Il social engineering è una strategia non tecnica che ha lo scopo di manipolare le persone affinché queste eseguano determinate azioni o divulghino informazioni confidenziali. Anziché sfruttare una vulnerabilità software o hardware, il social engineering sfrutta la natura umana, permette all’hacker di prendere possesso della volontà delle persone fingendo di aver bisogno di dati personali o finanziari per confermare l’identità di una persona.

Per eseguire questa tecnica, i cyber criminali fanno affidamento su diverse metodologie: finta autorità, intimidazione, consenso, scarsità, urgenza, familiarità e fiducia.

Finta autorità

Gli hacker confidano nel fatto che la gente sia più disposta ad eseguire delle azioni quando questo gli viene chiesto da qualcuno che reputano una figura autorevole. L’esempio più banale è la richiesta di apertura di un file che sembra ufficiale agli occhi dell’utente ma in realtà contiene un codice malevolo al suo interno.

Intimidazione

Gli hacker molto spesso si comportano come dei bulli nei confronti della loro vittima così che commetta un’azione che possa compromettere la sua sicurezza. Ad esempio, una segreteria riceve una chiamata dal capo in cui chiede di ricevere un’importante presentazione perché quella che gli è stata inviata precedentemente presenta dei file corrotti. Il cyber criminale quindi, afferma che la colpa è della segreteria e richiede con urgenza che i file vengano inviati di nuovo altrimenti si rischia il licenziamento.

Consenso

La tecnica per avere il consenso spesso viene chiamata social proof. Gli attacchi a consenso funzionano perché le persone tendono ad agire nello stesso modo di chi hanno intorno, pensando di fare una cosa giusta dal momento che tutti quanti la stanno facendo. Un hacker, ad esempio, potrebbe pubblicare sui social un post in cui espone un’opportunità di business e ottenere dozzine di account legittimi o meno per confermare la validità delle persone, incoraggiando le vittime ad eseguire una azione qualsiasi, come un acquisto o l’inserimento di dati sensibili.

Scarsità

Gli scarcity attack funzionano perché gli hacker sanno che le persone tendono a fare qualcosa quando pensano che questa sia limitata, come l’acquisto di un bene. Viene sfruttata quindi un’emozione umana nel tentativo di spronare la vittima ad effettuare l’acquisto così da ottenerne i dati finanziari.

Urgenza

Le persone tendono a compiere delle azioni quando credono di avere poco tempo a disposizione per farle. Gli hacker lo sanno e sfruttano ciò per i loro scopi, andando a promuovere delle finte offerte a tempo limitato per ottenere rapidamente dalle vittime, ciò di cui hanno bisogno.

Familiarità

Le persone compiono facilmente delle azioni se gli viene chiesto da qualcuno di cui si fidano o che conoscono. Gli hacker, quindi, cercano di costruire un rapporto con le proprie vittime per creare una relazione. In altri casi invece, creano un account clone dei profili social di un qualcuno che si conosce per farti pensare di star parlando con lui.

Fiducia

Costruire un rapporto di fiducia con le proprie vittime, in alcuni casi può richiedere un periodo di tempo molto lungo. Gli hacker quindi si travestono da esperti di sicurezza che contattano le vittime per offrire un servizio. Nel momento in cui viene utilizzato tale servizio, l’esperto di sicurezza rileva subito dei seri errori che bisogna risolvere al più presto e questo permette ai cyber criminali di violare la sicurezza delle vittime.