Un articolo estratto dal numero 97 di Wired, dedicato al tema della finzione e del fake.
art Matthew Grabelsky
“Non posso sapere con certezza chi sei, se sei davvero un giornalista, se scrivi per Wired. Di te conosco solo le email che mi hai mandato. Ma fidarci di chi abbiamo davanti è un’esigenza e una caratteristica della nostra natura: è una debolezza, forse, ma anche qualcosa che tiene viva la specie”. È un rischio calcolato, quello che corriamo tutti i giorni rispondendo a messaggi o accettando richieste di amicizia e follower sui social network, in un continuo disallineamento tra lo spazio fisico e quello digitale, nel quale diamo costantemente per scontato di avere davanti l’estensione virtuale di una persona in carne e ossa, della quale ci fidiamo. È in questi spazi che si inserisce Christopher Hadnagy, imprenditore, hacker e sacerdote laico dell’ingegneria sociale, la scienza del manipolare il prossimo inducendolo a compiere determinate azioni o a rivelare informazioni che dovrebbero rimanere riservate. Dell’ingegneria sociale, ovvero l’insieme delle tecniche che permettono di “hackerare gli esseri umani”, come suggerisce il titolo del suo ultimo libro (Human Hacking, scritto con Seth Schulman, pubblicato da Harper Business, ma un altro precedente è uscito in Italia con questo stesso titolo, edito da Apogeo, due anni fa), Hadnagy ha fatto una professione, offrendo in tutto il mondo servizi di penetration testing (test di accesso) con i quali accerta la sicurezza informatica e fisica di aziende e organizzazioni. Hadnagy offre la sua esperienza per verificare la tenuta di procedure, personale e impianti di videosorveglianza, sul modello dei test comuni nella sicurezza informatica, dove hacker esperti vengono assoldati da un’azienda per mettere alla prova le proprie difese digitali. Se si intrufola in uno stabile, ammansendo i receptionist o scoprendo come si sblocca un tornello, l’azienda sa che dovrà riorganizzare le proprie procedure di sicurezza.
La cassetta degli attrezzi di Christopher Hadnagy – e della Social-Engineer, società di consulenza che ha fondato nel 2003 a Orlando, Florida – contiene ogni tipo di tecnica, che va dal travestimento fino ai più raffinati studi di psicologia comportamentale, che permettono di capire quale sia l’arma migliore o il momento più adatto per sferrare un attacco. A volte ci si finge ingenui passanti, in altri casi ci si improvvisa forti e decisionisti. Ma alla base di tutto sta “la capacità di entrare in empatia con le persone, chiedersi che cosa possiamo offrire loro prima di domandarci che cosa vogliamo noi da loro”, spiega Hadnagy, con un sorriso affabile e un rassicurante camicione blu pastello. Sullo sfondo, nel suo ufficio, un pupazzetto di Grogu e una riproduzione del cervello umano. Qualsiasi stratega conosce bene il proprio campo di battaglia.
“È fondamentale capire che lo human hacking può essere utilizzato da tutti e in qualunque circostanza, per migliorare la propria capacità di comunicare. La chiave è saper entrare in contatto con le persone, saper essere empatici”.
E come si fa?
“All’inizio di questa nostra conversazione, mi domando: “Che cosa si aspetta il mio interlocutore?”. Non mi concentro su quello di cui io ho bisogno. E faccio del mio meglio per offrire ciò che mi viene richiesto. Dal punto di vista della sicurezza, lo human hacking è il passaggio successivo, quello che permette di trarre vantaggio dalla sensibilità umana”.
Non sembra un tema molto tecnologico.
“Non lo è, infatti. La storia è piena di inganni che utilizzano tecniche simili. Il più esemplare è il cavallo di Troia, che si ripete nei tipici malware nascosti dentro ai file digitali. Ma oggi determinati imbrogli sono diventati molto più comuni e l’avvento dei social network li favorisce, permettendo a chiunque di fingersi qualcun altro o di acquisire informazioni utili per progettare un attacco”.
Un esempio?
“È accaduto persino a noi. Recentemente abbiamo assunto un nuovo responsabile delle vendite, Jason, e l’abbiamo annunciato sui social. Proprio il suo primo giorno di lavoro ha ricevuto una mia email nella quale gli chiedevo di occuparsi di un trasferimento di denaro dal momento che io ero in riunione. Ovviamente non era mia, e Jason sapeva che non ero impegnato. Mi ha subito chiamato e mi ha chiesto se l’avessi davvero mandata io: bene, Jason, ottimo lavoro, benvenuto a bordo! Ma se una cosa simile può accadere a una piccola azienda come la nostra, chiediamoci quanto spesso possa succedere a quelle grandi”».
E questo tipo di attacco avviene generalmente con il solo impiego di informazioni pubblicamente disponibili online, come il vostro post che annunciava l’assunzione di Jason?
“Sì, è il principio base dell’Osint (Open source intelligence, ndr), che ci fornisce una marea di informazioni accessibili a chiunque. È esattamente quello che fai quando vai in un locale e incontri una persona alla quale sei interessato, no? La cerchi su Facebook o su Instagram, provi a capire qualcosa di più, se è qualcuno con cui andrai d’accordo, se potrebbe ferirti o crearti dei problemi. Una prospettiva che cambia quando assumi il punto di vista di un attaccante, che generalmente cerca informazioni su come rubarti l’identità o fregarti dei soldi. In questo caso, è l’intenzione a determinare se queste tecniche possono diventare pericolose o meno”.
Molti sembrano convinti di poter rimanere anonimi impostando i propri profili in modalità privata.
“È uno sforzo vano. Poco tempo fa, l’amministratore delegato di una banca ha dichiarato durante un’intervista di avere un account segreto su Instagram e ha sfidato chiunque a trovarlo. Ecco, hanno appena pubblicato un articolo nel quale rivelano di averlo trovato, e spiegano come”.
Appunto, come?
“Con un processo di Osint molto approfondito, partendo dai suoi parenti e ricostruendo una rete di relazioni, connessioni, interessi. La morale è che non devi mai sfidare internet a trovare qualcosa, perché prima o poi qualcuno ci riesce”.
Qualcosa di simile è stato fatto anche negli scontri di Washington di gennaio.
“Esattamente. In quel caso l’Fbi aveva bisogno di individuare chi aveva fatto irruzione nel Congresso statunitense e ha pubblicato su Twitter le facce di alcuni di loro, dando agli utenti la possibilità di aiutare. È bastata qualche ora per ottenere nomi, cognomi, impieghi, identità dei famigliari e addirittura indirizzi. Per la gran parte delle persone questo è persino divertente. Ma può essere anche estremamente pericoloso”.
Siamo troppo inclini a tenere basse le nostre difese?
“Esiste un fenomeno molto interessante, che Timothy Levine nei suoi studi chiama “truth bias” (propensione alla fiducia), secondo il quale siamo portati a credere che tutti siano onesti come noi. È la ragione per cui ho accettato questa intervista: non posso sapere se sei davvero un giornalista o magari una spia russa, ma c’è coerenza tra quello che mi hai detto e ciò che il mio cervello nota. E viceversa, tu ti fidi nel sapere che stai parlando con la persona alla quale hai chiesto la chiacchierata. Se andassimo continuamente in giro a dubitare del prossimo, la specie non si propagherebbe e forse ci estingueremmo rapidamente”.
Ma in questo caso io ho degli elementi oggettivi, conosco il suo volto per esempio.
“È vero, ed è il tipo di certezza sfruttata da alcuni attaccanti provenienti dall’Iran quando hanno creato finti account su Linkedin con le foto di giornalisti esistenti di testate reali, usandoli per ottenere interviste con alcuni generali prossimi al pensionamento dell’esercito americano. Il trucco ha funzionato e, tramite un’intervista scritta via email, hanno ottenuto preziose informazioni su operazioni militari e strategie. I generali non potevano immaginare di trovarsi di fronte a finti intervistatori, dal momento che il loro giudizio era costruito su prove credibili, come le foto e i profili Linkedin”.
È lo stesso meccanismo che sfrutterebbe un ingegnere sociale per entrare in un edificio senza essere scoperto?
“Esatto. Pensala così: devo entrare in un’organizzazione e, dopo alcune ricerche, scopro che ha una ditta di riferimento per la manutenzione degli ascensori. È sufficiente trovare poche immagini per procurarsi uniformi simili a quelle impiegate dalla ditta in questione. A quel punto, basta dirigersi decisi verso la reception e, prima ancora che io apra bocca, la persona ai controlli di sicurezza sarà convinta di avere davanti un manutentore. Se riesci a rimanere calmo e nella parte, nessuno si accorgerà di nulla, perché tutto ciò che vedono suggerirà loro di avere davanti esattamente chi fingi di essere”.
Quindi, occorrono maggiori controlli di sicurezza?
“Non necessariamente. Nessuno desidera che chiunque diventi paranoico e scontroso con i clienti che entrano nelle proprie aziende. Il segreto sta nel ripensare le procedure. Una volta ho tentato di accedere a un edificio come riparatore di ascensori e la guardia all’ingresso mi ha fermato perché non ero nella lista delle persone autorizzate. Ho chiesto chi avrebbe dovuto inserirmi e mi è stato spiegato che c’era un responsabile di nome Joe. Così mi sono allontanato e ho chiamato fingendomi Joe e chiedendo che facessero entrare il finto riparatore di ascensori. Ma quella volta la guardia è stata attenta, ha cercato il nome della mia finta azienda su internet e mi ha fatto un sacco di domande, finendo per farmi cadere in contraddizione. Mi sono dovuto arrendere”.
Come si riesce, invece, a far sì che l’imbroglio funzioni?
“La gentilezza e l’empatia sono armi formidabili. In un’altra occasione ho avuto l’opportunità di essere molto cortese nel dare una mano all’addetta all’accoglienza. Era incaricata di stampare i badge all’ingresso e di premere il bottone che avrebbe consentito il passaggio attraverso i tornelli. Fortunatamente, proprio la stampante dei badge aveva qualche difficoltà e sono intervenuto in suo aiuto per poi chiederle all’improvviso se mi potesse far passare dal momento che avevo fretta. Ha funzionato. Quando ho steso il mio rapporto, mi hanno chiesto se l’episodio rivelasse l’inadeguatezza della dipendente, ma non è così: lei è un essere umano e non è una colpa essere gentili. Era la procedura a essere sbagliata: è bastato mettere un’altra persona al controllo dei tornelli, diversa da chi stampa i badge, e l’anno dopo non siamo più riusciti a entrare”.
The post Professione infiltrato appeared first on Wired.
Link originale...