Secondo una recente ricerca sulle minacce informatiche di Netskope, il modo più comune con cui gli attaccanti informatici hanno ottenuto l’accesso alle organizzazioni nel corso del 2023 è stato attraverso l’ingegneria sociale (social engineering). Gli schemi più diffusi lo scorso anno hanno visto l’utilizzo di attacchi come il phishing per rubare credenziali e malware di tipo trojan per indurre le vittime a scaricare e installare malware. Pur essendo una delle tattiche preferite dei criminali informatici, in realtà l’ingegneria sociale non è una questione di codici ma si basa prevalentemente sulla vulnerabilità umana individuale, che porta le persone ad aprire la porta di casa ad attaccanti pronti ad attraversarla.
L’emotività può indurre a errori di sicurezza
Anche se la maggior parte delle persone crede che non cadrà mai vittima di questo tipo di attacchi, la verità è che tutti possiamo diventare più soggetti alla vulnerabilità in momenti diversi della nostra vita. Emozioni intense possono facilmente indurci a commettere errori di sicurezza, fornendo accesso non autorizzato a informazioni sensibili o addirittura divulgando noi stessi le informazioni sensibili.
San Valentino è un tipico esempio. Le truffe romantiche sono una questione seria, con perdite finanziarie da parte delle vittime che hanno raggiunto l’incredibile cifra di 1,3 miliardi di dollari nel 2022 negli Stati Uniti e 92,8 milioni di sterline nel Regno Unito nel 2023. In Italia, negli anni della pandemia, nel 2021 le truffe romantiche sono aumentate del 118% rispetto al 2020, per un totale di circa 4 milioni e mezzo di euro. Le truffe che si basano sui sentimenti non si limitano solo al 14 febbraio, ma è in queste giornate che le vittime possono diventare più vulnerabili.
Qualcuno alla ricerca dell’anima gemella potrebbe essere abbastanza esperto da ignorare messaggi non richiesti che provengono da un falso profilo di appuntamenti negli altri 364 giorni all’anno ma, se l’hype di San Valentino lo ha fatto sentire particolarmente solo, forse è più probabile che risponda in questi giorni. Anche chi ha già una persona speciale accanto a sé potrebbe farsi condizionare da emozioni intense nel periodo di San Valentino: in occasione di un anniversario importante della propria relazione sentimentale, magari potrebbe attendersi di ricevere una sorpresa o potrebbe essere più propenso a fare clic su una carta regalo da 100 euro senza prima verificare che provenga da una fonte legittima. In generale, quindi, è un dato di fatto che qualsiasi cosa influenzi la vita emotiva, può rendere l’utente in stato di vulnerabilità. Al di là delle truffe sentimentali, anche gli annunci di licenziamenti di massa da parte delle aziende tecnologiche possono rendere i dipendenti di questo tipo di aziende più suscettibili ai collegamenti di phishing provenienti dalle risorse umane o alle offerte di lavoro.
Controllare il rischio di vulnerabilità in azienda
Le organizzazioni possono difendersi da questi attacchi in diversi modi. Il rischio aumenta inevitabilmente con l’uso di applicazioni non aziendali su dispositivi aziendali, quindi, alcune organizzazioni potrebbero scegliere policy che bloccano completamente l’accesso alle applicazioni personali, come le applicazioni di appuntamenti, sui dispositivi aziendali. Il recente aumento dell’uso dell’intelligenza artificiale, ad esempio, ha visto molte aziende prendere in considerazione la possibilità di bloccare ChatGPT e gli strumenti di intelligenza artificiale generativa sui propri sistemi. Tuttavia, il blocco totale di tutte le applicazioni non aziendali può innescare la sensazione di una cultura soffocante, limitare l’innovazione e rappresentare una mancanza di fiducia nella propria forza lavoro.
Le aziende possono invece implementare strumenti intelligenti, scansionare regolarmente il traffico HTTP/HTTPS, con un approccio più agile che si sposta sul cloud, in un’architettura single-pass. È possibile utilizzare più controlli di sicurezza insieme, come cloud access security broker (CASB), secure web gateway (SWG) e threat and data loss prevention (DLP). Dovrebbero inoltre concentrarsi sull’educazione e sulla sensibilizzazione, istruendo gli utenti a stare attenti prima di fare clic su un collegamento o accedere a un’applicazione non autorizzata. Per aiutare le persone a comprendere la propria vulnerabilità personale, è importante evidenziare in primo luogo i rischi personali, non solo l’impatto sull’azienda. Usare esempi di come gli attacchi possono avere un impatto sulla vita personale delle persone può aiutarli a capire meglio perché devono adottare comportamenti sicuri e consapevoli.
Incoraggiare la collaborazione per ridurre le vulnerabilità
Qualunque soluzione un’organizzazione decida di adottare è impossibile impedire ai dipendenti di fare clic su un collegamento malevolo e il rischio maggiore si verifica quando gli utenti nascondono gli incidenti informatici, in particolare quelli derivanti da attacchi di ingegneria sociale. Se si è caduti vittima di un attacco di questo tipo, ridurre il tempo necessario per mitigare l’attacco è fondamentale, quindi incolpare le vittime è la strada sbagliata da percorrere. La chiave è promuovere una cultura di collaborazione in cui la forza lavoro sia parte del processo, piuttosto che instillare una cultura della paura. Educare i dipendenti in un clima di collaborazione può fare molto per ridurre il rischio che i criminali informatici approfittino della vulnerabilità umana, contribuendo a evitare parecchi “mal di cuore” a San Valentino e non solo.
Gli attacchi di social engineering nel 2023
Seconda il Cloud and Threat Report di Netskope, 29 utenti aziendali su 10.000 hanno fatto clic su un collegamento di phishing ogni mese nel 2023. Le applicazioni cloud e i siti di shopping sono stati tra gli obiettivi principali durante tutto l’anno, ma anche i portali di banche, i social media e gli obiettivi governativi hanno registrato un notevole incremento. QUI i risultati della ricerca.
di Paolo Passeri, Cyber Intelligence Principal di Netskope