Come evitare gli attacchi di ingegneria sociale
Pubblicato su: 21 Feb 2023
Ultima modifica il: 24 Lug 2025
Il Mid-Year Market Report 2022 di Cyber Security Hub ha rilevato che il 75% degli intervistati ha citato l’ingegneria sociale e il phishing come la principale minaccia per la propria organizzazione. Questi risultati arrivano sulla scia degli avvertimenti lanciati da ricercatori come Check Point Research su come le tecnologie abilitate dall’intelligenza artificiale, come ChatGPT, possano essere utilizzate per creare e-mail di phishing convincenti.
L’ingegneria sociale è una tecnica di truffa insidiosa utilizzata perché funziona. Essere socialmente ingegnerizzati significa essere sfruttati utilizzando gli stessi comportamenti che usi quotidianamente. Poiché gli hacker sanno come manipolare le persone a un livello base, può essere difficile identificare gli attacchi. MetaCompliance illustra il processo necessario per garantire che i tuoi dipendenti non siano vittime di un attacco di ingegneria sociale.
Tre passi per evitare gli attacchi di ingegneria sociale
La prevenzione degli attacchi di social engineering, in tutte le sue forme, richiede processi e strumenti e dovrebbe essere considerata un approccio su più fronti. Ci sono tre elementi fondamentali che, utilizzati insieme, aiutano a garantire che la tua organizzazione e i tuoi dipendenti siano pronti ad affrontare qualsiasi forma di social engineering utilizzata per portare a termine un attacco di sicurezza informatica:
- Strategie: integra l’ingegneria sociale nella tua strategia di sicurezza.
- Personalizza: forma i dipendenti sulle minacce di social engineering che è più probabile che subiscano.
- Segnala: Incoraggia la segnalazione degli incidenti per migliorare la tua risposta a un attacco che coinvolge l’ingegneria sociale.
Strategia: assicurati che la tua strategia di sicurezza rifletta gli attacchi del mondo reale
Gli attacchi di ingegneria sociale coprono molti scenari, dal phishing alla manipolazione delle relazioni, fino alle versioni fisiche dell’ingegneria sociale come il“pedinamento“. Spesso gli hacker utilizzano un mix di trucchi reali e digitali come parte di un sofisticato attacco alla sicurezza.
Le email di phishing, ad esempio, possono essere molto difficili da individuare e sono spesso utilizzate come un modo popolare per ottenere l’accesso alle credenziali delle password o alle informazioni personali. Spesso questi attacchi in più fasi possono comportare il download di malware e creare un senso di urgenza per incoraggiare il destinatario ad agire senza pensare.
Per assicurarti che la tua organizzazione copra tutti questi scenari, costruisci una strategia di sicurezza che includa misure di rilevamento, procedure di segnalazione degli incidenti di sicurezza, piani di risposta agli incidenti e modalità di esecuzione degli audit sulla sicurezza e sulla privacy.
La tua pianificazione strategica deve includere le modalità per mitigare l’impatto dell’ingegneria sociale; questo consiste in una formazione di sensibilizzazione alla sicurezza che preveda giochi di ruolo sull’ingegneria sociale. Una volta messi in atto, la strategia di sicurezza e i piani di risposta devono essere regolarmente rivisti e aggiornati in base all’evoluzione del panorama delle minacce e alle nuove opportunità offerte dalla tecnologia e dai modelli di lavoro, come il lavoro a distanza.
Personalizzare la formazione sulla sicurezza
Svolgi sessioni di formazione sulla sicurezza con i dipendenti basate su minacce specifiche. Ciò significa che le sessioni di formazione vengono svolte in base al ruolo del dipendente; ruoli diversi dei dipendenti attirano tipicamente diversi tipi di attacchi di social engineering.
Ad esempio, le truffe BEC (Business Email Compromise) tendono a utilizzare l’ingegneria sociale per colpire il personale che lavora nella contabilità o i dirigenti di livello C, perché questi ruoli controllano le finanze aziendali.
Un recente rapporto di Abnormal Security, che ha analizzato le minacce via e-mail, ha rilevato che circa il 28% dei dipendenti presi di mira aprirebbe un messaggio di testo BEC; di coloro che aprono questi messaggi BEC, il 15% risponderebbe, entrando così in contatto con il truffatore e aprendo la porta a un ulteriore social engineering.
Personalizza la tua formazione di sensibilizzazione alla sicurezza per eseguire una formazione basata sui ruoli e incentrata sulle minacce principali. Utilizza una piattaforma che offra modelli basati sui ruoli da utilizzare per le esercitazioni di simulazione di phishing. Crea simulazioni di phishing e sessioni di formazione incentrate sul tipo di minacce che un singolo dipendente o un reparto potrebbe subire.
Incoraggia la segnalazione degli incidenti di sicurezza
Il rapporto Abnormal Security ha inoltre rilevato che solo il 2,1% degli incidenti di sicurezza viene segnalato al team di sicurezza dell’organizzazione. Questo lascia un vuoto incolmabile nella capacità di rispondere rapidamente a un attacco in corso.
Poiché l’ingegneria sociale è spesso parte di una catena di eventi che portano a risultati come il furto di denaro o l’infezione da ransomware, avere un avviso precoce di un incidente in corso può fornire le informazioni necessarie per fermare l’attacco sul nascere e mitigarne i danni.
È fondamentale fornire un modo per segnalare facilmente gli incidenti e coltivare un ambiente privo di colpe per incoraggiare la segnalazione degli incidenti da parte dei dipendenti. Le organizzazioni non dovrebbero affidarsi esclusivamente ai firewall o ai filtri antispam per prevenire questo tipo di attacchi.
Invece, dai ai tuoi dipendenti la possibilità di segnalare un incidente informatico. La segnalazione di un incidente può contribuire ad alleviare l’impatto della situazione affidando la risposta a un dipendente esperto. È importante offrire ai dipendenti un luogo sicuro dove registrare i dettagli dell’incidente, ad esempio un portale dedicato alla segnalazione degli incidenti di sicurezza.
Utilizzando le informazioni sull’incidente inserite dal dipendente, il team di sicurezza può gestire l’incidente, stabilire le priorità di risposta e avviare i protocolli di sicurezza. Ad esempio, la console MetaIncident di MetaCompliance è un sistema di gestione degli incidenti che include un registro degli incidenti per gestire i problemi. La possibilità di verificare la segnalazione e le risposte agli incidenti e di generare report utilizzando i dati di un incidente di sicurezza è utile anche per dimostrare la conformità alle normative.
È probabile che l’ingegneria sociale continui a rappresentare una sfida per le organizzazioni. Le nuove tecnologie, come le interfacce abilitate all’intelligenza artificiale, permetteranno ai truffatori di creare strumenti di social engineering ancora più sofisticati. Tuttavia, un’azienda può fermare questa insidiosa minaccia sviluppando programmi di formazione mirati e integrando la segnalazione degli incidenti nel lavoro quotidiano.
