Social engineering, cos’è e come difendersi

Il social engineering è una tecnica di attacco cyber sempre più sofisticata, in grado di colpire direttamente i dipendenti di un’azienda. La dizione italiana “ingegneria sociale” lascia ben intendere la natura di questa minaccia sempre più diffusa alla sicurezza informatica delle aziende: si tratta di un’arte, ancora prima che una scienza, che consiste nel manipolare le persone toccando leve psicologiche e comportamentali. Rispetto alle altre modalità di cybercrime, questa pratica si differenzia per una particolarità: il social engineering non sfrutta le falle dei sistemi informatici, bensì la debolezza e l’ingenuità delle persone.

In quest’articolo entreremo nel merito dell’argomento, rispondendo alle tre domande tipiche quando ci si imbatte nel social engineering: cos’è, come riconoscerlo e come difendersi da attacchi di questo tipo.

Cosa si intende con il termine Social Engineering?

Il social engineering (o ingegneria sociale) racchiude un insieme di tecniche di attacco che hanno alle spalle un minuzioso studio del comportamento delle persone col fine di manipolarle e carpire informazioni confidenziali. Il procedimento si basa sulla psicologia umana e sfrutta la fiducia, la mancanza di conoscenza e, in generale, le vulnerabilità della vittima per ottenere dati confidenziali (password, informazioni su conti correnti, informazioni finanziarie), estorcere denaro o persino rubarne l’identità.

Prima di realizzare questi tipi di attacco, il criminale studia accuratamente la personalità e le relazioni della vittima. Quando il target è un’azienda, si compie un’accurata raccolta di informazioni non solo su di essa, ma anche sui dipendenti che lavorano al suo interno. Dopo aver raccolto abbastanza informazioni, ecco che il criminale passa all’attacco.

Quali sono le tecniche di Social Engineering?

Il social engineering può manifestarsi sotto diverse forme. Per comprendere nel dettaglio come funzionano questi tipi di attacchi occorre considerare i canali e le modalità con cui i criminali danneggiano le vittime.

Per quanto riguarda i canali sono, purtroppo, gli strumenti utilizzati quotidianamente dalle persone: email, smartphone, siti web, social, servizi cloud, app di messaggistica. Ma, oltre a ciò, molti attacchi si svolgono nel mondo reale, senza la necessità di coinvolgere dispositivi elettronici.

Di seguito vediamo le modalità di attacco più diffuse.

Phishing
Questa è la tecnica di social engineering più diffusa e sfrutta la posta elettronica per trafugare dati personali. Il criminale, tramite una email, truffa la vittima, convincendola a cliccare su un link fraudolento o a scaricare un allegato infetto.
Solitamente, i mittenti fingono di essere organizzazioni conosciute (es. banche o servizi utilizzati effettivamente dall’utente) che contattano la vittime dopo aver riscontrato problemi che richiedono l’inserimento delle loro informazioni personali. In alcuni casi si parla di spear phishing, quando l’attacco è particolarmente studiato e personalizzato e l’email proviene da un nominativo attendibile e contiene link che rimandano a pagine pressoché identiche a quelle originali.
Oltre alle mail, il phishing può sfruttare anche gli SMS o canali come Whatsapp e Telegram.

Pretexting
In questa tecnica il criminale contatta la vittima telefonicamente attraverso un pretesto per poter instaurare una relazione empatica. Si finge, ad esempio, un dipendente bancario o di un ufficio pubblico, e cerca di ottenere dati personali e credenziali da parte della vittima.

Trashing
In questa pratica il criminale setaccia la spazzatura delle vittime alla ricerca di informazioni sensibili, come bollette ed estratti conto.
Questa tecnica si sposta anche nell’universo digitale nel momento in cui l’hacker trova sistemi non in uso (vecchi smartphone, tablet ecc.). Quest’ultimi, se non resettati, possono essere utilizzati per trafugare tutti i dati depositati al loro interno.

Baiting
In queto caso l’hacker utilizza una vera e propria “esca” lasciando incustodito un supporto di memorizzazione (chiavetta USB, cd, gard disk) contenente codice maligno. L’obiettivo è indurre la vittima, spinta dalla curiosità, a inserire il dispositivo nel proprio computer, dando così all’hacker l’accesso all’intera rete aziendale.

Qui pro quo
Questo metodo prevede che il social engineering offra un servizio o un aiuto in cambio di un benefit. Per esempio, l’hacker può fingersi un tecnico IT e contattare alcuni dipendenti per offrire loro supporto tecnico in cambio di informazioni (ad esempio password) oppure chiedendo loro di disattivare temporaneamente l’antivirus in modo da installare un programma contente malware.

Tailgating
Questo genere di attacco fa leva sulla familiarità tra attaccante e vittima. In questo caso, si tratta di un’intrusione fisica: il criminale si insinua all’interno di uno spazio in cui non può entrare, seguendo una persona autorizzata o posizionandosi immediatamente alle sue spalle per poter scoprire le password di accesso alle aree off-limits.

Anche la Truffa BEC (o “truffa del CEO”) che abbiamo approfondito in questo articolo fa parte delle tecniche di social engineering.

Come difendersi da attacchi di social engineering

Per poter riconoscere un attacco di social engineering è importante prestare la massima attenzione a tutte le possibili interazioni con utenti (conosciuti e sconosciuti). Quando l’interlocutore cerca di ottenere password o dati personali, probabilmente ci troviamo di fronte ad un tentativo di truffa. Gli istituti e gli enti legittimi non operano in questo modo.

Un altro metodo per sventare attacchi di questo tipo, è quello di controllare sempre i mittenti delle email ricevute, verificando gli indirizzi per comprendere se si tratta di un indirizzo legittimo o meno.

Il social engineering sfrutta la vulnerabilità dell’anello debole nelle aziende: la componente umana. Questo perché i dipendenti non sono adeguatamente formati sulle minacce cyber, cosa che li mette facilmente nel mirino dei cybercriminali. Per proteggersi, quindi, non basta utilizzare tecnologie avanzate, bisogna infondere una cultura della sicurezza fra le persone.

Dato che questa tecnica di attacco si basa sulla vulnerabilità delle persone, è fondamentale che le aziende adottino strategie mirate alla sensibilizzazione dei dipendenti in materia di sicurezza informatica e privacy. Occorre sviluppare adeguati programmi di formazione, in modo che i dipendenti siano sempre aggiornati e consapevoli dei rischi cyber e della loro costante evoluzione.

La formazione deve fornire competenze, tecniche e metodi, sia per prevenire gli attacchi, sia per saper reagire di fronte ad eventuali situazioni critiche. Solo così si può creare una vera e propria cultura alla sicurezza informatica in azienda. Devono essere diffidenti se contattati da uno sconosciuto sospetto, fare attenzione alle email che chiedono pagamenti o aggiornamenti dati. Sembrano casi così banali, ma l’ingenuità del singolo può essere sufficienti per danneggiare un’intera azienda.