Breve storia triste: quando la leggerezza diventa la porta aperta per il pericolo.

Caro Facilitatore Informatico,

il storia che ti sto per raccontare si basa su un’esperienza che ho vissuto in prima persona, quando ho avuto l’opportunità di testare la sicurezza di un'azienda di Donald Duck...

Quello che è successo durante quella visita è un esempio perfetto di come l’ingegneria sociale funzioni, e spero che serva da lezione per tutti.

Mi trovavo davanti a un edificio aziendale, mai entrato prima, senza essere stato presentato o avere alcuna credenziale. Non ero un dipendente né un ospite; ero semplicemente un estraneo. Nessuno mi avrebbe dovuto notare, eppure mi sono infilato all’interno senza incontrare resistenza. In verità, non solo non sono stato fermato, ma nemmeno una persona mi ha guardato più di tanto. Anzi, mi hanno ignorato come se fossi un oggetto della hall, come una pianta in vaso che nessuno ha voglia di notare.

Mi sono diretto verso la reception, e lì ho messo in atto la mia "tecnica": ho fatto il mio ingresso con un sorriso imbarazzato e un semplice "Ciao". La receptionist (una bella paperina, per la verità) che stava evidentemente annoiata a guardare lo schermo, si è subito distratta, mostrando un’inattesa felicità per la mia presenza, come se avesse trovato una distrazione dal solito monotono lavoro. Non ci ha messo molto a mettersi in azione per aiutarmi. Mi stava già chiedendo di cosa avessi bisogno, senza sospettare nulla di strano.

Le ho raccontato una storia plausibile, dicendole che avevo un colloquio nell'ufficio accanto e che avevo rovesciato del caffè sul mio curriculum. Ho estratto una chiavetta USB con un gesto teatrale, per sottolineare la mia sfortunata situazione. In realtà, quella chiavetta non conteneva affatto il mio curriculum, ma un malware mascherato da file innocuo. Ho chiesto se fosse possibile stampare una nuova copia del mio curriculum, in modo che potessi rimediare al piccolo disastro. Era una mossa semplice, ma ben studiata, un’azione che sfrutta il nostro naturale istinto di voler aiutare.

La receptionist, la mia bella paperina, che non aveva motivo di sospettare nulla, ha inserito la chiavetta nel computer senza pensarci due volte. E così, in quel momento, è iniziato un processo che avrebbe compromesso la sicurezza della rete aziendale. La mia paperina sembrava così gentile e innocente, e per un momento, anch'io mi sentivo quasi in colpa. Ma era troppo tardi: avevo fatto il mio gioco, e la rete aziendale era ormai vulnerabile.

Questa esperienza mi ha insegnato quanto sia facile per i truffatori sfruttare le emozioni umane per manipolare una situazione. Non si tratta solo di sfruttare la curiosità, ma anche altre emozioni come la paura, la scarsità e la prova sociale. Uno furbo come me può facilmente giocare su queste leve emotive per manipolare le persone. Ad esempio, la paura di perdere il lavoro può essere un potente motore che spinge qualcuno a compiere azioni impulsive. O la scarsità: "Devi agire subito, perché l'opportunità sta per scadere!" Questi sono gli strumenti che uso, come un prestigiatore, per spingere le persone a fare ciò che voglio senza nemmeno pensarci.

Ci sono anche altre tattiche che spesso sfrutto. Gli attacchi di ingegneria sociale non sono mai semplici richieste. Gli aggressori spesso inventano storie improbabili per far emergere curiosità. Ad esempio, potrei fingere di essere un ricco investitore che offre un’opportunità unica che farà guadagnare milioni. Oppure potrei spacciarmi per una figura autoritaria, come un capo o un poliziotto, per indurre paura e convincere la vittima a obbedire senza fare domande. È sorprendente come la gente risponda senza pensarci troppo.

Nel mio lavoro ho imparato che l’ingegneria sociale funziona proprio perché sfrutta le emozioni più primordiali che tutti noi abbiamo. Non è sufficiente dire "non accettare chiavette USB da sconosciuti", perché ciò che i truffatori fanno è spingere le persone a ignorare la logica e a seguire l’impulso di essere gentili, di voler aiutare, di non volersi mettere in difficoltà.

Eppure, nonostante tutti gli avvisi e le formazioni, la gente continua a cadere in queste trappole. La ragione è semplice: gli attacchi di ingegneria sociale non sono facili da riconoscere. Non si tratta di qualcosa di banale come una richiesta di soldi. Si tratta di situazioni che sembrano ordinarie, ma che nascondono un pericolo. La mia esperienza con la receptionist è un esempio perfetto. Lei non si sarebbe mai aspettata che una semplice richiesta di stampare un curriculum fosse una trappola. Eppure, lo era.

Per proteggersi da attacchi come il mio, è importante rallentare. Non agire d’impulso, ma prendersi un momento per riflettere prima di rispondere a una richiesta sospetta. Se il tuo capo ti manda una e-mail che ti sembra strana, fai una telefonata per confermare. Non basta mai solo la fiducia. Serve sempre una verifica extra.

Un altro punto cruciale è la formazione. Troppo spesso, le organizzazioni si affidano a corsi di formazione sulla sicurezza generici che non sono adatti a fare fronte a minacce specifiche. Se un’azienda riceve chiamate frequenti da truffatori che si spacciano per dipendenti dell’IT, allora la formazione deve affrontare proprio quel tipo di attacco. Le simulazioni pratiche sono fondamentali. Devono essere allenati a rispondere correttamente a una crisi informatica. Non basta leggere teorie, bisogna viverle.

Infine, c'è un altro trucco che spesso uso: l'accesso fisico all'edificio. In molti casi, se non hai il badge giusto per entrare, basta fare "tailgating", ovvero seguire qualcun altro che entra senza farsi notare. Ebbene, in quella situazione, ho notato una donna che, pur accorgendosi di me, non sapeva come agire. Le ci sono volute ore per decidere cosa fare. Alla fine, non ha saputo come gestire la situazione. Se solo avesse saputo come segnalarmi, forse sarebbe riuscita a fermarmi.

Il punto che voglio far capire è che non basta dire alle persone "non far entrare estranei" o "segnala tutto alla sicurezza". Bisogna educare le persone a riconoscere il pericolo e ad agire in modo appropriato. Se quella donna avesse avuto una guida chiara, se avesse saputo come gestire la situazione, probabilmente non sarei mai riuscito a compromettere la sicurezza dell’azienda.

Insomma, è colpa sua. Ma non solo sua. È colpa della mancanza di consapevolezza, di formazione e di preparazione. Finché le persone non sapranno come rispondere correttamente a questi attacchi, continueranno a cadere nelle trappole.

Suo sinceramente,

Paperinik.

#sicurezza #divulgatoreinformatico