Skip to content

Social engineering, cos’è e come difendersi

AGGIORNATO AL 02/10/2024

Il social engineering, o ingegneria sociale, è una tecnica di manipolazione psicologica utilizzata dai criminali informatici per indurre le persone a rivelare informazioni riservate o a compiere azioni che potrebbero compromettere la sicurezza di un sistema. Questo tipo di attacco sfrutta la fiducia e la disattenzione delle vittime, bypassando le misure di sicurezza tecniche e sfruttando il “fattore umano”.

Gli attacchi di social engineering possono avvenire tramite email, telefonate, SMS o persino interazioni dirette. L’obiettivo è sempre lo stesso: ottenere accesso a informazioni riservate o indurre le vittime a compiere azioni dannose per la sicurezza aziendale. In molti casi, l’ingegneria sociale può essere estremamente difficile da rilevare, poiché si basa su metodi psicologici piuttosto che tecnici.

In quest’articolo entreremo nel merito dell’argomento e risponderemo alle domande tipiche di quando ci si imbatte nel social engineering: cos’è, come riconoscerlo e come difendersi da attacchi di questo tipo.

Social engineering: definizione e differenze con altre minacce

Il social engineering si distingue da altre forme di attacco informatico come il malware o i ransomware, che sfruttano vulnerabilità tecniche nei sistemi. Qui, il criminale non cerca di forzare l’accesso, ma induce le persone a fornire volontariamente l’accesso o le informazioni di cui ha bisogno, spesso senza che le vittime se ne rendano conto.

A differenza di altre minacce, il social engineering mira a ottenere la fiducia delle vittime, spesso presentandosi come figure autorevoli o familiari. Questo rende l’ingegneria sociale particolarmente pericolosa, poiché può aggirare anche le misure di sicurezza più avanzate. Le tecniche più comuni includono il phishing, il vishing (attacco tramite telefonata) e lo smishing (attacco tramite SMS), ma esistono molte altre varianti.

Come funziona lo smishing?

Tra le tecniche più recenti di social engineering, lo smishing si distingue per l’uso di messaggi SMS fraudolenti. In uno scenario di smishing, i criminali inviano SMS che sembrano provenire da enti affidabili, come banche o aziende di spedizioni, chiedendo alla vittima di cliccare su un link o di fornire informazioni sensibili.

Ad esempio, un messaggio di smishing potrebbe avvisare la vittima di un problema con il proprio conto bancario, richiedendo un’azione immediata tramite un link fornito nel messaggio. Tuttavia, il link conduce a un sito truffaldino creato per rubare le credenziali della vittima.

Lo smishing sfrutta l’urgenza e l’affidabilità che molte persone attribuiscono agli SMS, rendendo questa tecnica particolarmente efficace e difficile da rilevare, soprattutto per chi non ha familiarità con le minacce informatiche.

Social engineering e phishing: quale relazione?

Il phishing è una delle forme più comuni di social engineering. In questo tipo di attacco, l’hacker invia email che sembrano provenire da fonti affidabili, come un collega o una banca, per indurre la vittima a rivelare informazioni sensibili o a cliccare su un link dannoso. Spesso, le email di phishing sono progettate per sembrare legittime, con loghi ufficiali e un linguaggio formale che rafforza l’illusione di autenticità.

Il phishing è strettamente correlato al social engineering, ma rappresenta solo una delle molte tecniche utilizzate per manipolare le persone. Oltre alle email, ci sono varianti come lo spear phishing, che prende di mira specifici individui con messaggi personalizzati, o il whaling, che mira ai dirigenti di alto livello.

La relazione tra phishing e social engineering si basa sul comune denominatore: ingannare le persone per ottenere dati sensibili o indurle a compiere azioni pericolose.

Quali sono le tecniche di Social Engineering?

Nel social engineering, il criminale sfrutta le emozioni e i comportamenti delle vittime per manipolarle. Oltre al phishing e allo smishing che abbiamo già visto, esistono ulteriori tecniche utilizzate dai cybercriminali per colpire le persone, tra cui:

Pretexting
In questa tecnica il criminale contatta la vittima telefonicamente attraverso un pretesto per poter instaurare una relazione empatica. Si finge, ad esempio, un dipendente bancario o di un ufficio pubblico, e cerca di ottenere dati personali e credenziali da parte della vittima.

Trashing
In questa pratica il criminale setaccia la spazzatura delle vittime alla ricerca di informazioni sensibili, come bollette ed estratti conto.
Questa tecnica si sposta anche nell’universo digitale nel momento in cui l’hacker trova sistemi non in uso (vecchi smartphone, tablet ecc.). Quest’ultimi, se non resettati, possono essere utilizzati per trafugare tutti i dati depositati al loro interno.

Baiting
In queto caso l’hacker utilizza una vera e propria “esca” lasciando incustodito un supporto di memorizzazione (chiavetta USB, cd, gard disk) contenente codice maligno. L’obiettivo è indurre la vittima, spinta dalla curiosità, a inserire il dispositivo nel proprio computer, dando così all’hacker l’accesso all’intera rete aziendale.

Qui pro quo
Questo metodo prevede che il social engineering offra un servizio o un aiuto in cambio di un benefit. Per esempio, l’hacker può fingersi un tecnico IT e contattare alcuni dipendenti per offrire loro supporto tecnico in cambio di informazioni (ad esempio password) oppure chiedendo loro di disattivare temporaneamente l’antivirus in modo da installare un programma contente malware.

Tailgating
Questo genere di attacco fa leva sulla familiarità tra attaccante e vittima. In questo caso, si tratta di un’intrusione fisica: il criminale si insinua all’interno di uno spazio in cui non può entrare, seguendo una persona autorizzata o posizionandosi immediatamente alle sue spalle per poter scoprire le password di accesso alle aree off-limits.

Anche la Truffa BEC (o “truffa del CEO”) che abbiamo approfondito in questo articolo fa parte delle tecniche di social engineering.

Vishing
In questo caso i criminali chiamano le vittime fingendo di essere rappresentanti di istituzioni come banche, cercando di ottenere informazioni riservate.

Queste tecniche sono solo alcune delle tante utilizzate dagli hacker per ingannare le persone e ottenere accesso ai sistemi aziendali. È importante che i dipendenti siano consapevoli di queste minacce e sappiano come riconoscerle e reagire.

L’hacking è la nuova normalità

Nel mondo di oggi, l’hacking è la nuova normalità. Non ci sono imprese tanto piccole oppure tanto di nicchia da potere sostenere di essere ragionevolmente al di fuori delle mire degli hacker. Non è più una questione di se verrà lanciato un attacco, ma quando. Gli attacchi di social engineering rappresentano una minaccia particolarmente insidiosa poiché sfruttano il fattore umano, che è spesso la componente più vulnerabile di un sistema di sicurezza.

Per affrontare queste sfide, è essenziale adottare misure preventive e proattive, come la formazione del personale, che rappresenta la prima linea di difesa contro questi tipi di minacce informatiche.

La Direttiva NIS2 e la formazione obbligatoria

Con l’introduzione della Direttiva NIS2, la formazione del personale non sarà più facoltativa, ma diventerà obbligatoria per garantire la sicurezza aziendale. La direttiva riconosce che il personale non adeguatamente formato rappresenta uno dei principali punti deboli della sicurezza aziendale. Le aziende saranno quindi tenute a formare i propri dipendenti sui rischi legati alla sicurezza informatica e alle tecniche di attacco come il social engineering.

Comitel offre corsi di formazione specifici per preparare i dipendenti a riconoscere e difendersi dagli attacchi di social engineering. Questi corsi sono progettati per fornire una comprensione completa delle tecniche di attacco più comuni e delle contromisure da adottare, in linea con i requisiti della Direttiva NIS2.

Corsi di formazione per la sicurezza informatica

La formazione del personale rappresenta un investimento cruciale per la protezione dell’azienda. I corsi offerti da Comitel, che possono essere completati in poche ore, forniscono ai dipendenti le competenze necessarie per identificare tentativi di social engineering e adottare comportamenti sicuri in ambiente lavorativo.

Questi corsi coprono una vasta gamma di minacce, incluse le tecniche di phishing, vishing, smishing, e altre forme di ingegneria sociale. Oltre a prevenire attacchi, formare il personale aiuta a creare una cultura della sicurezza informatica all’interno dell’azienda, riducendo significativamente il rischio di violazioni.

Un investimento per la continuità del business

Formare il personale non è solo una misura preventiva, ma un modo per garantire la continuità operativa. Un attacco informatico non prevenuto può comportare gravi perdite economiche, interruzioni delle attività e danni alla reputazione aziendale. Prevenire questi scenari richiede una combinazione di tecnologie avanzate e una formazione adeguata per tutti i dipendenti, indipendentemente dal loro ruolo.

In conclusione, la sicurezza informatica non è solo una questione tecnica: è un impegno che deve essere condiviso da tutto il personale aziendale. Investire in formazione oggi significa proteggere il futuro dell’azienda, in un mondo dove gli attacchi di social engineering sono una minaccia costante e crescente.

Le soluzioni formative di Comitel

Noi di Comitel offriamo diverse soluzioni formative pensate per soddisfare le esigenze di ogni azienda, tra cui:

  • Workshop e seminari. Sessioni interattive su misura che coprono tematiche cruciali come la gestione delle vulnerabilità, la sicurezza dei dati e le strategie di risposta agli incidenti.
  • E-Learning e moduli online. Piattaforme di apprendimento a distanza che permettono ai dipendenti di formarsi a proprio ritmo, con contenuti aggiornati e accessibili da qualsiasi dispositivo.
  • Simulazioni di phishing. Esercitazioni pratiche che testano la capacità dei dipendenti di riconoscere e reagire a tentativi di phishing, rafforzando così le loro competenze in modo dinamico.

 

Investire nella formazione significa non solo conformarsi alle normative, ma anche rafforzare la resilienza aziendale contro le minacce informatiche, garantendo sicurezza e continuità al tuo business.

Torna su