L’arte della truffa on-line è sempre in evoluzione, ma la storia spesso si ripete.
Un caso interessante è quello che sta portando nuovamente alla ribalta il reverse social engineering. In questa situazione i ruoli si invertono perché il primo approccio, spesso attraverso un messaggio elettronico, non è il vero e proprio attacco, bensì crea le premesse perché la vittima cerchi di contattare il criminale. Un caso concreto è legato all’invio di un sms che annuncia la vincita di un ricco buono acquisto da spendere su un noto sito di commercio elettronico contattando il numero telefonico indicato nel messaggio stesso. La linea in questione è controllata dai criminali che sono in attesa. Quando arriva la chiamata da parte dell'utente, i criminali raccolgono le informazioni utili, ma soprattutto cercano di instaurare un rapporto di fiducia. Al termine della procedura, il delinquente avvisa l’ignaro interlocutore che riceverà una email con il link da cui scaricare il buono acquisto. Inutile dire che appena il messaggio farà la sua comparsa nella casella di posta elettronica della vittima, quest’ultima eseguirà senza esitazione tutte le istruzioni, fino all’inevitabile e sgradevole epilogo.
Questo approccio presenta un maggior numero di rischi per i criminali, ma garantisce percentuali di successo altissime. Ovviamente l’unica difesa è una certa dose di diffidenza, che purtroppo sembra ancora ben poco diffusa, nonostante gli appelli quotidiani. Al Defcon dello scorso agosto, un incontro periodico tra i più brillanti hacker del mondo, si è svolto il consueto “Social Engineering Contest”. Il vincitore, con una semplice telefonata e in meno di 25 minuti, è riuscito a ottenere da un dipendente di una nota azienda americana tutte le informazioni relative a come fosse strutturata la rete aziendale, e quali fossero i sistemi di sicurezza. Molto più di quanto serve a un hacker nemmeno troppo bravo per infiltrarsi.
Aggiornato il 28 novembre 2022 alle ore 02:59
