di Leo Stilo

La figura dell’ingegnere sociale è strettamente legata all’analisi dei comportamenti del personale aziendale al fine di carpire informazioni rilevanti per portare a termine il piano criminoso (sferrare un attacco o compiere una truffa).
Con l’espressione social engineering[1] si indica una tecnica che consente di superare le barriere tecnologiche poste a tutela dei sistemi informatici aziendali sfruttando la fiducia della vittima. Lo scopo di un social engineer può essere così sintetizzato: «L’obiettivo è quello di ottenere informazioni che permettano libero accesso all’interno del sistema e ad informazioni di valore che risiedono in quel sistema.»[2].
Un social engineer utilizza le armi della finzione, dell’inganno e della persuasione in quanto deve riuscire, nascondendo la propria identità, a ricavare informazioni (o porzioni di esse) senza che la stessa vittima sospetti di fornire dati idonei a rendere vulnerabile il sistema informatico.
La raccolta delle informazioni dalla vittima può richiedere anche diversi giorni e deriva in particolare da fonti quali email, telefono, fax, analisi delle informazioni pubblicate nel sito o nel materiale informativo/pubblicitario, elenchi di informazioni pubbliche (albi professionali, camere di commercio, anagrafe comunale ...). La fase successiva è quella della verifica e dello studio delle informazioni raccolte. L’ingegnere sociale, infatti, deve impersonare una parte fisicamente e/o virtualmente per trarre in inganno la vittima. Tra le tecniche utilizzate vi sono, ad esempio, quelle di: cercare nella spazzatura alla ricerca di codici, numeri di telefono e altre informazioni utili; fingersi un cliente con poche conoscenze informatiche e chiedere informazioni dettagliate sul servizio erogato dall’azienda; fingersi un dipendente della società che ha venduto il software all’azienda e chiedere di poter accedere (fisicamente o in remoto) alle macchine per installare nuove versioni o aggiornamenti e molte altre dettate dalla fantasia e dalle capacità tecniche e culturali dell’ingegnere sociale.

note

[1] Wikipedia encyclopedia (www.wikipedia.org) : voce “social engineering”
[2] MARIA LICIA FRIGO, Ingegneria sociale e psicologia: il fattore umano nel processo della sicurezza, in AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forlì, 2005, 25: