TUTTI GLI ARTICOLI  >  Information Security

Cos'è il Social Engineering, come difendersi e come riconoscerlo

14 ottobre 2019 / Di Giorgia Dragoni / Nessun commento

Il social engineering è una tecnica di attacco cyber sempre più sofisticata, in grado di colpire direttamente i dipendenti di una azienda. La dizione italiana "ingegneria sociale" lascia ben intendere la natura di questa minaccia sempre più diffusa alla sicurezza informatica delle aziende: si tratta di un'arte, ancora prima che una scienza, che consiste nel manipolare le persone toccando leve psicologiche e comportamentali.

Rispetto alle altre modalità di cybercrime, questa pratica si differenzia per una particolarità: il social engineering non sfrutta le falle dei sistemi informatici, bensì la debolezza e l’ingenuità delle persone.

In quest'articolo entreremo nel merito dell'argomento, rispondendo alle tre domande tipiche quando ci si imbatte nel social engineering: cos'è? Come riconoscerlo? E come difendersi da attacchi di questo tipo?

 

Cosa si intende per Social Engineering

Il social engineering (o ingegneria sociale) è una tecnica di attacco cyber basata sullo studio del comportamento delle persone col fine di manipolarle e carpire informazioni confidenziali. Il procedimento si basa sulla psicologia umana e sfrutta la fiducia, la mancanza di conoscenza e, in generale, le vulnerabilità della vittima per ottenere dati confidenziali (password, informazioni su conti correnti, informazioni finanziarie), estorcere denaro o persino rubarne l’identità.

Prima di realizzare questi tipi di attacco, il criminale studia accuratamente la personalità e le relazioni della vittima. Quando il target è un’azienda, si compie un’accurata raccolta di informazioni non solo su di essa, ma anche sui dipendenti che lavorano al suo interno. Dopo aver raccolto abbastanza informazioni, ecco che il criminale passa all’attacco.

 

Inizia il Percorso

 

Canali e metodi di social engineering

Ormai nessuna azienda è immune agli attacchi informatici. Un tempo la sicurezza informatica aziendale si basava su avanzati hardware e software di protezione, ma nel frattempo le tecniche e le tipologie di attacco si sono evolute. Il social engineering può manifestarsi sotto diverse forme. Per comprendere nel dettaglio come funziona l'ingegneria sociale occorre considerare i canali e le modalità con cui i criminali danneggiano le vittime.

Per quanto riguarda i canali, si tratta di strumenti utilizzati quotidianamente dalle persone e sono molteplici:

  • email
  • telefoni
  • app di messagistica istantanea
  • siti web
  • Social Media
  • servizi Cloud

A questi si aggiungono diversi metodi per portare a termine l’attacco, che vedremo più nel dettaglio nel proseguo dell'articolo.

Phishing

Forse il metodo più noto e "riconoscibile" tra le diversi modalità di social enginerring. Si tratta di un tentativo di truffa che sfrutta la posta elettronica per rubare dati personali delle vittime che, spinte dalla curiosità o tratte in inganno dal mittente dell’email, cliccano su un link malevolo dove inseriscono le proprie credenziali o scaricano un allegato infetto.

In genere i mittenti di questo tipo di email fingono di essere organizzazioni conosciute (es. banche o servizi utilizzati effettivamente dall’utente) che contattano l’utente dopo aver riscontrato problemi che richiedono l’inserimento delle loro informazioni personali. In alcuni casi si parla di spear phishing, quando l’attacco è particolarmente studiato e targettizzato e l’email proviene da un account o un nominativo apparentemente attendibile e contiene link che rimandano a pagine pressoché identiche a quelle originali.

Il phishing può sfruttare anche strumenti diversi dalla posta elettronica: infatti, sono sempre più diffusi i tentativi di attacco tramite SMS (smishing) o canali di instant messaging (WhatsApp, Telegram).

Pretexting

In questo caso il criminale contatta la vittima telefonicamente simulando una situazione particolare (da qui il concetto di pretexting, dall’inglese “creazione di un pretesto”). Per esempio, si finge un dipendente bancario o di un ufficio pubblico e cerca di instaurare una relazione di empatia con la vittima, in modo da ottenere le informazioni di cui ha bisogno.

Baiting

Questa tecnica adesca le vittime sfruttando la loro curiosità: l’hacker utilizza una vera e propria “esca”, lasciando incustodito un supporto di memorizzazione (chiavette USB, cd, hard disk, …) contenente codice maligno. L’obiettivo è indurre la vittima, spinta dalla curiosità, ad inserire il dispositivo nel proprio computer, dando così all’hacker l’accesso all’intera rete aziendale.

Trashing

In questa pratica i criminali cercano informazioni sensibili setacciando la spazzatura delle vittime alla ricerca di bollette, estratti conto e altri documenti contenenti dati sensibili. Un altro obiettivo degli hacker possono essere anche sistemi dismessi come smartphone, laptop o dispositivi USB guasti che, se non opportunamente resettati, possono essere fonti di informazioni preziose.

Quid pro quo

Questo metodo prevede che il social engineer offra un servizio o un aiuto in cambio di un benefit. Per esempio, il soggetto malintenzionato può fingersi un tecnico IT e contattare alcuni dipendenti per offrire loro supporto tecnico in cambio di informazioni (ad esempio password) oppure chiedendo loro di disattivare temporaneamente l’antivirus in modo da installare un programma contenente malware.  

Tailgating

Questa tecnica riguarda l’accesso fisico all’interno di un’area riservata: il cybercriminale segue un dipendente autorizzato o chiede di entrare fingendo di aver dimenticato il badge di accesso all’area.

 

Come difendersi dalla minaccia del social engineering

L'ingegneria sociale sfrutta la vulnerabilità dell’anello debole nelle aziende: la componente umana. Questo perché i dipendenti non sono adeguatamente formati sulle minacce cyber, cosa che li mette facilmente nel mirino dei cybercriminali. Per proteggersi dai social engineer non basta utilizzare tecnologie avanzate: bisogna infondere una cultura alla sicurezza fra le persone.

Dato che questa tecnica di attacco si basa sulla vulnerabilità delle persone, è fondamentale che le aziende adottino strategie mirate alla sensibilizzazione dei dipendenti in materia di sicurezza informatica e privacy. Occorre sviluppare adeguati programmi di formazione, in modo che i dipendenti siano sempre aggiornati e consapevoli dei rischi cyber e della loro costante evoluzione.

Che avvenga in modalità virtuale o fisica, la formazione deve offrire agli utenti competenze, tecniche e metodi sia per prevenire gli attacchi, sia per saper reagire di fronte ad eventuali situazioni critiche. Solo così si può creare una vera e propria cultura alla sicurezza informatica in azienda. Devono essere diffidenti se contattati da uno sconosciuto sospetto, fare attenzione alle email che chiedono pagamenti o aggiornamenti dei dati: sembrano casi banali, ma l’ingenuità del singolo individuo può essere sufficiente per danneggiare un’intera azienda.

Vai al Webinar