Il social engineering, in italiano ingegneria sociale, è un insieme di tecniche utilizzate dai cybercriminali per ottenere dati d’accesso o informazioni riservate per compiere crimini informatici.
Una tipologia di attacco che sfrutta la componente emotiva e umana dei dipendenti di un’azienda per creare un varco di accesso che l’hacker utilizzerà per violare i sistemi.
Ecco come funziona e come difendere la propria azienda.
Cosa s’intende per Social Engineering?
I criminali informatici sfruttano diverse tecniche di manipolazione dell’utente per farsi consegnare dati riservati, come informazioni personali, password, credenziali per accedere ai sistemi.
Lo scopo può essere anche quello di indurre il malcapitato a cliccare su dei link malevoli dal proprio account di posta elettronica, il classico phishing, così da poter infettare la rete con un malware o altri codici malevoli.
Ma anziché “sparare nel mucchio” sperando che qualcuno ci caschi, le tecniche di social engineering prevedono una prima fase di studio dell’utente per capire gli schemi di comportamento, abitudini digitali, paure o desideri da sfruttare a proprio vantaggio.
La prima fase di solito include anche uno studio approfondito dei profili social, o addirittura della spazzatura, nella speranza di trovare un documento o indizi utili da utilizzare.
L’errore più grande è sottovalutare l’operato di questi criminali pensando di essere abbastanza furbi per non cadere nella trappola. In realtà, i metodi di manipolazione sono talmente sofisticati, da indurci a credere che la situazione sia perfettamente normale e spingerci a compiere determinate azioni. La leva che sfruttano è di tipo emotivo: senso di colpa, rabbia, avidità, curiosità, compassione, sono tutte emozioni che il cybercriminale tenterà di sfruttare a suo vantaggio.
Tipi di attacchi
Una volta conclusa la fase di studio dell’utente, il criminale informatico tenterà l’attacco. Le modalità più comuni sono:
- Attacchi worm:
Lo scopo è indurre l’utente a cliccare su un link che scarica un malware. Il mittente del messaggio si spaccerà per qualcuno che ha qualcosa di molto interessante da offrire, oppure proverà a passare per un’azienda o un ente affidabile, come ad esempio la propria banca. I canali utilizzati sono le email, piattaforme di messaggistica istantanea, sms, chatroom. - Attacchi Pretexting:
L’utente riceverà una telefonata da un interlocutore che si presenterà come un operatore di un servizio che l’utente già utilizza, ad esempio un customer care. Le conversazioni mirano a creare un rapporto di empatia con l’utente, per far scattare un senso di urgenza e di paura per convincerlo a comunicare le informazioni sensibili.
In questo caso è importante diffidare di coloro che chiedono codici di accesso, password o numeri di carta di credito. - Attacchi Baiting:
Per questo tipo di attacco, il criminale informatico abbandonerà una chiavetta USB o un hard disk in un luogo pubblico vicino o all’interno dell’azienda, ad esempio nella hall, in un bagno pubblico, in un parcheggio. Il dipendente che troverà il dispositivo e che spinto dalla curiosità proverà ad utilizzare il supporto sul proprio PC, scaricherà in automatico un codice maligno dando l’accesso alla rete informatica. Ecco perché molte aziende decidono di bloccare tutte le porte USB dei PC.
Come difendere l’azienda dagli attacchi di social engineering?
L’agenzia Europea di Cybersecurity (Enisa) ha recentemente rilasciato un documento informativo che riporta le principali regole da seguire per evitare di cadere nella trappola:
La prima raccomandazione è quella di non condividere mai le proprie informazioni personali. Soprattutto online.
Banche, enti governativi e aziende di servizi difficilmente chiederanno di inviare via email o di comunicare telefonicamente le proprie credenziali di accesso.
Il secondo consiglio è quello di non abbassare mai la guardia. Occorre chiedersi sempre se l’interlocutore o il sito che stiamo navigando sia affidabile prima di condividere qualsiasi informazione di carattere personale.
La terza raccomandazione è un invito al buon senso. Soprattutto sui social network è importante stare attenti a ciò che si condivide, poiché sono la prima fonte di informazioni per i cyber criminali.
Infine, come MSP, aggiungiamo che è sempre importante lavorare sulla cultura aziendale, in modo da informare i propri dipendenti sui rischi e fornire le linee guida di comportamento.
In definitiva, il social engineering non prende di mira le soluzioni informatiche, ma le persone. Ecco perché l’unica difesa efficace è la prevenzione.
Se hai bisogno di una consulenza o di materiale informativo sul tema della sicurezza informatica, non esitare a contattarci per una chiacchierata senza impegno.
Hai una domanda o vuoi un consiglio ?
Sei nel posto giusto. Compila il seguente form con i tuoi dati, che utilizzeremo per poterti ricontattare e offrirti una consulenza gratuita e senza impegno.
* campi obbligatori