Il social engineering rappresenta ai nostri giorni una nuova insidia. Si tratta di una nuova forma di strategia capace di indurre le persone a rivelare informazioni riservate o a compiere azioni che possono mettere a rischio la sicurezza. Il social engineering prende di mira l’individuo con tattiche che fanno leva su emozioni di paura o urgenza. Gli attacchi assumono varie forme e la minaccia digitale è particolarmente insidiosa perché capace di colpire contemporaneamente un gran numero di persone.
Questo tipo di attacco informatico non si basa su algoritmi complessi o codici impenetrabili, ma sfrutta invece tattiche psicologiche e la fiducia delle persone. Secondo il Data Breach Investigations Report 2023 di Verizon, il 74% delle violazioni avvenute nel 2022 ha coinvolto l’elemento umano, un dato che conferma quanto sia necessario prendere sul serio questo tipo di crimine. La protezione delle informazioni sensibili diventa infatti sempre più difficile.
Ecco sette degli stratagemmi più comuni utilizzati dai cybercriminali
Denis Cassinerio, Senior Director e General Manager di Acronis, leader globale della Cyber Protection, esamina gli stratagemmi che i criminali informatici utilizzano di più per manomettere dati e sistemi.
1. Phishing: una tecnica subdola che prevede l’invio di e-mail apparentemente legittime alle vittime scelte, ingannandole in modo che rivelino informazioni personali, attivino link dannosi o scarichino allegati infetti. Un hacker potrebbe, ad esempio, fingersi l’impiegato di una banca rinomata per spingere i destinatari ad aggiornare le informazioni relative al proprio account, facendo clic su un link che li reindirizza a un sito fasullo.
2. Vishing: questo nome deriva dalla contrazione di “voice phishing”, perché il metodo utilizza il contatto telefonico per carpire dati sensibili. Spacciandosi per un’autorità in cui si ripone fiducia, ad esempio un istituto bancario o un ente della pubblica amministrazione, i truffatori convincono le vittime a rivelare codici fiscali o informazioni finanziarie.
3. Smishing: simile al vishing, questo approccio inganna i destinatari con i messaggi di testo. I truffatori inviano messaggi SMS che contengono link dannosi o convincono le vittime a chiamare un numero falso, nel tentativo di indurle a condividere informazioni finanziarie, dati bancari o altre informazioni personali, oppure a installare malware che hanno la stessa finalità.
4. Whaling: la posta in gioco di questi attacchi è in genere molto alta: il whaling (caccia al pesce grosso) punta infatti a dirigenti o decisori di spicco all’interno delle organizzazioni. Queste personalità hanno condizioni, autorevolezza e credenziali di sistema più elevate; se l’inganno riesce, consente di estorcere informazioni aziendali o finanziarie strategiche.
5. Pretexting: una tecnica nella quale i criminali elaborano pretesti, cioè narrazioni o storie complesse, per conquistare la fiducia delle vittime e portarle a rivelare informazioni riservate. Uno degli esempi più diffusi è il truffatore che si finge tecnico informatico e chiede le credenziali di accesso, con il pretesto di eseguire semplici attività di manutenzione o di collaudo.
6. Compromissione delle e-mail aziendali: spesso sferrato verso i reparti commerciali delle aziende, questo tipo di attacco vede i criminali firmare messaggi e-mail fingendosi dirigenti di alto livello, chiedendo trasferimenti urgenti di denaro o informazioni finanziarie riservate, approfittando del rispetto percepito dal destinatario verso l’autorità del mittente.
7. Piggybacking: una forma fisica di social engineering in cui un hacker accede insieme alle persone autorizzate ad aree con accesso limitato. Approfittando della fiducia della persona, il criminale riesce a entrare senza autorizzazioni in spazi altrimenti interdetti. Molto vulnerabili a questo tipo di attacco sono i call center e le stanze dei server.
Come contrastare le minacce
Di fronte a tutte queste insidie, serve più che mai un approccio articolato che coniughi tecnologia e consapevolezza. Istruire i clienti sui vari tipi di attacchi di social engineering e fornire esempi tratti da situazioni reali è il metodo giusto per fornire strumenti di riconoscimento e capacità di risposta efficaci. L’offerta di sessioni di formazione con scadenze regolari permette di rafforzare il valore dello scetticismo e della cautela da adottare nelle comunicazioni digitali. Fornire filtri e-mail e software anti-phishing che individuano e prevengono gli attacchi di social engineering può aiutare a identificare i contenuti dannosi e le potenziali minacce prima che raggiungano le caselle di posta dei clienti.
Favorire un atteggiamento proattivo
Se il personale e i dirigenti sono costantemente informati sulle truffe e i raggiri più recenti, i clienti riescono a riconoscere e a reagire meglio ai potenziali pericoli. Il partner tecnologico di fiducia ha il ruolo essenziale di mettere in guardia e proteggere i clienti da ogni tipo di attacco informatico. L’aggiornamento continuo sulle tattiche in continua evoluzione di cui si avvalgono i criminali consente di fornire agli utenti finali informazioni e linee guida preziose.
Un’altra misura proattiva è l’obbligo alla sensibilizzazione alla Cyber Security, con iniziative che contribuiscono alla crescita di una cultura attenta alla sicurezza. La formazione continua è il metodo più efficace per mantenere vigili e pronti gli utenti contro i tentativi di social engineering.
Non da ultimo, è necessario vigilare sulla comunicazione tempestiva, che nella pratica prevede la diffusione continua di aggiornamenti sulle novità nel panorama delle minacce di social engineering. Questo approccio è bivalente: da una parte aiuta i clienti a rimanere informati e preparati, dall’altra rafforza la fiducia nelle capacità degli MSP di proteggere i loro interessi. Mantenendo sempre aperto il canale di comunicazione e condividendo attivamente le nuove informazioni, si creano relazioni solide con i clienti, migliorando inoltre il loro profilo complessivo di sicurezza informativa.
