Alla fine li hanno individuati e denunciati. Peccato che su internet non ci sia traccia di loro. O meglio: se si digita i loro nomi, escono dei risultati molto strani. A meno che non si voglia sostenere che due agguerrite bande di pirati informatici, fossero davvero guidate da un campione di scacchi, un professore universitario e un pacifico ingegnere, tutti vietnamiti. Per carità, letteratura e cinema ci hanno abituati a persone insospettabili dalla doppia vita, ma stavolta la situazione appare diversa e intricata. Così intricata che se fosse un film o una serie tv, sarebbe un sicuro successo. Ha tutti gli elementi giusti per esserlo. A partire dai nomi delle bande criminali, Octo tempest e Storm-1152. Sembrano usciti da una serie di romanzi gialli. Per non parlare dei numeri: in un anno queste due bande hanno rubato centinaia di milioni di dollari. Ciò che ci interessa di questa storia è però un altro aspetto. E cioè quali tecniche vengono usate normalmente dai pirati informatici per truffare le persone, rubando loro accessi bancari o accedere ai sistemi delle aziende in cui lavoriamo per bloccarli e poi chiederne il riscatto. Si chiama ingegneria sociale applicata all’informatica. In pratica è l’utilizzo da parte degli hacker di metodi che hanno come scopo quello di ottenere dalle persone informazioni personali tramite l’inganno. L’attacco segue uno schema e tecniche psicologiche precise. Le più comuni fanno leva su sette punti: autorevolezza, senso di colpa, panico, ignoranza, desiderio, avidità e compassione. Partiamo dall’autorevolezza. Se la richiesta di un’informazione arriva da un soggetto considerato autorevole come un’azienda, un ente governativo o la banca, le difese del truffato si abbassano. Ed è più facile che cada nella truffa. Un esempio tipico è l’sms o la mail che ci avverte: il tuo conto in banca ha urgente bisogno di una tua informazione, clicca qui. Altro pilastro è il senso di colpa. Per esempio si fa credere alla persona di essere a conoscenza dei suoi download illeciti da Internet e la si obbliga a pagare una multa online in modo da reperire non solo i soldi, ma anche (e soprattutto) i dati associati al pagamento. Un altro strumento utilizzato nell’ingegneria sociale è il panico. In questo caso si manda una mail che avverte che c’è in circolazione un nuovo e pericolosissimo virus in grado di mettere fuori uso qualsiasi sistema, per evitarlo basta cliccare su un allegato. Peccato che chi lo fa apre le porte del suo sistema ai pirati. Un altro punto è l’ignoranza. Fa leva sul fatto che nessuno di noi sa tutto. Si manda quindi un messaggio con una terminologia molto tecnica, invitando le persone a fare subito le azioni consigliate nel testo. Altro punto debole è il desiderio. Si inviano link a post social nel quale sono taggati anche alcuni amici della vittima e li si invita ad aprirli, magari per vedere un video assurdo o pornografico. Chi clicca si infetta. E chi chatta con l’amico infettato si infetta a sua volta, aprendo le porte del suo pc ai malcapitati. Stessa cosa per l’avidità. Riceviamo via mail, o via messaggio offerte imperdibili, magari proprio sul cellulare che volevamo comprare. Chi clicca si infetta. Infine c’è la leva della compassione. Il pirata informatico finge di fornire aiuto a una persona qualsiasi in azienda e magari fa finta di essere un collega bisognoso di aiuto. La vittima, sentendosi al sicuro, fa ciò che le viene chiesto e gli apre le porte del sistema. Che viene hackerato per poi chiederne il riscatto. Tutto questo dovrebbe ricordarci che una larga parte di truffe avviene comunque col consenso umano e facendo leva sulle nostre debolezze. Compresa quella di chi pensa di esser furbo perché acquista a buon prezzo degli abbonamenti falsi di Microsoft (o di altri servizi). © riproduzione riservata