Ingegneria sociale (cybersecurity)

L’ingegneria sociale descrive una serie di criteri di attacco non tecnici che vengono utilizzati dai criminali informatici allo scopo di manipolare gli utenti e spingerli a eludere i protocolli di sicurezza o relativi ad altri processi aziendali, eseguendo azioni dannose o rinunciando a informazioni sensibili.

5 minuti di lettura

5 minuti di lettura

Come funziona l'ingegneria sociale?

La maggior parte dei criteri di ingegneria sociale non richiede alcuna abilità tecnica da parte dell'autore dell'attacco, il che significa che chiunque, dai ladruncoli agli autori di attacchi più sofisticati, può operare in questo spazio.

Esistono molte tecniche che rientrano nel termine generale di ingegneria sociale nell’ambito della cybersecurity. Tra le più note si annoverano lo spam e il phishing:

Spam rappresenta qualsiasi forma di comunicazione non richiesta inviata in blocco. Il più delle volte, si tratta di un'e-mail inviata a quanti più utenti possibile, ma può anche essere consegnata tramite messaggi istantanei, SMS e social media. Lo spam non è di per sé uno strumento di ingegneria sociale, ma alcune campagne utilizzano tecniche di ingegneria sociale come phishing, spear phishing, vishing, smishing o distribuzione di allegati o collegamenti dannosi.

Phishing è una forma di cyberattacco in cui il criminale si spaccia per un'entità affidabile allo scopo di richiedere informazioni sensibili alla vittima. Questi tipi di frodi tentano solitamente di creare un senso di urgenza o utilizzano tattiche intimidatorie per costringere la vittima a soddisfare le richieste dell'autore dell'attacco. Le campagne di phishing possono essere indirizzate a un numero elevato di utenti anonimi o a una o più vittime specifiche.

Ma non si tratta delle uniche tecniche. Dai un’occhiata anche agli strumenti illustrati di seguito:

Spearphishing è una forma mirata di phishing in cui gli autori degli attacchi inviano messaggi altamente personalizzati a un gruppo limitato di persone, o anche solo a un singolo utente, allo scopo di raccoglierne i dati o manipolarli in modo da eseguire azioni dannose.

Vishing e Smishing sono tecniche di ingegneria sociale simili al phishing ma condotte con mezzi diversi dall'e-mail. Il Vishing (phishing vocale) utilizza chiamate fraudolente, mentre lo Smishing (phishing tramite SMS) utilizza messaggi di testo SMS contenenti collegamenti o contenuti dannosi.

Impersonificazione nel settore della cybersecurity ha un significato simile al suo equivalente nel mondo fisico. I criminali informatici agiscono in nome di una persona affidabile e ingannano le vittime spingendole ad adottare comportamenti che danneggiano se stesse o la loro organizzazione. Un esempio tipico è rappresentato dall'autore di un attacco che si spaccia per il CEO di un’azienda. In sua assenza, il criminale provvede a ordinare e ad approvare transazioni fraudolente.

Il Technical Support Scam consiste solitamente in chiamate telefoniche fasulle o annunci web in cui gli autori degli attacchi offrono alle vittime servizi di assistenza tecnica non richiesti. In realtà, i criminali informatici tentano di arricchirsi vendendo servizi fasulli e risolvendo problemi inesistenti.

Scareware è un software che utilizza varie tecniche ansiogene allo scopo di manipolare le vittime spingendole a installare ulteriore codice dannoso sui propri dispositivi e provvedendo solitamente anche all'estrazione dei pagamenti per il software dannoso non operativo o definitivo. Un esempio tipico è un prodotto antivirus fasullo progettato per ingannare gli utenti spingendoli a pensare che i loro dispositivi siano stati compromessi e che sia necessario installare software specifici (solitamente dannosi) allo scopo di risolvere il problema.

Il (Cyber)Scam è un sistema fraudolento che utilizza spesso una o più tecniche di ingegneria sociale descritte in questa sezione.

Perché le PMI devono prestare attenzione all’ingegneria sociale?

Le PMI sono sempre più consapevoli di rappresentare una preda molto ambita per i criminali informatici. È ciò che emerge da un sondaggio del 2019 condotto da Zogby Analytics per conto della National Cyber Security Alliance statunitense . Quasi la metà (44%) delle aziende con 251-500 dipendenti ha dichiarato di aver subito una violazione di dati ufficiali negli ultimi 12 mesi. L'indagine ha rilevato che l’88% delle piccole imprese ritiene di essere almeno un bersaglio “alquanto probabile” per i criminali informatici e circa la metà (46%) un bersaglio “molto probabile”.

Il danno è reale e di vaste proporzioni. Questo punto è stato illustrato ampiamente nel report annuale dell'Internet Crime Center (IC3) dell’FBI . L'FBI stima che, solo nel 2018, le società statunitensi hanno perso più di 2,7 miliardi di dollari in cyberattacchi, di cui 1,2 miliardi attribuiti a sistemi di business email compromise (BEC)/email account compromise (EAC) che consentono trasferimenti non autorizzati di fondi.

Come si riconosce un attacco di ingegneria sociale?

Esistono vari elementi che segnalano un attacco di ingegneria sociale. Strutture grammaticali errate ed errori di ortografia sono indizi schiaccianti. Così come un forte senso di urgenza che cerca di indurre il destinatario ad agire senza farsi domande. Qualsiasi richiesta di dati sensibili dovrebbe far suonare immediatamente alcuni campanelli di allarme: normalmente le aziende affidabili non richiedono password o dati personali tramite e-mail o messaggi di testo.

Alcuni elementi che segnalano un attacco di ingegneria sociale:

1. Linguaggio povero e generico

In genere, gli autori degli attacchi non danno molto peso ai dettagli e inviano messaggi pieni di errori di battitura, parole mancanti e strutture grammaticali inesatte. Altri elementi linguistici che potrebbero essere interpretati come un tentativo di attacco sono messaggi di saluto e formulazioni generici. Pertanto, se un'e-mail inizia con “Caro destinatario” o “Gentile utente”, è meglio diffidare.

2. Indirizzo del mittente sconosciuto

La maggior parte degli spammer non perde tempo a falsificare il nome o il dominio del mittente in modo che risulti apparentemente attendibile. Pertanto, se un'e-mail proviene da un indirizzo composto da un’alternanza di numeri e caratteri casuali o è sconosciuto al destinatario, dovrebbe essere spostato direttamente nella cartella spam e segnalato al reparto informatico.

3. Senso di urgenza

I criminali che architettano campagne di ingegneria sociale tentano spesso di spaventare le vittime spingendole all’azione attraverso l'utilizzo di frasi che creano ansia, come ad esempio: “invia subito i tuoi dati o il tuo pacco verrà eliminato” o “se non aggiorni il tuo profilo ora, chiuderemo il tuo account”. Le banche, le aziende di spedizione, le istituzioni pubbliche e anche i reparti interni comunicano generalmente in modo neutro e fattuale. Pertanto, se il messaggio tenta di spingere il destinatario ad agire in modo rapido, si tratta con molta probabilità di scam dannoso e potenzialmente pericoloso.

4. Richiesta di informazioni sensibili

Le istituzioni e anche gli altri reparti della tua azienda non richiedono generalmente informazioni sensibili tramite e-mail o telefono, a meno che il contatto non sia stato avviato dall'impiegato.

5. Se qualcosa sembra troppo bello per essere vero, probabilmente lo è

Ciò vale anche per gli omaggi non richiesti sui social media, così come per le “eccellenti opportunità di business a tempo” che vengono recapitate nella posta in arrivo.

5 modi per proteggere la tua azienda dagli attacchi di ingegneria sociale

1. Percorsi di formazione periodici sulla cybersecurity per TUTTI i dipendenti , compresi la direzione e il personale IT. Tieni presente che nell’ambito del percorso formativo dovrebbero essere illustrati o simulati scenari di vita reale. I punti di apprendimento devono essere attuabili e, soprattutto, testati in modo attivo all'esterno della sala di formazione: le tecniche di ingegneria sociale si affidano alla scarsa conoscenza della cybersecurity delle loro vittime.

2. Ricerca di password vulnerabili che potrebbero trasformarsi in un punto di accesso per gli autori degli attacchi alla rete aziendale. Questo strumento protegge inoltre le password con un ulteriore livello di protezione attraverso l'implementazione dell’autenticazione a più fattori.

3. Implementazione di soluzioni tecniche per la gestione delle comunicazioni scam al fine di consentire il rilevamento, la messa in quarantena, la neutralizzazione e la rimozione dei messaggi spam e phishing. Le soluzioni di protezione, tra cui molte di quelle fornite da ESET, offrono alcune o tutte queste funzionalità.

4. Creazione di criteri di protezione comprensibili che aiutano i dipendenti a identificare le azioni da intraprendere in caso di attacchi di ingegneria sociale.

5. Utilizzo di una soluzione di protezione e di strumenti amministrativi , come ad esempio ESET PROTECT Cloud , allo scopo di proteggere gli endpoint e le reti aziendali dando agli amministratori piena visibilità e conferendo loro la capacità di rilevare e mitigare le potenziali minacce presenti nella rete.

Combatti subito l'ingegneria sociale

ESET PROTECT
Advanced

Proteggi la tua azienda contro l'ingegneria sociale attraverso l'utilizzo di soluzioni di protezione ESET degli endpoint su più livelli, tra cui la protezione LiveGrid® attraverso la protezione cloud e attacchi di rete e la console ESET PROTECT basata sul cloud, per offrire agli amministratori una visibilità di rete completa e dettagliata, 24 ore su 24, 7 giorni su 7.