Social Media Day: cosa dovreste sapere sull’ingegneria sociale

Nessun firewall o programma antivirus può fare nulla contro questi attacchi: stiamo parlando dell’ingegneria sociale, o social engineering. La truffa è vecchia come il mondo, ma funziona ancora a meraviglia.

I dipendenti scaricano file dannosi, fanno clic su link di phishing, comunicano con gli hacker e rivelano le informazioni di contatto dei loro colleghi: il social engineering è un classico intramontabile tra le armi più potenti in mano ai criminali informatici.

Il 30 giugno 2010, Mashable ha lanciato il Social Media Day, un’occasione per riconoscere e celebrare l’impatto dei social media sulla comunicazione globale. E, sebbene dobbiamo ringraziarli per molte cose, i social media hanno portato anche le truffe online. Quindi, mentre celebriamo i buoni, facciamo anche attenzione ai brutti e cattivi del social engineering.

Attacco alle emozioni

Il social engineering è l’arte di convincere chi usa un computer a divulgare volontariamente password, numeri di previdenza sociale, dettagli finanziari o altre informazioni segrete. Com’è possibile?

Gli psicologi hanno scoperto che le persone tendono a ignorare la logica o la realtà dei fatti quando prendono decisioni sulla scia delle emozioni. E i criminali hanno imparato a specializzarsi proprio in questo: suscitare reazioni emotive e sfruttarle a proprio vantaggio. Invece di trovare una vulnerabilità in un programma, ad esempio, è molto più facile telefonare a un dipendente fingendosi un collega del supporto IT e provare a convincerlo a rivelare la propria password.

Queste tecniche funzionano bene anche al di fuori del mondo digitale: innumerevoli persone sono state truffate sulla porta di casa da criminali travestiti da poliziotti o commercianti.

Il tallone d’Achille sono i dipendenti?

Tecniche comuni utilizzate nell’ingegneria sociale

Gli attacchi di social engineering consistono nel carpire quante più informazioni possibili su un cittadino privato o su una società presi di mira (se l’obiettivo sono i dati riservati dell’azienda). In sostanza, gli aggressori vi considerano come soggetti di un progetto di ricerca e acquisiscono informazioni su di voi attraverso vari stratagemmi:
Vi cercano su Google (o usano un qualsiasi altro motore di ricerca): più dettagli sanno su di voi, più facilmente riescono a relazionarsi con voi e a far sì che vi fidiate di loro.
Vi monitorano sui social media: sapere di quali gruppi fate parte su Facebook, cosa guardate su YouTube, quali foto vi piacciono su Instagram o cosa pubblicate su Pinterest aiuta i truffatori a creare scenari più credibili per ingannarvi.
Vedono con chi siete connessi (tramite LinkedIn e il sito web della vostra azienda) e imparano la gerarchia della società dove lavorate: in questo modo potrebbero riuscire a spacciarsi per qualcuno dell’azienda.

Tipi comuni di attacchi di social engineering

Phishing

Il phishing rappresenta il 90% di tutte le violazioni di dati, con 5 milioni di siti web di phishing creati ogni mese. Si tratta di una forma di attacchi di social engineering tipicamente eseguiti tramite email, chat, annunci web o siti web, in cui il pirata informatico si presenta come un sistema e un’organizzazione veri e propri. Sul sito web, è possibile che agli utenti venga chiesto di reimpostare una password o immettere un codice fiscale, una carta di credito o un numero di telefono. Ulteriori informazioni sugli attacchi di phishing sono disponibili qui.

Spear phishing

Lo spear phishing è una variante più precisa del phishing, che prende di mira i vertici delle aziende allo scopo di ottenere dati e accedere a informazioni e strumenti interni. Il criminale stabilisce un contatto diretto con la vittima, ad esempio via email, spacciandosi per l’amministratore del sistema oppure utilizzando un falso profilo Facebook e fingendosi un collega. A volte i truffatori arrivano persino a telefonare direttamente alla vittima. Ulteriori informazioni sullo spear phishing sono disponibili qui.

Do ut des

Queste tre parole latine si traducono con “io do affinché tu dia” e nel caso dell’ingegneria sociale si tratta di un vantaggio per la vittima in cambio di informazioni. Uno degli scenari più comuni di questi attacchi vede i truffatori spacciarsi per tecnici informatici: chiameranno tutti quelli che riescono a trovare in un’azienda per promettere una soluzione rapida, chiedendo in cambio “solo” di disabilitare il loro antivirus. Ma l’unica cosa che i malcapitati otterranno è un malware installato sul computer.

Il social engineering in numeri

Un sondaggio del 2018 condotto dalla compagnia di telecomunicazioni statunitense Verizon ha rilevato che il 33% dei 41.686 incidenti di sicurezza registrati nel 2018 includeva attacchi di social engineering.

Un altro studio, svolto da Positive Technologies, ha rivelato quanto funzionino bene gli attacchi di social engineering in generale. Nell’ambito della ricerca, gli esperti di Positive Technologies hanno inviato 3.300 email ai dipendenti di diverse aziende. Ecco i risultati più significativi:

  • Il 17% di tutti gli attacchi di social engineering è andato a buon fine e avrebbe potuto, in condizioni reali, compromettere i computer dei dipendenti e di conseguenza l’intera infrastruttura aziendale.
  • Il 27% dei dipendenti ha fatto clic su un link di phishing inviato tramite email, cosa che rende questa tecnica di social engineering la più efficace. Sembra che molti utenti non siano in grado di riconoscere i siti web falsi.

Come prevenire gli attacchi di ingegneria sociale

A differenza dei virus e di altri attacchi tipici, anche se i software di sicurezza come Avira Free Security  non possono essere d’aiuto in ogni occasione, nella maggior parte dei casi sono comunque in grado di rilevare allegati infetti, spesso anche i siti web fasulli.

Spear phishing: nessuno è al sicuro, nemmeno le aziende di antivirus

La migliore difesa contro il social engineering non è tecnologica: siete voi. Fornite informazioni mirate, usate una sana dose di diffidenza e frenate la curiosità.

  • Non aprite email e allegati da fonti non attendibili.
  • Non credete alle offerte allettanti: se pensate che l’offerta che vi stanno proponendo sia troppo buona per essere vera, probabilmente è proprio così.
  • Utilizzate l’autenticazione a più fattori: aggiungere un ulteriore livello di sicurezza agli account online non guasta mai.
  • Utilizzate un software antivirus aggiornato. Tenetevi aggiornati sui nuovi tipi di malware: prevenire è meglio che curare.
  • Non rispondete a nessuna richiesta di informazioni personali o password.
  • Rifiutate qualsiasi consiglio o aiuto non richiesto. I criminali richiederanno il vostro aiuto per ottenere informazioni o si offriranno di aiutarvi spacciandosi, ad esempio, per tecnici dell’assistenza.

Si può dire che tutti questi consigli rientrano nel buon senso, giusto? Non è possibile farsi ingannare in modo così semplice. Purtroppo, è per questo che i criminali di social engineering sono chiamati artisti della truffa: riescono a farvi credere quasi a tutto. Se volete vedere in azione alcuni “hacker di persone” veri, guardate come il social engineer David Kennedy falsifica il suo numero di telefono per farlo sembrare come se stesse chiamando dall’interno di un’azienda e con l’inganno induce un dipendente a fare clic su un link, ottenendo così l’accesso al suo computer.

Questo articolo è disponibile anche in: IngleseTedescoFranceseSpagnoloPortoghese, Brasile

Content Manager
Former journalist. Storyteller at heart.