Nel campo della sicurezza informatica per ingegneria sociale
(dall'inglese social engineering) si intende lo studio del
comportamento individuale di una persona al fine di carpire informazioni.
Questa tecnica è anche un metodo (improprio) di crittanalisi quando è
usata su una persona che conosce la _chiave crittografica di un sistema.
Similmente al metodo del tubo di gomma può essere un modo sorprendentemente
efficiente per ottenere la chiave, soprattutto se comparato ad altri metodi
crittanalitici.
Con l’evoluzione del software, l’uomo ha migliorato i programmi a tal
punto che essi presentano pochi bug (errori che i programmatori generalmente
commettono quando creano un software). Per un hacker sarebbe impossibile
attaccare un sistema informatico in cui non riesce a trovare bug. Quando ciò
accade l’unico modo che l’hacker ha per procurarsi le informazioni di cui
necessita è quello di attuare un attacco di ingegneria sociale.
Un ingegnere sociale (social engineer) per definirsi tale
deve saper fingere, sapere ingannare gli altri, in una parola saper mentire.
Un social engineer è molto bravo a nascondere la propria identità,
fingendosi un'altra persona: in tal modo egli riesce a ricavare informazioni
che non potrebbe mai ottenere con la sua identità reale. Nel caso sia un
hacker, può ricavare informazioni attinenti ad un sistema informatico. Il
social engineering è quindi una tecnica per ricavare informazioni molto usata
dagli hacker esperti, e dato che comporta (nell’ultima fase dell’attacco)
il rapporto più diretto con la vittima, questa tecnica è una delle più
importanti per carpire informazioni. In molti casi il cosiddetto ingegnere
potrà riuscire a ricavare tutto ciò che gli serve dalla vittima ignara.
|