I criminali informatici applicano sempre più spesso il “fattore umano”, alias ingegneria sociale, con grande efficacia quando effettuano un attacco informatico. Diverse ricerche dimostrano che non si tratta solo di dicerie e che l’ingegneria sociale è una tecnica di attacco informatico di successo: i dati della ricerca sulla sicurezza di PurpleSec, ad esempio, hanno rilevato che il 98% degli attacchi informatici si basa sull’ingegneria sociale.

I criminali informatici hanno fatto dei nostri dipendenti la prima linea degli attacchi informatici: li hanno presi di mira con email malevole, li hanno ingannati con telefonate fasulle e in generale hanno manipolato il loro comportamento.

Educando i nostri dipendenti sulle tattiche e sulle tecniche di social engineering, un’azienda li mette in grado di combattere i truffatori. Ma per garantire il successo di un programma di educazione all’ingegneria sociale è necessario seguire alcune best practice.

Ecco la guida di MetaCompliance per educare i dipendenti al social engineering:

Che cos’è l’ingegneria sociale?

L’ingegneria sociale, nel contesto della sicurezza informatica, è una tecnica o una serie di tecniche utilizzate per manipolare un essere umano affinché faccia qualcosa di vantaggioso per un criminale informatico.

I trucchi del mestiere dell’ingegnere sociale sono molti e possono cambiare nel tempo, man mano che i criminali informatici ottimizzano le loro tattiche. Il risultato dell’ingegneria sociale è quello di indurre i dipendenti (o il pubblico) a consegnare dati sensibili, come le credenziali di accesso, o a trasferire denaro a un truffatore, o a commettere un errore come cliccare su un link di phishing.

L’ingegneria sociale è tipicamente una tecnica a tappe, che prevede:

  • Sorveglianza: La raccolta di informazioni è una componente chiave di un attacco informatico socialmente ingegnerizzato. Vengono raccolte informazioni personali e aziendali sui dipendenti bersaglio, che in genere lavorano in aree come la contabilità o l’amministrazione informatica.

  • Il grooming dell’obiettivo: Le informazioni raccolte durante la sorveglianza vengono utilizzate per costruire un rapporto con il dipendente bersaglio. Alcuni truffatori chiamano addirittura il dipendente per creare un legame amichevole con lui, preparandolo allo sfruttamento.

  • Sfruttare il marchio: Si tratta di una parte fondamentale dell’attacco informatico con ingegneria sociale, che si basa sulla relazione sviluppata grazie alle informazioni raccolte. Questa relazione viene sfruttata per eseguire l’attacco, ad esempio ricevendo un nome utente e una password al telefono o aprendo un allegato di un’e-mail infetta.

  • Portare a termine l’hack: La fase di sfruttamento pone le basi per portare a termine la parte centrale dell’attacco informatico. Un ingegnere sociale esperto sarà in grado di uscire dall’attacco informatico sapendo che ci vorrà del tempo prima che il dipendente o l’azienda si rendano conto di essere stati sfruttati.

Esempi di ingegneria sociale

L’ingegneria sociale si presenta in molte forme che comprendono sia la bassa tecnologia che l’alta tecnologia e, spesso, ibridi di entrambe. Alcuni esempi mostrano i modi in cui i nostri dipendenti vengono sottoposti all’ingegneria sociale:

Un massiccio attacco di ingegneria sociale contro Google e Facebook

La Business Email Compromise (BEC) è una truffa che utilizza l’ingegneria sociale per indurre un dipendente a inviare un pagamento aziendale al truffatore, spesso con ingenti somme di denaro.

Nel 2019, una massiccia truffa BEC ha rubato circa 100 milioni di dollari ad aziende, tra cui Google e Facebook. I truffatori hanno creato una società falsa con un nome simile a quello di un’azienda legittima con cui le società bersaglio avevano a che fare. Da lì hanno inviato email di spear-phishing a specifici dipendenti e agenti delle aziende vittime.

Per capire quali dipendenti prendere di mira, i truffatori utilizzano tipicamente tecniche di sorveglianza per capire come manipolare al meglio il comportamento del dipendente preso di mira.

Truffa Microsoft 365

Marchi come Microsoft 365 sono spesso utilizzati per fare ingegneria sociale e ingannare i dipendenti.

Un recente attacco che ha coinvolto Microsoft 365 è stato creato per rubare le credenziali di accesso dei dipendenti. In questo attacco informatico, i truffatori hanno utilizzato tecniche per eludere i gateway di posta elettronica, in modo che le e-mail di phishing potessero finire nella casella di posta di un dipendente bersaglio, con l’aspetto di un’e-mail Microsoft 365 apparentemente legittima. L’email di phishing utilizzava un oggetto che parlava di una “revisione dei prezzi” e conteneva un foglio di calcolo Excel come allegato. Il trucco consisteva nel fatto che il “foglio di calcolo” era in realtà un file .html camuffato. Il file reindirizzava chi lo apriva a un sito web che richiedeva l’inserimento delle credenziali di accesso a Microsoft 365.

5 migliori pratiche per insegnare ai dipendenti il social engineering

Una volta che sei pronto a educare i tuoi dipendenti sull’ingegneria sociale, vale la pena di utilizzare queste cinque best practice:

Prima pratica: comprendere la complessa rete dell’ingegneria sociale

Costruisci una base di conoscenze sulle tattiche e sulle tecniche di ingegneria sociale. Questo costituirà la base del tuo pacchetto formativo. L’ingegneria sociale si basa sulla psicologia umana, quindi capire come i truffatori manipolano il comportamento umano è fondamentale per prevenire un attacco informatico di successo basato su questo metodo.

Pertanto, la formazione dei dipendenti per riconoscere un tentativo di social engineering è più complessa rispetto alla formazione sul phishing; tuttavia, le simulazioni di phishing dovrebbero far parte di un più ampio programma di formazione sul social engineering.

Un programma completo di educazione all’ingegneria sociale dovrebbe includere anche il funzionamento di queste truffe e i tipi di comportamenti o situazioni che manipolano, ad esempio la fiducia, l’urgenza, le relazioni, ecc.

Buona pratica due: formazione sulla consapevolezza della sicurezza +SEE

I pacchetti di formazione generale sulla sicurezza dovrebbero sempre includere una formazione sull’ingegneria sociale. L’igiene della sicurezza e la consapevolezza generale del phishing sono tutti elementi che contribuiscono a mitigare il successo di un tentativo di social engineering. Aggiungi l’educazione all’ingegneria sociale (SEE) al tuo programma di formazione generale sulla sicurezza per rendere visibili a tutti i trucchi dell’ingegneria sociale.

Migliore Pratica Tre: Apprendimento intelligente

Gli esseri umani tendono ad apprendere meglio quando vengono istruiti con tecniche interattive. La ricerca ha identificato alcuni criteri per un apprendimento efficace:

  1. Fai in modo che le lezioni siano brevi ma istruttive: basati su di esse e ripetile regolarmente per un apprendimento ottimale.
  2. Intervallare o passare da un’idea all’altra durante l’apprendimento crea delle pause naturali tra le sessioni, aiutando a rafforzare le idee. Assicurati anche di evidenziare i collegamenti tra le diverse aree della sicurezza informatica e le tattiche di social engineering per aiutare i dipendenti a comprendere la complessità di questi tipi di attacchi.
  3. Usa “esempi concreti” per far sì che l’apprendimento rimanga impresso nella mente del dipendente.

La migliore pratica 4: Sciacquare e ripetere

L’ingegneria sociale, come altri metodi di attacco alla sicurezza informatica, viene continuamente ottimizzata dai criminali informatici. Assicurati di svolgere regolarmente sessioni di formazione sull’ingegneria sociale nell’ambito di un più ampio programma di formazione sulla sicurezza. Automatizza la tua campagna di sensibilizzazione alla sicurezza per migliorare e ottimizzare la formazione.

Migliore pratica 5: Rendi il tuo posto di lavoro una zona a tolleranza zero per l’ingegneria sociale

Se la tua azienda si convince che il personale è in grado di rilevare e prevenire un attacco informatico socialmente ingegnerizzato, si creerà una cultura di consapevolezza della sicurezza.

Questa cultura rafforzerà la tua forza lavoro contro gli attacchi informatici, anche se l’ingegneria sociale è complessa e gioca sulle paure, sul comportamento, sull’urgenza e sulle relazioni dei dipendenti. Questa cultura si estenderà anche alla loro vita domestica, migliorando la loro sicurezza generale e aiutando a ridurre i rischi anche negli ambienti di lavoro domestici.

Negli attacchi informatici che utilizzano tecniche di social engineering, l’essere umano è la vulnerabilità della sicurezza. Se metti a disposizione della tua forza lavoro le conoscenze per individuare i tentativi di social engineering, dai forza alla tua azienda e ai tuoi dipendenti.

Rischio di ransomware