Cos'è il social engineering? Scopri cinque famosi esempi di attacchi di ingegneria sociale e come queste strategie ingannino le persone. Infatti, gli esseri umani sono fondamentalmente sociali, appassionati di interazioni, comunicazione, lavoro e attività condivise. Questo spirito collaborativo, basato sulla fiducia, agevola la cooperazione e la convivenza all'interno dei gruppi umani.
Tuttavia, queste stesse caratteristiche sociali sono sfruttate anche dai criminali informatici che mirano a causare danni. Gli attacchi di ingegneria sociale sfruttano queste vulnerabilità, utilizzando inganni e impersonificazioni per manipolare le persone affinché compiano azioni a vantaggio del truffatore.
Lo conferma il Verizon Data Breach Investigations Report (DBIR) del 2023, secondo cui l'82% delle violazioni coinvolge un elemento umano.
Ecco come avvengono gli attacchi di social engineering e cosa potete fare per evitare che il vostro personale venga socializzato.
Come avvengono gli attacchi di social engineering?
Secondo un recente rapporto, un'organizzazione media subisce 700 attacchi di social engineering all'anno. Gli attacchi di social engineering si presentano in molte forme e si evolvono in nuove per eludere il rilevamento.
Lo scopo di un attacco di social engineering è quello di indurre qualcuno a fare qualcosa che vada a vantaggio di un criminale informatico. Ad esempio, ingannare una persona per farle rivelare dettagli finanziari che verranno poi utilizzati per compiere una frode.
L'ingegneria sociale non viene eseguita solo con metodi digitali. Gli ingegneri sociali ricorrono a qualsiasi tattica per costruire le strutture necessarie a ingannare le persone. Ad esempio, possono usare il telefono o entrare in un ufficio e chiacchierare con il personale.
I trucchi di ingegneria sociale attualmente preferiti includono:
Pretexting e tailgating: gli aggressori fingono di essere un collega o una persona autorevole, ad esempio un agente di polizia. Utilizzeranno questa veste per stabilire un rapporto di fiducia con l'obiettivo tramite un metodo digitale, il telefono o di persona. Una volta stabilita la fiducia, il truffatore cercherà di estrarre informazioni, come dati personali o dettagli finanziari.
Inoltre, i "tailgator" spesso effettuano attacchi fisici alle aziende, trovando il modo di entrare in un edificio, passando inosservati o addirittura invitati. Una volta all'interno dell'edificio, possono utilizzare strumenti facilmente reperibili, come l'USB RubberDucky utilizzata dai penetration tester legittimi, per rubare i dati, comprese le credenziali di accesso.
Phishing: il phishing si presenta in vari modi, tra cui e-mail, telefonate, post sui social media e messaggi di testo. I messaggi di attacco di phishing racchiudono tattiche di ingegneria sociale, utilizzando la finzione, la fiducia e la voglia di cliccare per incoraggiare i destinatari a divulgare informazioni personali, come password e dati della carta di credito.
Uno studio del governo britannico sulla sicurezza informatica ha rilevato che la stragrande maggioranza (83%) delle aziende che hanno individuato un attacco informatico ha dichiarato che il phishing è stato il vettore principale dell'attacco.
Lo spearphishing è la forma mirata di phishing che porta l'ingegneria sociale ai massimi livelli di successo. Le e-mail di spearphishing sono difficili da distinguere da quelle legittime perché i truffatori fanno di tutto per farle sembrare realistiche, spesso instaurando rapporti di fiducia con il loro obiettivo. Secondo il DBIR 2018, lo spearphishing è alla base del 93% degli attacchi informatici.
Baiting: questo attacco di social engineering utilizza l'allettamento o la paura di perdere l'occasione (FOMO) per incoraggiare determinati comportamenti. Ad esempio, a un dipendente possono essere offerti omaggi se fornisce informazioni personali o aziendali o password.
Perché gli attacchi di social engineering sono efficaci?
Gli esseri umani si sono evoluti per agire e comportarsi in determinati modi per stabilire strutture sociali forti e coese. Elementi come la fiducia sono componenti vitali di società coerenti. Senza fiducia, le relazioni falliscono.
I truffatori comprendono il comportamento umano e la necessità di costruire relazioni di fiducia. Capiscono anche come manipolare le persone fingendo di essere una persona fidata o costruendo fiducia.
Anche altri comportamenti umani, come l'impulso a fare un buon lavoro, a non finire nei guai o a non perdere una buona occasione, vengono sfruttati dai criminali informatici. Tutte queste azioni naturali che compiamo quotidianamente nella nostra vita domestica e lavorativa possono essere sfruttate dai criminali informatici che intendono rubare dati e accedere alle reti per compiere azioni dannose.
Social engineering: 5 famosi esempi di attacchi di ingegneria sociale
Gli esempi di ingegneria sociale vengono regolarmente pubblicati dalla stampa, ma qui di seguito ve ne presentiamo cinque per darvi un'idea di come funziona l'ingegneria sociale:
Marriott Hotel: un gruppo di hacker ha utilizzato tattiche di social engineering per rubare 20 GB di dati personali e finanziari da un Marriott Hotel. Gli hacker hanno ingannato un collaboratore del Marriott Hotel e gli hanno permesso di accedere al suo computer.
Dipartimento del Lavoro degli Stati Uniti (DoL): si trattava di un attacco socialmente ingegnerizzato per rubare le credenziali di accesso a Office 365. L'attacco si è avvalso di un sofisticato phishing basato su domini abilmente spoofati che sembravano proprio il dominio legittimo del DoL. Le e-mail sembravano provenire da un dipendente senior del Ministero della Difesa che lo invitava a presentare un'offerta per un progetto governativo. Facendo clic sul pulsante dell'offerta, il dipendente veniva indirizzato a un sito di phishing utilizzato per rubare le credenziali.
Utenti di Zoom: una campagna di phishing rivolta ai dipendenti ha colpito almeno 50.000 utenti. Gli ingegneri sociali hanno sfruttato la paura di un licenziamento per incoraggiare i dipendenti a cliccare su un link per incontrarsi con le risorse umane tramite Zoom. Cliccando sul link, il dipendente veniva portato su un falso sito di login di Zoom, progettato per rubare le password.
FACC (produttore austriaco di aeromobili): FACC ha perso circa 42 milioni di euro quando è stata vittima di una sofisticata truffa BEC (Business Email Compromise). L'amministratore delegato dell'azienda ha subito lo spoofing del proprio account di posta elettronica, che è stato poi utilizzato per inviare una richiesta "urgente" di trasferimento di fondi. Questa e-mail ha ingannato un impiegato addetto al pagamento che ha accolto la richiesta, versando il denaro sul conto del truffatore.
Richiamo di Crowdstrike: anche i fornitori di sicurezza sentono la forza dell'ingegneria sociale. Crowdstrike è diventata una pedina inconsapevole nel gioco dell'ingegnere sociale. I truffatori utilizzano il marchio di fiducia di Crowdstrike e di altri fornitori di sicurezza per inviare e-mail di phishing ai dipendenti. L'e-mail contiene i dettagli di una possibile infezione da malware e un numero di telefono da chiamare per rimuovere il malware installato. Se il dipendente raggiunge il numero, viene ingannato per consentire all'aggressore di accedere al suo computer.
Come proteggersi dagli attacchi di social engineering
L'ingegneria sociale ha successo perché la tecnica manipola le nostre azioni quotidiane. Questo rende difficile per i dipendenti accorgersi di essere parte di un attacco di social engineering.
L'ingegneria sociale deve far parte della conversazione sulla consapevolezza della sicurezza e le politiche di sicurezza devono rifletterlo. Tuttavia, esistono modi pratici per garantire che i dipendenti siano aggiornati sui trucchi dei truffatori di social engineering:
Fate in modo che il social engineering faccia parte della vostra cultura della sicurezza:
- Coinvolgere il personale in aggiornamenti regolari sull'ingegneria sociale e sul suo funzionamento.
- Assicuratevi che l'ingegneria sociale faccia parte della vostra regolare formazione sulla sicurezza.
- Includete l'ingegneria sociale nei manifesti del mese della consapevolezza della sicurezza e inviate newsletter al personale sui problemi causati dall'ingegneria sociale.
Implementare simulazioni di phishing: utilizzare una piattaforma avanzata di simulazione di phishing per formare il personale sull'aspetto delle e-mail di phishing e per testare la loro risposta a un'e-mail di phishing. Adattate queste e-mail ai diversi ruoli della vostra organizzazione e basate le simulazioni sulle tattiche note utilizzate dai truffatori.
Test di penetrazione dell'azienda e del personale: allestite vari scenari di test per vedere come il personale risponde ai potenziali tentativi di social engineering. Questo può includere test per vedere quanto sia facile (o difficile) entrare nell'edificio.
Inoltre, testate il personale e la sua risposta a persone sconosciute. Ad esempio, fate passare i tester per addetti alle pulizie o appaltatori e vedete fino a che punto riescono a estrarre informazioni sulla vostra azienda o a chiedere l'accesso a un computer.
