Sapere come individuare i segnali di un attacco di social engineering può aiutare a prevenire il successo di questo tipo di attacchi e a proteggere i dati e i sistemi sensibili della vostra organizzazione.
Perché fare la fatica di sfondare una porta quando si può chiedere a qualcuno di consegnare la chiave? Questo scenario è l'analogia che descrive il motivo per cui l'ingegneria sociale è diventata la tecnica di attacco informatico più utilizzata.
Il Verizon Data Breach Investigation Report 2021 ha rilevato una tendenza all'aumento dell'uso del social engineering dal 2017. Un altro rapporto ha identificato un aumento del 270% degli attacchi informatici basati sul social engineering nel 2021.
È così difficile individuare i segni dell'ingegneria sociale perché agisce manipolando i comportamenti quotidiani della nostra vita. Come può un dipendente sapere se è vittima di una truffa di social engineering?
Che cos'è l'ingegneria sociale?
La comprensione dei vari elementi utilizzati durante il social engineering aiuta a individuare i segnali di un attacco di social engineering.
I criminali informatici sono sempre alla ricerca di modi per accedere a informazioni sensibili o manipolare un processo aziendale per danneggiarlo. Questi danni variano, tra cui le truffe BEC (Business Email Compromise) e le infezioni da malware.
Entrambi questi tipi di attacchi informatici sono in aumento: Le truffe BEC sono costate alle aziende globali più di 43 miliardi di dollari nei cinque anni fino al 2021, con un aumento del 65% delle perdite tra luglio 2019 e dicembre 2021; la ricerca ha rilevato che il 71% delle aziende è stato vittima di un attacco malware nel 2021. Alla base di questi aumenti ci sono truffe di ingegneria sociale sofisticate e complesse.
L'ingegneria sociale sfrutta il comportamento umano, in modo che gli individui compiano azioni a vantaggio del truffatore. In altre parole, i truffatori fanno in modo che gli individui facciano inconsapevolmente il lavoro sporco per loro. Le tattiche utilizzate dai truffatori durante un attacco di ingegneria sociale si basano sulla manipolazione del comportamento, sull'inganno e su trucchi psicologici. Questa manipolazione è favorita dalla mancanza di conoscenza da parte del singolo obiettivo.
L'ingegneria sociale è un metodo di attacco sottile e basato sull'intelligence. I ricercatori Abid e altri hanno identificato le fasi tipiche del ciclo di vita di un attacco di social engineering:
- Raccolta di informazioni: ricognizione per identificare modelli di comportamento, applicazioni utilizzate e processi aziendali che possono essere sfruttati. Ciò consente di stabilire un livello di fiducia con l'obiettivo e di sfruttare l'intelligence.
- Sviluppare la relazione: questa fiducia viene utilizzata per sviluppare le relazioni in preparazione della fase successiva.
- Sfruttamento: l'operazione dannosa viene eseguita, ad esempio facendo clic su un link in un'e-mail di phishing o attivando un trasferimento bancario di denaro.
- Esecuzione: l'ultima fase in cui l'hacker riceve denaro o ottiene l'accesso alle credenziali di accesso per installare il ransomware o accedere a informazioni sensibili.
Tenendo presente le fasi di un attacco di social engineering, come si può individuare un attacco di social engineering prima che sia troppo tardi?
Cinque segnali che indicano che siete stati socialmente ingegnerizzati
Alcuni dei segnali più evidenti sono anche i più difficili da individuare, perché si mascherano da eventi regolari. Tuttavia, l'arte di individuare l'imprevisto o quando qualcosa non va bene è qualcosa che la formazione regolare sulla sicurezza aiuta a stabilire.
Ecco cinque segnali tipici dell'ingegneria sociale:
Un allegato o un link inaspettato
Gli attacchi di phishing e smishing (mobile phishing) spesso contengono un allegato o un link a un sito web dannoso. L'e-mail stessa conterrà i tipici motivatori comportamentali, come l'urgenza, la pressione emotiva, la curiosità, la paura e le minacce, oltre ad altre affermazioni preoccupanti, come una minaccia alla sicurezza. L'attacco di phishing incoraggerà il destinatario ad aprire un allegato o a cliccare su un link utilizzando queste pressioni emotive.
Pensate prima di cliccare, prima di aprire un allegato. Il messaggio sembra legittimo? Controllate se ci sono segni di phishing, come ad esempio: "L'indirizzo e-mail del mittente corrisponde al nome del dominio previsto? Il linguaggio e la grammatica dell'e-mail sono un po' fuori luogo?
Consultate la MetaCompliance Ultimate Guide to Phishing per ulteriori segnali rivelatori delle e-mail di phishing.
Una richiesta insolita
I truffatori possono rivelarsi chiedendo qualcosa di inaspettato. Ciò è particolarmente evidente se il truffatore si spaccia per un'altra persona dell'azienda, magari un direttore finanziario o un amministratore delegato.
Le truffe BEC, ad esempio, possono comportare l'invio ai dipendenti del reparto contabilità di un'e-mail di spear phishing che sembra provenire da un dirigente di livello C e che chiede di effettuare un trasferimento di denaro immediato e urgente. Altre e-mail di phishing possono chiedere al destinatario di aprire un allegato con una registrazione vocale, e così via.
Se una richiesta sembra fuori dal comune e insolita, fermatevi a pensare: potrebbe essere una truffa? Quindi, eseguite un semplice controllo: chiamate la persona che ha presumibilmente inviato la richiesta e chiedete se è legittima.
Una richiesta o una domanda urgente
L'urgenza è un ottimo esempio di tattica utilizzata per manipolare le emozioni umane. Se una richiesta urgente sembra provenire anche dall'alta direzione o dal livello C, prendetevi un momento per verificare la legittimità della richiesta.
La Business Email Compromise (BEC) spesso comporta la manipolazione emotiva dei dipendenti che lavorano nel reparto finanziario. Ad esempio, un truffatore BEC cercherà di fare pressione su un dipendente affinché effettui un bonifico, minacciando di perdere l'attività se non agisce rapidamente.
Ricontrollate la richiesta e chiamate la persona che presumibilmente l'ha fatta.
Un'offerta troppo bella per essere vera
I criminali informatici talvolta utilizzano il ricatto o la coercizione per estrarre informazioni, soprattutto durante la fase di raccolta delle informazioni di un attacco di social engineering.
Pensate due volte se ricevete un'offerta di denaro o un premio per la condivisione di informazioni aziendali o personali, perché potrebbe essere un tentativo di hackeraggio del vostro account.
Una richiesta sui social media da parte di una persona sconosciuta
Nei sei mesi fino a giugno 2021, LinkedIn ha rimosso oltre 66 milioni di spam e truffe sulla piattaforma, di cui 232.000 rimossi dopo il reclamo di un utente. Gli hacker creano falsi account sui social media e poi si rivolgono a loro per creare connessioni. I truffatori usano i social media per raccogliere informazioni e costruire relazioni con gli obiettivi e i loro contatti.
Se ricevete una richiesta di connessione su una piattaforma di social media, controllate il profilo del richiedente e cercate i segni che potrebbero essere falsi. Ad esempio, ha un profilo completo e una storia lavorativa, ha raccomandazioni legittime, ecc.
L'ingegneria sociale funziona e continuerà a farlo finché non impareremo a individuarne i segnali. Una formazione di sensibilizzazione sulla sicurezza che includa l'educazione alle tattiche di social engineering conferisce ai dipendenti le conoscenze necessarie per impedire ai truffatori di sfruttare il loro comportamento.