smss.exe è in esecuzione sul tuo sistema. Verificalo, apri il Task Manager e cerca di fermarlo! Vedrai che non puoi fermare questo trojan. Se usi win98/me non puoi vedere il trojan!!
E ho trovato uno strumento per eliminare quella brutta cosa. Spero di averti aiutato!
|
In altre varianti di questo messaggio, segnalate da un lettore (misinato), il mittente è belga, norvegese o di altra nazionalità, ma a parte questo il contenuto non cambia. L'e-mail è accompagnato da un allegato di nome remove-smss-patch-exe, che un rapido esame con un antivirus rivela essere tutt'altro che uno "strumento per eliminare quella brutta cosa": è un virus.
In effetti aprendo il Task Manager in Windows XP si trova un processo di nome smss.exe, come dice il messaggio, ma è giusto che ci sia: è un normale componente di Windows (è il session manager).
Anche in questo caso, l'aggressore sfrutta il social engineering:
Lo scopo, come al solito, è infettare il computer della vittima.
Un ottimo esempio di social engineering a scopo truffaldino anziché vandalico, diversamente dagli esempi precedenti, è fornito da Hutteman.com (http://www.hutteman.com/weblog/2003/12/28-151.html), dal quale riporto la schermata che trovate qui sotto. E' un e-mail che ha tutta l'aria di provenire dal famoso sito PayPal
(un popolarissimo servizio di micropagamento, presso il quale gli utenti
depositano somme di denaro reale per i loro acquisti online).
L'indirizzo del mittente è verification@paypal.com; si vede il logo di Paypal; e soprattutto, il link "click here" sul quale il messaggio invita appunto a cliccare per "reimmettere i propri dati di registrazione" rimanda al sito di Paypal. Non c'è nulla che induca al sospetto.
In realtà il messaggio è una truffa in piena regola ai danni dei
correntisti Paypal (come il sottoscritto): solo che occorre essere
piuttosto esperti per capirlo. Infatti il social engineering all'opera in questo caso usa il principio d'autorità,
perché si presenta come un sito serio ed autorevole, ma in
combinazione, una volta tanto, con tecniche informatiche di intrusione
abbastanza sofisticate.
Lo scopo del social engineering, in questo caso, è indurvi a fidarvi del messaggio:
perché se non vi fidate ma andate a controllarne il contenuto
visualizzando il suo codice HTML, vi accorgete del tentato furto
(perché si vede il link integrale invece della versione mascherata) e
il malfattore non raggiunge il proprio losco obiettivo.
Se invece vi fidate del messaggio e cliccate sul suo link "click here", scatta la trappola informatica: il link infatti sembra portare a Paypal.com, ma in realtà porta al sito-truffa. A causa di alcune vulnerabilità dei più diffusi programmi di posta e di Internet Explorer, la vera destinazione non viene visualizzata neppure nel browser.
L'illusione di trovarsi nel sito autentico è praticamente perfetta, ed
è ovvio che gli utenti non sospettosi cadranno nella trappola e
regaleranno i propri dati personali (password compresa) al truffatore,
che potrà così prosciugare il loro conto Paypal. Lo stesso meccanismo
potrebbe essere usato con il sito della vostra banca.
Per evitare truffe di questo tipo, che sono diffusissime, occorre mantenere sempre alta la guardia e applicare rigorosamente una delle regole fondamentali della sicurezza informatica: non fidarsi mai dei link contenuti all'interno dei messaggi, perché possono essere falsificati in mille modi. Si deve invece andare direttamente al sito citato digitandone da capo il nome o (se adoperate browser sicuri) usando il "copia e incolla" sul link.
Avete trovato utile questo documento? Allora sostenete attivissimo.net!Attivissimo.net è un sito gratuito, e questo documento è liberamente pubblicabile e distribuibile, ma le donazioni sono sempre ben accette, sia tramite PayPal, sia tramite il collaudato sistema della banconota in una busta. Se volete dettagli e istruzioni su come procedere, sono qui. Se non vi occorre sapere altro e volete usare subito PayPal,
potete cliccare sul pulsante qui sotto per fare direttamente una
donazione (anche minima, tutto fa brodo). |
|
Grazie! |
 |
HTML 4.01 compliant. Text and page layout © 2003 by Paolo Attivissimo. |