Il social engineering o ingegneria sociale è un termine usato molto nel settore informatico dove viene applicato nell'ambito dell'haking ma è una disciplina molto datata presa in prestito dall'ambito dello spionaggio e dalle attività d'inteligence.
Racchiude nel suo interno attività di studio, spionaggio, investigazione, manipolazione e persuasione dei soggetti finalizzata ad ottenere informazioni utili dalle persone o inducendole a muoversi, pensare e fare azioni utili per i nostri scopi.
Ci si avvale dell'arte della finzione, della dissimulazione, nascondendo la propria vera identità ed obiettivi e assumendo di volta in volta anche identità diverse, in certi ambiti può essere un'attività anche altamente rischiosa.
E' una delle strategie più comuni utilizzate in ambito militare, politico, sociale e d'inteligence.
L'attacco quindi può essere realizzato da una singola persona come da un gruppo e rivolto ad un singolo individuo come a gruppi o masse di persone.
Pazienza, determinazione, intuito, capacità di osservazione e deduzione, di analisi, di sintesi, capacità di mentire e dissimulare, nozioni di psicologia ed altre conoscenze, sono importanti ed in molti casi fondamentali per poter arrivare al proprio obiettivo con successo.
A grandi linee il sistema di attacco inizia sempre cercando tutte le informazioni utili sulla vittima prescelta, è necessario acquisire le informazioni nel modo più completo possibile e procedere poi ad una verifica dei dati ottenuti.
Per ottenere le informazioni, il sistema di attacco verso la vittima può essere sostanzialmente diviso in tre strategie diverse:
- Acqusire le informazioni utili solo in modalità indiretta, ossia senza entrare mai in contatto con la vittima, si può applicare per esempio ottenendo informazioni da altre persone (segretarie, colleghi di lavoro, conoscenti, familiari, etc.), acquisendo o sottraendo materiale audio, video, cartaceo o digitale, apparecchiature elettroniche usate dalla vittima, importanti anche le intercettazioni ambientali e telefoniche, studi psicologici e comportamentali del soggetto (molto utili anche nel caso in cui l'obiettivo sia un gruppo o una massa di persone) etc.
- Acquisire le informazioni entrando in contatto diretto con la vittima attraverso la frequentazione, se si riesce a comunicare fiducia e a suscitare interesse la vittima diventa molto vulnerabile, può abbassare la propria guardia e darvi molte informazioni che in altre situazioni non vi avrebbe mai rivelato, è in una posizione comunque dove può risultare più efficace un vostro tentativo di controllo.
- Acqusire le informazioni utilizzando una tecnica mista, in questo caso si applicano le due strategie sopracitate.
Successivamente si passa alla seconda fase, ossia l'elaborazione di una strategia o piano di attacco, è importante dire che questa fase non deve prendere necessariamente il posto alla prima, ma può anche viaggiare in parallelo, per aumentare le probabilità di successo è necessario che la pianificazione sia la più dettagliata possibile e ricca di piani alternativi, nel caso qualcosa vada storto.
A questo punto si passa alla fase finale di attacco vero e proprio atta a colpire la vittima o le vittime e arrivare al proprio obiettivo.
L'elaborazione e la realizzazione di ogni passaggio o dell'intera operazione possono richiedere da poche ore a tempistiche molto lunghe, talvolta anche anni, è tutto relativo alla complessità del piano e dell'obiettivo.
Il social engineering o ingegneria sociale è in realtà una materia molto complessa ed applicata in tantissimi ambiti, anche quelli più quotidiani della nostra vita, maggiori sono igli interessi in gioco nell'ottenere un risultato e più forti e complesse sono le strategie applicate, non a caso, tra gli ambiti più coinvolti troviamo: l'ambito politico, militare, economico ed ovviamente il più importante, ossia quello sociale in genere.
Possiamo dire che il social engineering è una disciplina sociale molto complessa ed articolata che interessa tangenzialmente molti ambiti ed altre discipline.
E' in poche parole: l'arte dell'acquisire, studiare, carpire informazioni, dirigere ed infine portare a termine i propri obiettivi.
Andrea Guzzo
