Le tecniche di social engineering, che possono portare rischi in ambito cyber security, sfruttano con efficacia le euristiche umane e la relazione non lineare tra pensiero e azione, stimolando attivamente un comportamento, senza che la vittima se ne renda conto.
Gli uomini sono esseri sociali che agiscono nel loro contesto. La relazione che esiste tra pensiero e azione è stata oggetto di studio di numerose discipline, dalla filosofia (e gnoseologia della conoscenza) alla psicologia (cognitiva e sociale), dalla sociologia alla logica e all’intelligenza artificiale.
Tutte concordano sulla natura limitata delle risorse sensitive e razionali e sulla tendenza dell’essere umano al “risparmio computazionale”.
Il meccanismo alla base del ragionamento umano è caratterizzato da scorciatoie, da euristiche, cioè semplici ed efficienti regole che semplificano la soluzione a problemi complessi, rendendo possibile l’azione in un contesto in cui si hanno informazioni incomplete.
Indice degli argomenti
Armi della persuasione e cyber security
Robert Cialdini, nel 2001, scrive un testo illuminante, “Le Armi della Persuasione” che illustra “come e perché si finisce col dire di sì”.
La coerenza, l’impulso ad essere/sembrare consistenti con le proprie asserzioni o posizioni precedentemente espresse, è forse la tara umana più forte. Già introdotto da Leon Festinger nel 1957 con la sua “Teoria della Dissonanza Cognitiva”, il principio rappresenta un’arma potente di influenza sociale.
Un attaccante potrebbe sfruttare un’affermazione della vittima sull’impegno ambientale per convincerla a cliccare d’impulso su un link malevolo, che tratti di un contenuto analogo.
La reciprocità agisce come un’ulteriore spinta occulta: in genere l’uomo sente il bisogno di contraccambiare favori veri, o presunti tali.
L’antropologia culturale considera questo aspetto come tipico di tutte le società umane, qualcosa di viscerale, profondamente legato alla nostra natura. È un istinto potente, che agisce in una fase pre-razionale e che può essere sfruttato per generare azioni, specie in contesti di reverse social engineering.
A titolo esemplificativo, l’attaccante potrebbe costruire consapevolmente uno scenario (pretext) preoccupante per la vittima, presentarsi come una figura che, apparentemente senza nulla in cambio, si offre per risolvere la situazione e, solo in un secondo momento, “presentare il conto”, richiedendo certe informazioni all’operatore che, sentendosi in debito, esaudisce la richiesta, con un meccanismo di acquiescenza o di risposta attiva.
La psicologia sociale ci insegna inoltre che le persone, in media, tendono a ritenere maggiormente validi i comportamenti o e le scelte che vengono effettuati da un elevato numero di propri simili.
Un attaccante potrebbe confezionare un trojan emulando contenuti di un soggetto fisico, o un cartone animato, o un videogioco di moda, apparentemente “desiderabile e fidato” perché lo “usano tutti”.
L’euristica della riprova sociale funziona tanto più efficacemente quanto più il soggetto che sta per entrare in azione o che si trova davanti ad una scelta potenziale, percepisce sé stesso come aggravato da due condizioni:
- l’incertezza: quando la situazione è ambigua, si osserva il comportamento degli altri e lo si accetta come buono con meno resistenza o senso critico;
- l’emergenza: se la situazione non è sotto controllo e si è spinti all’azione, si ha meno tempo per razionalizzare e per valutare di agire al di fuori del comportamento di massa.
Continuando la rassegna, è noto che le asserzioni sostenute da un riferimento ad una figura di rilievo, reale o presunto, o presentate come se fossero derivate da tale figura/istituzione, accrescono la loro valenza persuasoria.
L’istinto gregario, il naturale senso di deferenza nei confronti dell’autorità, radicato nell’essere umano, fa parte del nostro essere sociale ed è rafforzato dall’educazione e dalle abitudini culturali che presiedono ai meccanismi di istituzionalizzazione.
L’influenza dell’autorità
Gli uomini, oltre ad essere predisposti al principio di autorità, ne vengono progressivamente educati perché vivere in società, rispettandone le regole e le istituzioni, conviene alla specie, è un vero e proprio meccanismo evolutivo.
L’opera di Milgran “Obbedienza all’Autorità”, già negli anni Sessanta, forniva alla comunità scientifica evidenze sperimentali del fenomeno di sadismo correlato ad un ordine impartito dall’autorità.
Lo stesso fenomeno è alla base di atti indotti dai capi carismatici di sette come i noti suicidi collettivi della storia contemporanea (ad esempio quello in Guyana – 1978).
Tornando al nostro focus, l’attaccante può impersonificare (il lettore perdoni la traduzione, ma si vuole mantenere un legame fedele col termine anglosassone, impersonation) un agente di polizia, un carabiniere, un ufficiale della guardia di finanza; oppure un caporeparto, il responsabile di settore, il dirigente, una persona autorevole all’interno del contesto sociale della vittima, per creare uno scenario attendibile ed ottenere le informazioni manipolando l’istinto gregario della risorsa.
Un altro fattore importante di sollecitazione sembra essere la simpatia. Attraverso la costruzione di un legame di empatia e “similitudine”, reale o presunto, è più facile spingere ad una certa azione oppure modificare degli atteggiamenti.
Le persone, se portate in uno stato rilassato, di comfort, tendono ad abbassare le barriere razionali e ad assecondare l’interlocutore con cui hanno stabilito il legame empatico, in modo proporzionale al grado di similitudine percepita, anche in contesti non logicamente correlati all’ambito, al contenuto e all’episodio empatico.
Accade ad esempio che l’attaccante, dopo aver acquisito le informazioni utili a costruire un personaggio credibile e simile alla vittima, investa del tempo a creare una relazione con quest’ultima, per conquistare la sua fiducia e utilizzarla in un contesto altro, quello vero dell’exploit, in cui riesce a suscitare il comportamento o l’azione desiderata.
Non si dimentichi il principio di scarsità: l’istinto di sopravvivenza innato all’essere umano spinge a procurarsi scorte dei beni percepiti come scarsi. Se la disponibilità di un bene, di un oggetto o di una risorsa viene presentata come limitata nel tempo, le persone agiranno per procurarsela.
Un attaccante potrebbe costruire uno scenario in cui presenta un contenuto (trojan), o anche la sua stessa azione (attraverso metodologie di reverse social engineering), con quelle caratteristiche sopra descritte, scarsità, limitata disponibilità, desiderabilità, per indurre nella vittima il comportamento desiderato.
Utilitarismo e cyber crime
Da ultimo, la dottrina filosofica ed etica dell’utilitarismo ci insegna come la ricerca umana del Bene si concretizzi in una serie di comportamenti, tendenti a massimizzare ciò che produce vantaggio e a minimizzare lo svantaggio.
Meno in astratto, le azioni umane tendono proattivamente a ricercare il premio e ad evitare la punizione. La psicologia, nella corrente del comportamentismo, è ricca di esempi relativi a questo tipo di condizionamento.
L’attaccante potrebbe efficacemente sfruttare la “tara” utilitaristica inducendo la vittima a rivelare informazioni in cambio di una presunta ricompensa (configurabile nei termini più adatti al contesto: di tipo sociale, materiale, empatico) oppure con la minaccia di conseguenze negative o ritorsioni.
Ma perché parlare di psicologia e che relazione può esistere tra il meccanismo di ragionamento umano e il cyber space, cioè il nuovo spazio sociale in cui esso si esprime? Fin dagli albori della storia dell’uomo la filosofia si è interrogata sui fondamenti e sui meccanismi della conoscenza.
Lo stadio di acquisizione e rilevazione delle informazioni, più vicino all’esperienza, passa attraverso i sensi che costituiscono i canali fisici attraverso cui l’evento esterno viene scomposto, esperito e in seguito ri-concettualizzato.
Attraverso i sensi l’essere umano fa esperienza del mondo che lo circonda e, solo in un secondo momento, vede entrare in gioco l’astrazione concettuale e l’organizzazione dei pensieri in un quadro più o meno organico ed evoluto.
L’eterna dialettica tra materialismo ed idealismo non fa che spostare l’ago della bilancia della conoscenza una volta a favore dei sensi e dell’esperienza, un’altra volta a favore del pensiero, dei paradigmi e della creatività del soggetto pensante nell’interpretazione della realtà.
Conclusione
Le conseguenze filosofiche, in termini di relativismo gnoseologico, del principio di indeterminazione di Heisemberg (secondo cui è impossibile conoscere i dettagli di un sistema senza perturbarlo) aprono la strada ad una prospettiva analitica in cui l’essere umano diventa entità autoreferenziale.
Non esiste una realtà al di fuori dell’uomo perché non è possibile esperire senza modificare.
Come diventa possibile, con queste premesse, la quotidianità della vita sociale? Come fanno le persone ad essere d’accordo sull’esperienza alla base della vita di tutti i giorni?
Esiste un meccanismo latente di conferma implicita basato sulla dimensione fisica, sulla prossemica, sulla gestualità, attraverso il quale teniamo sotto controllo le reazioni degli altri e validiamo le interazioni sociali.
Ecco perché, quando la relazione da fisica diventa virtuale, diventa difficile presupporre e dare per scontate le reazioni e le rappresentazioni che il nostro interlocutore ha della realtà che ci riguarda.
Per tutte le ragioni sopra evidenziate, le tecniche di social engineering vedono nel cyberspace un terreno fertile di sviluppo e di efficacia.
Perché senza interazione fisica è difficile validare la relazione. Perché senza interazione fisica è facile rimanere confinati nei propri paradigmi, nelle proprie rappresentazioni, indotte a regola d’arte. Perché nel cyber spazio possiamo decidere di rischiare poco, mantenendo così il controllo della zona di comfort.
Questo è ciò che consente agli esseri umani di risparmiare le proprie risorse computazionali, di non utilizzare senso critico, di non razionalizzare.
E questo rappresenta tutto ciò di cui il criminale ha bisogno per condurre con successo un attacco di ingegneria sociale.
