Abbiamo affrontato nell'articolo precedente il concetto di OSINT (Open Source Intelligence); tratteremo ora del sistema DISC, utilizzato nel profilare un soggetto per aggiungere informazioni alla fase di OSINT non-tecnica e iniziare così le operazioni di:"Sviluppo dei pretesti".

Uno dei metodi utilizzati per profilare le persone è studiare il modo in cui comunicano e come si comportano in relazione agli altri, per capire in che modo si potrà ottenere la loro fiducia e perpetrare l'attacco; conoscere i modi in cui si può essere profilati è necessario per prevenire attacchi di ingegneria sociale.

Potrebbero bastare pochi secondi per carpire l'informazione necessaria a violare un sistema informatico, per questo motivo un potenziale attaccante investirà parte delle sue risorse nel tentare un approccio umano.

Il modo in cui questo viene effettuato è fondamentale per ottenere la fiducia di un soggetto, per esempio un dipendente chiave dell'azienda da colpire. Secondo Hadnagy i primi quattro pensieri che inconsciamente una persona formula all'avvicinarsi di uno sconosciuto sono:

• Chi sei?
• Che cosa vuoi?
• Sei una minaccia?
• Quanto ci vorrà?

Rispondendo a queste domande in modo adeguato entro i primi 10/15 secondi si è in grado di mettere l'interlocutore a proprio agio e abbassare le sue difese; questa operazione influenzerà pertanto l'intero corso dell'interazione umana. Chi cerca di violare dati sensibili ha la capacità di far rilassare l'interlocutore in modo da poter formulare delle specifiche richieste e studiarne il profilo di comunicazione.

Per poter prevenire situazioni critiche è necessario imparare a conoscere il proprio modo di comunicare; questo è possibile attraverso un test di autovalutazione denominato DISC, sviluppato da John Geier basandosi sul lavoro dello psicologo William Moulton Marston pubblicato nel 1928.

DISC è l'acronimo di:

• Dominance
• Influence
• Steadiness
• Compliance

Per poter inquadrare il proprio profilo, bisogna concentrarsi sugli aggettivi in grassetto nella rappresentazione grafica: Outgoing (Diretto, estroverso), Reserved (Indiretto, riservato) e People Oriented (orientato alle persone), Task Oriented (orientato al risultato).

Nel vostro stile di comunicazione siete più diretti o indiretti? Arrivate al punto rapidamente o prendete tempo?

Siete più orientati alle persone o al risultato? Nell'affrontare un lavoro vi concentrate più sullo svolgerlo o alle persone coinvolte?

Rispondendo onestamente alle domande individuerete il vostro profilo, ad esempio una persona diretta e orientata al risultato verrà inquadrata nel profilo D e avrà le caratteristiche descritte nel profilo Dominance.

Lo stesso sistema si può utilizzare per profilare rapidamente gli altri, per essere in grado di comunicare con loro in modo efficace.

Mettere in atto il sistema DISC necessita di sensibilità e capacità di osservazione, doti che possono essere allenate prestando attenzione ai comportamenti umani. Ci sono buoni esempi di profilazione della comunicazione avvenuti per mezzo di social media, senza aver intrattenuto quindi una relazione umana diretta.

Acquisire conoscenze nei sistemi di profilazione risulta importante non solo nella prevenzione di attacchi informatici ma anche nella lotta al crimine in generale. Il criminologo Massimo Picozzi, uno dei maggiori esperti di profilazione, in un passaggio del suo libro dal titolo "Profiler" descrive come un criminale può utilizzare l'ingegneria sociale per attaccare un'impresa:

Immaginate che il predatore abbia nel mirino il dipendente di un'azienda, perché in possesso di notizie interessanti: prima studierà il sito web della ditta, dove troverà informazioni utili a sostenere il suo gioco: l'organigramma, chi fa cosa, la struttura, i rapporti tra le diverse divisioni e i diversi reparti, e ancora l'elenco delle consociate e dei clienti che hanno scelto di acquistare i prodotti dell'azienda, riconoscendone la qualità. A questo punto deciderà se vestire i panni di un collega appena assunto, un po' timido e disorientato, oppure presentarsi come l'impiegato di un'altra filiale, o un fornitore che vuole mandare a buon fine una consegna, o un cliente che sostiene di aver ricevuto dalla concorrenza una proposta migliore.

Nella fase di information gathering confluiscono informazioni acquisite da operazioni di OSINT non-tecnica, dove la profilazione delle persone per mezzo di interazioni dirette gioca un ruolo cruciale, sempre più spesso ignorato a causa di una carenza d'attenzione alle relazioni umane. Un efficace addestramento alla manipolazione della comunicazione e alla prevenzione della stessa è di fondamentale aiuto ai professionisti che vogliono offrire consulenza nella disciplina dell'ingegneria sociale.

Bibliografia:

Profiler - Hai capito chi sono? di Massimo Picozzi ISBN: 9788868364014 edito da  Pickwick

Human Hacking Influenzare e manipolare il comportamento umano con l'ingegneria sociale di Christopher Hadnagy ISBN: 9788850334827 edito da Apogeo