Cos'è il Social Engineering, come difendersi e come riconoscerlo

Aggiornato il / Creato il / Di Giorgia Dragoni

Il Social Engineering è una tecnica di attacco cyber sempre più sofisticata, in grado di colpire direttamente i dipendenti di un'azienda. La traduzione italiana ingegneria sociale lascia ben intendere la natura di questa minaccia alla sicurezza informatica delle aziende. Si tratta di un'arte, ancora prima che una scienza, che consiste nel manipolare le persone toccando leve psicologiche e comportamentali.

Il Social Engineering, rispetto alle altre modalità di cybercrime, si differenzia per una particolarità: non sfrutta le falle dei sistemi informatici, bensì la debolezza e l’ingenuità delle persone. Con l'aiuto dell'Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, in quest'articolo entreremo nel merito dell'argomento, rispondendo alle tre domande tipiche quando ci si imbatte nel Social Engineering: cos'è, come riconoscerlo e come difendersi da attacchi di questo tipo.

Social Engineering, cosa significa

Il Social Engineering (o ingegneria sociale) è una tecnica di attacco cyber basata sullo studio del comportamento delle persone col fine di manipolarle e carpire informazioni confidenziali. Il procedimento si basa sulla psicologia umana e sfrutta la fiducia, la mancanza di conoscenza e, in generale, le vulnerabilità della vittima per ottenere dati confidenziali (password, informazioni su conti correnti, informazioni finanziarie), estorcere denaro o persino rubarne l’identità.

Prima di realizzare questi tipi di attacchi basati sul Social Engineering, il criminale studia accuratamente la personalità e le relazioni della vittima. Quando il target è un’azienda, si compie un’accurata raccolta di informazioni non solo su di essa, ma anche sui dipendenti che lavorano al suo interno. Dopo aver raccolto abbastanza informazioni, ecco che il criminale passa all’attacco.

Tecniche di Social Engineering, le più usate

Ormai nessuna azienda è immune agli attacchi informatici. Un tempo la sicurezza informatica aziendale si basava su avanzati hardware e software di protezione, ma nel frattempo le tecniche e le tipologie di Social Engineering si sono evolute. Il Social Engineering può, infatti, manifestarsi sotto diverse forme. Per comprendere nel dettaglio come funziona l'ingegneria sociale occorre considerare i canali e le modalità con cui i criminali danneggiano le vittime.

Per quanto riguarda i canali, si tratta di strumenti utilizzati quotidianamente dalle persone e sono molteplici:

  • e-mail
  • telefoni
  • app di messagistica istantanea
  • siti web
  • Social Media
  • servizi Cloud

A questi si aggiungono diversi metodi per portare a termine l’attacco di Social Engineering:

Phishing

Il Phishing è forse il metodo più noto e riconoscibile tra le diversi modalità di Social Engineering. Consiste in un tentativo di truffa che sfrutta la posta elettronica per rubare dati personali delle vittime che, spinte dalla curiosità o tratte in inganno dal mittente dell’e-mail, cliccano su un link malevolo dove inseriscono le proprie credenziali o scaricano un allegato infetto.

In genere i mittenti di questo tipo di e-mail fingono di essere organizzazioni conosciute (come banche o servizi utilizzati effettivamente dall’utente) che contattano l’utente dopo aver riscontrato problemi che richiedono l’inserimento delle loro informazioni personali. In alcuni casi si parla di spear phishing, quando l’attacco è particolarmente studiato e targettizzato e l’e-mail proviene da un account o un nominativo apparentemente attendibile e contiene link che rimandano a pagine pressoché identiche a quelle originali.

Il phishing può sfruttare anche strumenti diversi dalla posta elettronica. Infatti, sono sempre più diffusi i tentativi di attacco tramite SMS (smishing) o canali di instant messaging (WhatsApp, Telegram). Inoltre, grazie agli strumenti di Intelligenza Artificiale, i cybercriminali riescono a creare campagne di phishing su larga scala in pochissimo tempo e sempre più sofisticate.

Pretexting

In questa tecnica di Social Engineering il criminale contatta la vittima telefonicamente simulando una situazione particolare (da qui il concetto di pretexting, dall’inglese “creazione di un pretesto”). Per esempio, si finge un dipendente bancario o di un ufficio pubblico e cerca di instaurare una relazione di empatia con la vittima, in modo da ottenere le informazioni di cui ha bisogno.

Baiting

Questa tecnica di Social Engineering prevede l’adescamento delle vittime sfruttando la loro curiosità. L’hacker utilizza una vera e propria “esca”, lasciando incustodito un supporto di memorizzazione (chiavette USB, cd, hard disk, …) contenente codice maligno. L’obiettivo è indurre la vittima, spinta dalla curiosità, a inserire il dispositivo nel proprio computer, dando così all’hacker l’accesso all’intera rete aziendale.

Trashing

In questa pratica di Social Engineering, i criminali cercano informazioni sensibili setacciando la spazzatura delle vittime alla ricerca di bollette, estratti conto e altri documenti contenenti dati sensibili. Un altro obiettivo degli hacker possono essere anche sistemi dismessi come smartphone, laptop o dispositivi USB guasti che, se non opportunamente resettati, possono essere fonti di informazioni preziose.

Quid pro quo

Questo metodo prevede che il Social Engineer offra un servizio o un aiuto in cambio di un benefit. Per esempio, il soggetto malintenzionato può fingersi un tecnico IT e contattare alcuni dipendenti per offrire loro supporto tecnico in cambio di informazioni (ad esempio password) oppure chiedendo loro di disattivare temporaneamente l’antivirus in modo da installare un programma contenente malware.

Tailgating

Questa tecnica di Social Engineer riguarda l’accesso fisico all’interno di un’area riservata. Il cybercriminale segue un dipendente autorizzato o chiede di entrare fingendo di aver dimenticato il badge di accesso all’area.

Come ci si può difendere dal Social Engineering

Il Social Engineer sociale sfrutta la vulnerabilità dell’anello debole nelle aziende: la componente umana. Questo perché i dipendenti non sono adeguatamente formati sulle minacce cyber, cosa che li mette facilmente nel mirino dei cybercriminali. Per proteggersi dai Social Engineer non basta utilizzare tecnologie avanzate. Bisogna infondere una cultura alla sicurezza fra le persone.

Dato che questa tecnica di attacco si basa sulla vulnerabilità delle persone, è fondamentale che le aziende adottino strategie mirate alla sensibilizzazione dei dipendenti in materia di sicurezza informatica e privacy. Occorre sviluppare adeguati programmi di formazione, in modo che i dipendenti siano sempre aggiornati e consapevoli dei rischi cyber e della loro costante evoluzione.

Che avvenga in modalità virtuale o fisica, la formazione deve offrire agli utenti competenze, tecniche e metodi sia per prevenire gli attacchi, sia per saper reagire di fronte ad eventuali situazioni critiche. Solo così si può creare una vera e propria cultura alla sicurezza informatica in azienda. Devono essere diffidenti se contattati da uno sconosciuto sospetto, fare attenzione alle e-mail che chiedono pagamenti o aggiornamenti dei dati. Sembrano casi banali, ma l’ingenuità del singolo individuo può essere sufficiente per danneggiare un’intera azienda.

Possiedi gli strumenti giusti per difenderti dai cyber attacchi?

Scopri il Programma

  • Autore

Direttore dell'Osservatorio Digital Identity e Ricercatrice dell'Osservatorio Cyber Security & Data Protection