Hanno creato un profilo di una seducente esperta di intelligence militare, modellata sulle fattezze di una top model e la biografia di un celebre personaggio femminile di una serie TV ( Abby Sciuto , tecnico di laboratorio di NCIS). E poi hanno gettato l’amo, chiedendo amicizie e contatti sui social network a personale risultante nel libro paga di organizzazioni che si occupano della sicurezza nazionale (spionaggio e controspionaggio). Il risultato, in meno di 30 giorni, è stato notevole: tutti, o quasi, sono caduti nel tranello .
Lo ha raccontato Thomas Ryan di Provide Security a Computerworld : il personaggio inventato di Robin Sage si descriveva come una geek di 25 anni con laurea al MIT , 10 anni (???) di esperienza lavorativa nel settore dell’intelligence militare, un corredo di foto ammiccanti e che ritraevano una giovane piacente. Uomini e donne, messi alla prova, l’hanno accettata nella cerchia delle loro conoscenze, hanno iniziato a interagire con lei, a “esporsi” in modi che non dovrebbero essere appropriati (in teoria) per dipendenti di certi tipi di organizzazioni.
Militari USA, personale delle agenzie di intelligence, dipendenti di aziende che si occupano di sicurezza delle informazioni, contractor del governo (mercenari o guardie private che dir si voglia): tutti hanno iniziato a “frequentare” virtualmente Robin, a invitarla alle conferenze, a condividere foto, a mandarle materiale da leggere. In alcuni casi, afferma Ryan, i dipendenti di aziende piuttosto “grandi” (del calibro di Google o Lockheed Martin) si sarebbero persino offerti di assumerla. Insomma, nonostante le incongruenze del profilo e la mancanza di verifiche sulla altrui identità e affidabilità, l’aspetto di Robin e la mediazione della Rete hanno avuto la meglio sulla diffidenza che dovrebbe albergare naturalmente in chi si occupa di certi argomenti.
Lo scopo della “truffa”, ha spiegato Ryan, era comprendere quante e quali informazioni si possano estorcere dal personale che si occupa di sicurezza (nazionale o privata) attraverso il web 2.0: il risultato è indubbiamente poco lusinghiero per gli interessati, e pone ancora una volta al centro della discussione le policy aziendali sull’utilizzo e la gestione del social network. Curioso come a quasi 10 anni dalla pubblicazione del lavoro di Kevin Mitnick sull’ingegneria sociale, pochissimi siano i responsabili delle risorse umane che abbiano fatto tesoro di quanto raccontato e spiegato dal Condor .