I criminali informatici hanno sempre più applicato il "fattore umano", alias l'ingegneria sociale, con grande effetto quando eseguono un attacco informatico. Diverse ricerche dimostrano che questo non è solo un sentito dire e che l'ingegneria sociale è una tecnica di attacco informatico di successo: i dati della ricerca sulla sicurezza di PurpleSec, per esempio, hanno scoperto che il 98% degli attacchi informatici si basa sull'ingegneria sociale.
I criminali informatici hanno fatto dei nostri impiegati la prima linea degli attacchi informatici: prendendoli di mira con email maligne; ingannandoli con telefonate fasulle, e in generale manipolando il comportamento.
Educando i nostri dipendenti sulle tattiche e le tecniche di social engineering, un'azienda li mette in grado di combattere contro i truffatori. Ma alcune buone pratiche devono essere seguite per garantire un programma di successo di educazione all'ingegneria sociale.
Ecco la guida di MetaCompliance per educare i dipendenti all'ingegneria sociale:
Cos'è l'ingegneria sociale?
L'ingegneria sociale, nel contesto della sicurezza informatica, è una tecnica o una serie di tecniche, utilizzate per manipolare un essere umano a fare qualcosa di vantaggioso per un criminale informatico.
Ci sono molti trucchi nel mestiere dell'ingegnere sociale, e questi possono cambiare nel tempo man mano che i criminali informatici ottimizzano le loro tattiche. Il risultato del social engineering è quello di indurre i dipendenti (o il pubblico) a consegnare dati sensibili, come le credenziali di accesso, o a versare denaro a un truffatore, o a fare un errore come cliccare su un link di phishing.
L'ingegneria sociale è tipicamente una tecnica graduale, che comporta:
- Sorveglianza: La raccolta di informazioni è una componente chiave di un attacco informatico socialmente ingegnerizzato. Vengono raccolte informazioni personali e aziendali sui dipendenti bersaglio, gli obiettivi sono tipicamente quelli che lavorano in aree come la contabilità fornitori o l'amministrazione IT.
- Adescamento del bersaglio: Le informazioni raccolte durante la sorveglianza sono usate per costruire relazioni con il dipendente bersaglio. Alcuni truffatori chiameranno addirittura il dipendente per creare un legame amichevole con lui, preparandolo allo sfruttamento.
- Sfruttare il marchio: Questa è una parte fondamentale dell'attacco informatico socialmente ingegnerizzato, che si basa sulla relazione sviluppata utilizzando le informazioni raccolte. Questa relazione viene sfruttata per eseguire l'attacco, per esempio, ricevendo un nome utente e una password al telefono o aprendo un allegato e-mail infetto.
- Portare l'hack a compimento: La fase di sfruttamento getta le basi per realizzare la parte centrale dell'attacco informatico. Un ingegnere sociale esperto sarà in grado di allontanarsi dall'attacco informatico sapendo che ci vorrà del tempo prima che l'impiegato o l'azienda si rendano conto di essere stati sfruttati.
Esempi di ingegneria sociale
L'ingegneria sociale si presenta in molte forme che includono sia bassa tecnologia, sia alta tecnologia e spesso, ibridi di entrambe. Alcuni esempi mostrano i tipi di modi in cui i nostri dipendenti sono socialmente ingegnerizzati:
Massiccio attacco di ingegneria sociale contro Google e Facebook
Il Business Email Compromise (BEC) è una truffa che utilizza l'ingegneria sociale per ingannare un dipendente a inviare un pagamento aziendale al truffatore, spesso coinvolgendo grandi somme di denaro.
Nel 2019, una massiccia truffa BEC ha rubato circa 100 milioni di dollari alle aziende, tra cui Google e Facebook. I truffatori hanno creato una società falsa con un nome simile a una società legittima con cui le aziende bersaglio hanno avuto a che fare. Da lì hanno inviato email di spear-phishing a specifici dipendenti e agenti delle aziende vittime.
Per acquisire conoscenze su quali dipendenti prendere di mira, i truffatori usano tipicamente tecniche di sorveglianza per capire come manipolare al meglio il comportamento del dipendente bersaglio.
Truffa Microsoft 365
Marchi come Microsoft 365 sono spesso usati per ingegnerizzare socialmente e ingannare i dipendenti.
Un recente attacco che ha coinvolto Microsoft 365, è stato creato per rubare le credenziali di accesso dei dipendenti. In questo attacco informatico, i truffatori hanno utilizzato tecniche per eludere i gateway di posta elettronica, in modo che le e-mail di phishing sono state in grado di finire nella casella di posta elettronica di un dipendente bersaglio, apparendo come una e-mail apparentemente legittima di Microsoft 365. L'email di phishing ha usato un oggetto su una "revisione dei prezzi" e conteneva un file Excel come allegato. Il trucco era che il "foglio di calcolo" era, in realtà, un file .html camuffato. Il file reindirizzava chiunque lo aprisse ad un sito web che richiedeva l'inserimento delle credenziali di accesso a Microsoft 365.
5 migliori pratiche per insegnare ai dipendenti l'ingegneria sociale
Una volta che siete pronti a educare i vostri dipendenti sull'ingegneria sociale, vale la pena di usare queste cinque buone pratiche:
Migliore pratica uno: comprendere la complessa rete dell'ingegneria sociale
Costruisci una base di conoscenza delle tattiche e delle tecniche di ingegneria sociale. Questo costituirà la base per il tuo pacchetto formativo. L'ingegneria sociale si basa sulla psicologia umana, quindi capire come i truffatori manipolano il comportamento umano è fondamentale per prevenire un attacco informatico di successo basato su questo metodo.
Pertanto, l'addestramento dei dipendenti a riconoscere un tentativo di ingegneria sociale è più complesso dell'educazione sul phishing; tuttavia, le simulazioni di phishing dovrebbero essere parte di un più ampio programma di formazione sull'ingegneria sociale.
Un programma completo di educazione all'ingegneria sociale dovrebbe anche includere come funzionano queste truffe e i tipi di comportamento o situazioni che manipolano, per esempio, fiducia, urgenza, relazioni, ecc.
Migliore pratica due: formazione sulla consapevolezza della sicurezza +SEE
I pacchetti di formazione per la consapevolezza della sicurezza generale dovrebbero sempre includere l'educazione sull'ingegneria sociale. L'igiene della sicurezza e la consapevolezza generale del phishing fanno parte della mitigazione di un tentativo di social engineering riuscito. Aggiungete l'educazione all'ingegneria sociale (SEE) al vostro più ampio programma di formazione sulla consapevolezza della sicurezza per rendere i trucchi di ingegneria sociale visibili a tutti.
La terza migliore pratica: Apprendimento intelligente
Tutti gli esseri umani tendono ad apprendere meglio quando vengono istruiti con tecniche interattive. La ricerca ha identificato alcuni criteri per un apprendimento efficace:
- Rendere le lezioni brevi ma informative: costruire su di esse e ripeterle regolarmente per un apprendimento ottimale.
- Interlacciando o passando da un'idea all'altra mentre si impara, si creano delle pause naturali tra le sessioni, aiutando a rafforzare le idee. Assicurati anche di evidenziare le connessioni tra le diverse aree della sicurezza informatica e le tattiche di ingegneria sociale per aiutare i dipendenti a capire la complessità di questi tipi di attacchi.
- Usare "esempi concreti" per far sì che l'apprendimento si fissi nella mente dell'impiegato.
Migliore pratica quattro: Sciacquare e ripetere
Il social engineering, come altri metodi di attacco alla sicurezza informatica, viene continuamente ottimizzato dai criminali informatici. Assicuratevi di svolgere regolarmente sessioni di formazione sull'ingegneria sociale come parte del vostro più ampio programma di formazione sulla consapevolezza della sicurezza. Automatizza la tua campagna di consapevolezza della sicurezza per migliorare e ottimizzare la formazione.
Migliore pratica cinque: Rendete il vostro posto di lavoro una zona di tolleranza zero per l'ingegneria sociale
Costruendo la fiducia della vostra forza lavoro nell'individuare e prevenire un attacco informatico socialmente ingegnoso, la vostra organizzazione costruirà una cultura di consapevolezza della sicurezza.
Questa cultura cementerà la vostra forza lavoro contro gli attacchi informatici, anche se l'ingegneria sociale è complessa e gioca sulle paure, il comportamento, l'urgenza e le relazioni dei dipendenti. Questa cultura si estenderà anche alla loro vita domestica, rendendo la loro sicurezza generale migliore e aiutando a de-rischiare anche gli ambienti di lavoro domestici.
Negli attacchi informatici che utilizzano tecniche di ingegneria sociale, l'essere umano è la vulnerabilità della sicurezza. Fornendo alla vostra forza lavoro le conoscenze necessarie per individuare i tentativi di ingegneria sociale, rafforzate la vostra azienda e i vostri dipendenti.
