Rapporti come il Verizon's Data Breach Investigations Report (DBIR) del 2022 collocano gli esseri umani come componente centrale nell'82% degli attacchi informatici. I truffatori utilizzano tecniche basate sull'ingegneria sociale per indurre le persone a compiere azioni a vantaggio dell'hacker.
L'ingegneria sociale è un termine generico che comprende molte tattiche utilizzate per manipolare i dipendenti e gli altri utenti. Ecco sei dei tipi più comuni di social engineering e come evitare che gli hacker li sfruttino con successo nella vostra organizzazione.
Sei dei più comuni attacchi di ingegneria sociale
1. Phishing e ingegneria sociale
Lo spear-phishing, una forma mirata di phishing, è coinvolto nel 93% degli attacchi informatici, secondo il DBIR 2018. La forma meno mirata di phishing è ancora la seconda forma più comune di tattica di attacco informatico, secondo Cisco.
Il phishing è il mezzo perfetto per consentire agli hacker di manipolare gli esseri umani e rientra quindi nell'ambito dell'ingegneria sociale. Il phishing si manifesta in diverse forme. Sebbene siano già stati menzionati il phishing e lo spear phishing, gli hacker utilizzano qualsiasi mezzo di comunicazione, compresi i messaggi di testo e le telefonate (SMShing e Vishing), per incoraggiare le persone a fare clic su un link a un sito Web dannoso, a fornire informazioni personali o a scaricare un allegato infetto.
2. I social media per l'ingegneria sociale
I social media forniscono una miniera d'oro di informazioni che i criminali informatici possono utilizzare per attaccare persone, app, reti e dati: i truffatori hanno bisogno di dati per alimentare gli attacchi informatici, compresi i Business Email Compromise (BEC).
Quando i dipendenti o altri individui condividono informazioni sui social media, i truffatori li osservano. Secondo una ricerca, le aziende riscontrano i seguenti problemi quando i dipendenti condividono informazioni sui social media:
- condividere troppe informazioni
- perdita di informazioni riservate
- maggiore esposizione al contenzioso
Il documento conclude che i social media offrono un mezzo di condivisione aperto che complica le sfide dell'ingegneria sociale.
3. Pedinamenti e pedinamenti
Il tailgating è una delle truffe di ingegneria sociale più antiche del mondo. Il tailgating, o piggybacking, è spesso visto come una truffa fisica, ma può essere anche digitale. Nel mondo fisico, il tailgating è esemplificato dal truffatore che si intrufola nell'edificio degli uffici di un'azienda senza farsi notare. I truffatori sanno come apparire poco appariscenti, il che consente loro di accedere all'edificio senza autorizzazione o di "fare da spalla" a qualcuno che sta entrando nell'edificio.
Una volta entrati, possono indurre i dipendenti a condividere le credenziali degli account, come le password, o utilizzare strumenti di hacking per rubare i dati direttamente dai computer. Possono anche usare il vecchio trucco di guardare alle spalle di chi si collega a un'area sensibile della rete.
4. Pretestuosità
I truffatori hanno spesso bisogno di dati per garantire il successo di una truffa con l'ingegneria sociale. Come già detto, l'hacker può raccogliere informazioni per ingannare una persona utilizzando i social media, il phishing e il pedinamento. Il pretexting utilizza l'ingegneria sociale per far credere che il truffatore sia una persona autorevole o autorizzata a trovarsi in un determinato luogo: in altre parole, il truffatore si spaccia per qualcuno.
Per esempio, possono fingere di essere un appaltatore o un dirigente di livello C; questo può sembrare improbabile, ma un truffatore sicuro di sé può farlo in una grande organizzazione con più uffici.
5. Adescamento
Le persone amano le cose gratuite e l'adescamento sfrutta questo comportamento per indurre i dipendenti a consegnare informazioni come dati sensibili o dettagli finanziari. Ad esempio, il truffatore sceglie un dipendente o invia un'e-mail di massa offrendo un prodotto gratuito, come il download di un film. Se il dipendente preme il pulsante di download, il risultato è un dispositivo infetto.
Si tratta di un modo efficace per installare malware. Un esempio di questo fenomeno è stata la versione pirata di Game of Thrones, che è diventata la serie TV più infettata da malware di tutti i tempi nel 2018; in totale, 126.340 utenti sono stati infettati da malware quando hanno scaricato la versione pirata della serie TV.
6. Quid Pro Quo
Quid Pro Quo è una locuzione latina (questo per quello) utilizzata per descrivere uno scambio di qualcosa in cambio di beni o servizi. I criminali informatici vogliono i dati e un Quid Pro Quo è un modo per ottenerli.
Un tipico attacco Quid Pro Quo funziona così: un dipendente riceve una chiamata dal "supporto tecnico" che gli comunica che è in corso un attacco ransomware e che è necessario rimuovere il virus prima che danneggi il lavoro del dipendente. Per farlo, l'hacker deve disporre del nome utente e della password del dipendente. Se il dipendente cade nello stratagemma, l'hacker avrà accesso alla rete aziendale, che potrà utilizzare per scalare i privilegi alle aree più sensibili.
Tre modi per proteggere i vostri dipendenti dagli attacchi di social engineering
1. Mettere in atto processi e politiche
Spesso gli ingegneri sociali devono fare affidamento su processi inadeguati che consentono loro di sfruttare le lacune della sicurezza. Ad esempio, nel tailgating, l'intruso può dipendere dalla mancanza di controlli sulle persone che entrano in un edificio. Gli ingegneri sociali spesso si affidano alla fiducia nelle figure autoritarie per incoraggiare un dipendente ad agire, ad esempio a trasferire denaro, come è accaduto in una truffa BEC.
La maggior parte delle truffe di social engineering ha bisogno di dati, quindi i truffatori si rivolgono ai social media o al phishing per raccogliere le informazioni necessarie a portare a termine un attacco informatico. Processi solidi che aggiungono controlli e verifiche ogni volta che si verifica un'azione come il trasferimento di denaro o di dati possono aiutare a prevenire un attacco di social engineering. Le politiche che garantiscono che i dipendenti non condividano troppo sulle piattaforme di social media aiutano a evitare questa forma di raccolta di dati.
2. Formare i dipendenti sulle tattiche di social engineering
L'ingegneria sociale assume molte forme e i criminali informatici che si celano dietro gli attacchi di ingegneria sociale adattano queste truffe per evitare di essere scoperti. Pertanto, i pacchetti di formazione sulla consapevolezza della sicurezza dovrebbero includere una formazione sui trucchi di ingegneria sociale, comprese le sei truffe descritte sopra.
La formazione deve essere coinvolgente e utilizzare moduli formativi interessanti, divertenti e informativi.
La piattaforma di sensibilizzazione alla sicurezza deve anche offrire la possibilità di rilevare il tasso di successo di un pacchetto di formazione, per garantire che l'organizzazione possa aggiornare e regolare la formazione per ottenere i migliori risultati possibili. L'addestramento dei dipendenti a riconoscere gli attacchi di social engineering deve essere effettuato regolarmente per rilevare i cambiamenti nei modelli di minaccia.
3. Utilizzare programmi di phishing simulati
Il phishing è una tecnica fondamentale su cui si basano molti attacchi di ingegneria sociale. Individuare i segni rivelatori di un'e-mail o di un altro messaggio di phishing è una prima linea di difesa fondamentale contro gli attacchi di social engineering.
Il software di simulazione del phishing fornisce modelli che possono essere adattati per riflettere gli attuali trucchi di social engineering. Questi vengono poi inviati come di consueto ai dipendenti e agli altri collaboratori aziendali. Se un utente clicca su un link dannoso o scarica un allegato, la piattaforma di simulazione di phishing interviene con una lezione su cosa accadrebbe se continuasse a compiere quell'azione.
