Rapporti come il Verizon’s Data Breach Investigations Report (DBIR) del 2022 indicano l’uomo come componente centrale dell’82% degli attacchi informatici. I truffatori utilizzano tecniche basate sull’ingegneria sociale per indurre le persone a compiere azioni a vantaggio dell’hacker.

L’ingegneria sociale è un termine che racchiude molte tattiche utilizzate per manipolare i dipendenti e gli altri utenti. Ecco sei dei tipi più comuni di ingegneria sociale e come evitare che gli hacker li sfruttino con successo nella tua azienda.

Sei dei più comuni attacchi di ingegneria sociale

1. Phishing e ingegneria sociale

Lo spear-phishing, una forma di phishing mirato, è coinvolto nel 93% degli attacchi informatici, secondo il DBIR 2018. Secondo Cisco, la forma meno mirata di phishing è ancora la seconda forma più comune di attacco informatico.

Il phishing è il mezzo perfetto per consentire agli hacker di manipolare gli esseri umani e rientra quindi nell’ambito dell’ingegneria sociale. Il phishing si manifesta in diverse forme. Sebbene siano già stati citati il phishing e lo spear phishing, gli hacker utilizzeranno qualsiasi mezzo di comunicazione, compresi i messaggi di testo e le telefonate (SMShing e Vishing), per incoraggiare le persone a cliccare su un link che rimanda a un sito web dannoso, a fornire informazioni personali o a scaricare un allegato infetto.

2. I social media per l’ingegneria sociale

I social media forniscono una miniera d’oro di informazioni che i criminali informatici possono utilizzare per attaccare persone, app, reti e dati: i truffatori hanno bisogno di dati per alimentare gli attacchi informatici, tra cui il Business Email Compromise (BEC).

Quando i dipendenti o altri individui condividono informazioni sui social media, i truffatori li osservano. Secondo una ricerca, le aziende riscontrano i seguenti problemi quando i dipendenti condividono informazioni sui social media:

    • condividere troppe informazioni

    • perdita di informazioni riservate

    • maggiore esposizione a controversie legali

Il documento conclude che i social media offrono un mezzo di condivisione aperto che complica le sfide dell’ingegneria sociale.

3. Pedinamenti e pedinamenti

Il tailgating è una delle truffe di ingegneria sociale più antiche del mondo. Il tailgating, o piggybacking, è spesso visto come una truffa fisica, ma può essere anche digitale. Nel mondo fisico, il tailgating è esemplificato dal truffatore che si intrufola nell’ufficio di un’azienda senza farsi notare. I truffatori sanno come apparire poco appariscenti, il che consente loro di accedere all’edificio senza autorizzazione o di “fare da spalla” a qualcuno che sta entrando nell’edificio.

Una volta entrati, possono indurre i dipendenti a condividere le credenziali degli account, come le password, o utilizzare strumenti di hacking per rubare i dati direttamente dai computer. Possono anche usare il vecchio trucco di guardare alle spalle di chi si collega a un’area sensibile della rete.

4. Pretestuosità

I truffatori hanno spesso bisogno di dati per garantire il successo di una truffa con l’ingegneria sociale. Come già detto, l’hacker può raccogliere informazioni per ingannare una persona utilizzando i social media, il phishing e il pedinamento. Il pretexting utilizza l’ingegneria sociale per far credere che il truffatore sia un’autorità o una persona autorizzata a trovarsi in un determinato luogo: in altre parole, il truffatore si spaccia per qualcuno.

Ad esempio, può fingere di essere un imprenditore o un dirigente di livello C; può sembrare improbabile, ma un truffatore sicuro di sé può farlo in una grande organizzazione con più uffici.

5. Adescamento

Le persone amano le cose gratis e l’adescamento sfrutta questo comportamento per indurre i dipendenti a consegnare informazioni come dati sensibili o dettagli finanziari. Ad esempio, il truffatore sceglie un dipendente o invia un’e-mail di massa offrendo un prodotto gratuito, come il download di un film. Se il dipendente preme il pulsante di download, il risultato è un dispositivo infetto.

Si tratta di un modo efficace per installare malware. Un esempio di questo fenomeno è la versione pirata di Game of Thrones, che nel 2018 è diventata la serie TV più infettata da malware di tutti i tempi; in totale, 126.340 utenti sono stati infettati da malware quando hanno scaricato la versione pirata della serie TV.

6. Quid Pro Quo

Quid Pro Quo è una locuzione latina (questo per quello) utilizzata per descrivere uno scambio di qualcosa in cambio di beni o servizi. I criminali informatici vogliono i dati e un Quid Pro Quo è un modo per ottenerli.

Un tipico attacco Quid Pro Quo funziona così: un dipendente riceve una chiamata dal “supporto tecnico” che gli comunica che è in corso un attacco ransomware e che deve rimuovere il virus prima che danneggi il lavoro del dipendente. Per farlo, l’hacker deve avere il nome utente e la password del dipendente. Se il dipendente cade nello stratagemma, l’hacker avrà accesso alla rete aziendale, che potrà utilizzare per scalare i privilegi alle aree più sensibili.

Tre modi per proteggere i tuoi dipendenti dagli attacchi di social engineering

1. Mettere in atto processi e politiche

Spesso gli ingegneri sociali devono fare affidamento su processi inadeguati che consentono loro di sfruttare le lacune della sicurezza. Ad esempio, nel caso del pedinamento, l’intruso può dipendere dalla mancanza di controlli sulle persone che entrano in un edificio. Gli ingegneri sociali spesso si affidano alla fiducia nelle figure autoritarie per incoraggiare un dipendente ad agire, ad esempio a trasferire denaro, come nel caso di una truffa BEC.

La maggior parte delle truffe di social engineering ha bisogno di dati, quindi i truffatori si rivolgono ai social media o al phishing per raccogliere le informazioni necessarie a portare a termine un attacco informatico. Processi solidi che aggiungono controlli e verifiche ogni volta che si verifica un’azione come il trasferimento di denaro o di dati possono aiutare a prevenire un attacco di social engineering. Le politiche che garantiscono che i dipendenti non condividano troppo sulle piattaforme di social media aiutano a evitare questa forma di raccolta di dati.

2. Formare i dipendenti sulle tattiche di social engineering

L’ingegneria sociale assume molte forme e i criminali informatici che si celano dietro gli attacchi di ingegneria sociale adattano queste truffe per evitare di essere scoperti. Per questo motivo, i pacchetti di formazione sulla sicurezza dovrebbero includere una formazione sui trucchi di ingegneria sociale, comprese le sei truffe descritte sopra.

La formazione deve essere coinvolgente e utilizzare moduli formativi interessanti, divertenti e informativi.

La piattaforma di sensibilizzazione alla sicurezza dovrebbe anche offrire la possibilità di rilevare il tasso di successo di un pacchetto di formazione per garantire che l’organizzazione possa aggiornare e adattare la formazione per ottenere i migliori risultati possibili. La formazione dei dipendenti per riconoscere gli attacchi di social engineering deve essere effettuata regolarmente per rilevare i cambiamenti nei modelli di minaccia.

3. Utilizzare programmi di phishing simulati

Il phishing è una tecnica fondamentale su cui si basano molti attacchi di ingegneria sociale. Individuare i segni rivelatori di un’e-mail di phishing o di un altro messaggio di phishing è una prima linea di difesa fondamentale contro gli attacchi di ingegneria sociale.

Il software di simulazione del phishing fornisce modelli che possono essere adattati per riflettere gli attuali trucchi di ingegneria sociale. Questi vengono poi inviati come di consueto a dipendenti e altri collaboratori aziendali. Se un utente clicca su un link dannoso o scarica un allegato, la piattaforma di simulazione di phishing interviene con una lezione su cosa accadrebbe se continuasse a compiere quell’azione.