La cyber security non dipende solamente da hardware e software, infatti nell’ultimo periodo è esploso il fenomeno del social engineering, ovvero l’arte del manipolare le persone per ottenere informazioni sensibili. Diverse aziende sottovalutano questo aspetto, che è pericoloso quanto un qualsiasi malware o trojan. Se una struttura di sicurezza è inattaccabile dal punto di vista tecnico, sicuramente è possibile far leva sul fattore umano, cercando di estorcere direttamente o indirettamente delle informazioni dallo staff, in maniera veloce ed efficace.
Le modalità in cui si verifica il social engineering si dividono in 3 categorie:
Human based: tutto basato sul contatto diretto tra il malintenzionato e la vittima;
Computer based: sono necessarie vari strumenti e conoscenze tecniche e specifiche;
Mobile based: stesso discorso delle precedenti solo che riguarda il mondo degli smartphone e dei dispositivi mobili.

Le tecniche human based sono quelle finalizzate all’ottenimento di dati sensibili attraverso l’interazione fisica tra l’hacker e la vittima e ci sono varie modalità, come l’”Impersonation”:
il malintenzionato simula di essere un soggetto con cui la vittima ha qualche tipo di relazione, come può essere una simpatia o un ruolo istituzionale, in modo da sfruttare il contesto per ottenere le info necessarie.
Un esempio pratico è quello in cui l’hacker contatta direttamente l’amministratore di un sistema impersonificando un utente del dominio che inscena una perdita di credenziali di autenticazione, oppure il malintenzionato, vestendo i panni di un tecnico, contatta un individuo per conto dell’hosting provider e inscenando un qualsiasi malfunzionamento del server, chiedendo alla vittima le credenziali di autenticazione o addirittura di inserirle in un sito fake creato appositamente per l’occasione.

Quest’ultimo fenomeno si chiama Vishing (VoIP Phishing) e si basa interamente sulla comunicazione telefonica, infatti questa metodologia va a favore dell’hacker che da una parte può non mostrarsi, dall’altra ha un contatto più diretto che delle mail. Un altro fenomeno di social engineering è “Eavesdropping”, che consiste nel recepire informazioni sensibili intercettando una comunicazione o leggendo dei messaggi mail o SMS di nascosto.
Si va dal classico “origliare” fino ai sistemi più sofisticati come gli attacchi MITM.

Per evitare qualsiasi disattenzione, si deve prestare attenzione anche al proprio cestino della workstation, poiché è possibile risalire a qualsiasi dato che non è stato completamente smaltito. Si parla di qualunque documento, da un certificato bancario ad un calcolo excel e così via, ed è in un attimo che un estraneo riesca ad ottenere i dati di contatti di impiegati o dei calendari con tutti gli appuntamenti della dirigenza controllando semplicemente il cestino. Una delle tecniche più utilizzate è quelle del Reverse Social Engineering: il malintenzionato crea una problematica che espone alla vittima ed in seguito si presenta come colui che può risolvere il problema. In questo modo la vittima si rivolgerà direttamente all’hacker, rendendo più facile la collaborazione. Di solito il RSE si divide in 3 fasi:
Sabotaggio: l’individuo crea un problema grazie anche a determinati tool, causando disfunzioni della rete;
Marketing: la persona si “vende” come l’individuo che può risolvere la situazione;
Contatto:
nell’ultima parte la vittima ha una relazione diretta con l’hacker, creando anche un rapporto di fiducia.
Per quanto riguarda il social engineering computer-based, si parla delle solite tecniche oramai divenute famose come il phishing, dove grazie ad annunci truffa o cloni di siti vengono richiesti determinati dati sensibili che non dovrebbero mai essere domandato in quella maniera. In seguito ci sono i popup, che durante la navigazione sulla rete possono creare fastidio ma allo stesso tempo attirare l’attenzione dell’utente; lo spam, che avviene in qualsiasi sito internet e in particolare nelle caselle di posta elettronica, dove però i vari provider hanno ormai degli ottimi filtri antispam.

Le tecniche mobile-based sfruttano delle app malevoli, in grado di entrare nello smartphone e riuscire a rubare ogni minima informazione, senza parlare delle false applicazioni spacciate per antivirus fino alla clonazione di altri software e l’SMS phishing. Per evitare tutti questi spiacevoli fenomeni si deve prestare molta attenzione alle modalità in cui vengono richieste le credenziali e notare se l’applicazione, la pagina web o l’email abbiano qualche imperfezione, risultando dei fake.