In questo articolo si analizzano i pericoli del social engineering e come combatterli; quali sono le tecniche più comuni; quali i percorsi di attacco che fanno leva nel mondo reale; cosa possono fare le imprese per ridurre i rischi.

Social engineering: gli attaccanti si concentrano sulle email

Non è un segreto che il social engineering sia un potente strumento in mano ai criminali informatici. Gli hacker usano la manipolazione psicologica per convincere ignari utenti a consegnare password, informazioni personali o denaro. Fino a oggi, questi attacchi sono stati lo strumento più comune per ottenere un punto d’appoggio iniziale ed effettuare i lateral movement all’interno della rete.

In questo articolo si analizzano i pericoli del social engineering e come combatterli; quali sono le tecniche più comuni; quali i percorsi di attacco che fanno leva nel mondo reale; cosa possono fare le imprese per ridurre i rischi.

Le principali tecniche di attacco

Tra le molteplici tecniche di social engineering che più frequentemente prendono di mira le imprese si evidenziano:

  • Phishing

E’ certamente la tecnica più comune: i cyber criminali inviano e-mail che sembrano provenire da un mittente legittimo, come una banca o un retailer. L’e-mail potrebbe contenere un collegamento che porta a un sito web falso che sembra identico a quello reale. Una volta che l’utente inserisce i propri dati consente l’accesso all’hacker.

  • Adescamento

In questo caso, il cyber criminale lascia una chiavetta USB o altri tipi di dispositivi di archiviazione in un luogo pubblico. Quando qualcuno trova il dispositivo e lo collega al proprio computer, il dispositivo innesca azioni specifiche mirate ai sistemi dell’utente/impresa, infettandoli con malware che alla fine consentiranno di ottenere l’accesso o anche di avviare un pericoloso attacco.

  • Whaling /Compromissione della posta elettronica aziendale (BEC)

Il whaling è una variante del phishing che prende di mira dirigenti e vertici aziendali spingendoli a effettuare delle spese o a diffondere informazioni riservate. La compromissione delle e-mail aziendali (BEC), invece, cerca di confondere i dirigenti al fine di indurre un utente a svolgere determinate attività. Sia il whaling che il BEC richiedono una pianificazione e uno studio dei modelli comportamentali e possono portare a risultati molto elevati. L’attività può essere gestita anche via telefono. Si tratta del cosiddetto vishing: chi chiama finge di essere un dirigente legittimo di un’organizzazione (BEC) e cerca di indurre l’utente a rivelare informazioni sensibili, come numeri di carte di credito o numeri di previdenza sociale.

Come proteggersi dal social engineering?

Il social engineering è l’arte della manipolazione psicologica: la maggior parte delle persone ne cade vittima senza accorgersene. Gli attacchi si stanno evolvendo e per questo le aziende devono iniziare a sviluppare internamente una cultura consapevole investendo nella conoscenza informatica degli utenti. I dipendenti devono sapere con tempestività come segnalare gli attacchi di social engineering ai team di sicurezza. Questi ultimi hanno bisogno di tecnologie che li aiutino a proteggere, rilevare e rispondere prontamente a queste tecniche di attacco, che spesso riguardano la posta elettronica, l’identità e l’endpoint.

La difesa inizia con la consapevolezza e la formazione interna

La formazione dei dipendenti su come identificare un potenziale attacco di phishing e su come segnalarlo può prevenire gravi situazioni. Per questo diventa fondamentale che un dipendente che riceve una e-mail dall’aspetto sospetto o trova una chiavetta USB in luoghi pubblici sappia riconoscere il potenziale pericolo e informi immediatamente il team di sicurezza. Questo deve fornire istruzioni chiare e semplici per evitare qualsiasi ritardo o riluttanza nel segnalare le sospette, e il messaggio “Quando sei in dubbio, fermati e segnalalo” deve essere il leitmotiv adottato. Serve assicurare ai dipendenti che non saranno penalizzati per un ritardo nella singola azione o per aver segnalato qualcosa che ritengono sospetto, anche se in seguito potrebbe essere considerato un falso allarme. Promuovere la cultura del cyber empowerment è determinante.

Altrettanto importante è testare la resilienza contro gli attacchi di phishing. Per questo è essenziale predisporre esercizi di simulazione di phishing per valutare il livello di preparazione dell’organizzazione. Le simulazioni di phishing sono uno strumento di valutazione utile per valutare la resilienza dei dipendenti contro le e-mail di phishing, ma lo stesso strumento non sarà efficace per i clic intenzionali dei dipendenti.

L’utilizzo della tecnologia per contrastare il social engineering

Dal punto di vista informatico, le organizzazioni possono valutare diversi sistemi di sicurezza per ridurre il rischio di attacchi basati sul social engineering:

  • Autenticazione a più fattori (MFA): esistono metodi di raggiro dell’MFA, come la manipolazione di un dipendente per spingerlo a condividere la password monouso, ma l’implementazione dell’MFA può essere una valida soluzione;
  • Autenticazione aggiuntiva: In caso di attacchi di compromissione della posta elettronica aziendale (BEC) in cui viene confuso un dirigente di alto profilo, prima di avviare l’azione è necessario effettuare un doppio controllo;
  • Accesso condizionato (CA): le aziende possono garantire che solo le identità affidabili su endpoint sicuri possano ottenere l’accesso temporaneo alle risorse e ai servizi aziendali, a seconda delle necessità;
  • Valutazione del rischio di identità (AD Assessment): è fondamentale poter individuare in tempo reale le errate configurazioni di sicurezza, il livello di rischio delle identità e l’esecuzione di azioni correttive;
  • Identity Threat Detection and Response (ITDR): con il continuo aumento degli attacchi basati sull’identità, le organizzazioni sono alla ricerca di modi per rilevare e rispondere a questi tipi di attacchi, e per questo la tecnologia ITDR è importante;
  • Rilevamento e risposta degli endpoint (EDR): poiché gli attacchi informatici avvengono sull’endpoint è fondamentale avere la capacità di rilevare e rispondere automaticamente o con un semplice clic a queste minacce, dotandosi anche della tecnologia EDR.

Di Marco Rottigni, Technical Director per l’Italia di SentinelOne