Obiettivo finale della formazione sulla sicurezza è trasformare gli utenti in difensori attivi dell’azienda, facendo comprendere loro il ruolo critico e di prima linea che svolgono nel contribuire a proteggerla. Devono sapere come gli aggressori li possono manipolare per attivare le loro campagne e perché vengono presi di mira. Ciò rende il social engineering, che svolge un ruolo in quasi tutti gli attacchi incentrati sull’uomo, un argomento fondamentale per la consapevolezza della cybersecurity.
Cos’è il social engineering?
Con il nome di social engineering si definisce un insieme di tecniche che i malintenzionati utilizzano per manipolare la psicologia umana, sfruttandola per ingannare o minacciare gli utenti affinché compiano azioni quali:
- Rivelare credenziali di accesso
- Consegnare dati sensibili
- Eseguire codice dannoso
- Trasferire fondi
Perché gli attaccanti si affidano pesantemente all’ingegneria sociale in così tante campagne? Perché sanno che le persone sono il modo più semplice per accedere in un ambiente. (Inoltre, perché fare tutto il lavoro sporco quando si può chiedere a qualcun altro di farlo al posto nostro?).
Come i cybercriminali usano il social engineering per ingannare le persone
Quando si parla di social engineering nell’ambito della sensibilizzazione alla cybersecurity, è fondamentale analizzare anche come i criminali approfittino degli utenti, sfruttando:
- Emozioni, trasmettendo un senso di urgenza, generando eccitazione per un’opportunità o creando paura di perdere denaro o di fare qualcosa di sbagliato.
- Fiducia, fingendosi qualcuno di cui l’utente si fida o abusando di un marchio o di un’autorità fidata (come l’IRS, UPS, Amazon e Microsoft).
- Stanchezza, programmando gli attacchi quando gli utenti sono probabilmente più stanchi o distratti e più inclini a lasciare che sia la loro “mente emotiva” a guidare le loro decisioni.
Tipologie di attacco di social engineering
I corsi di sensibilizzazione alla sicurezza sull’ingegneria sociale dovrebbero esaminare queste tecniche comuni:
- Phishing. Questo metodo si riferisce all’invio di e-mail dannose per indurre le persone a fare qualcosa per conto dell’aggressore. Di solito si tratta di aprire un link pericoloso o un allegato contenuti nell’e-mail. Ricerche condotte da Proofpoint nel report “2022 State of the Phish” mostrano quanto questa tecnica sia diffusa ed efficace: nel 2021, l’86% delle organizzazioni ha dovuto affrontare attacchi phishing di massa. Nelle simulazioni di phishing, un utente su 5 ha aperto un allegato e-mail e uno su 10 ha cliccato su un link.
- Analisi dei social media. Gli aggressori utilizzano spesso i social media per raccogliere informazioni sugli utenti da sfruttare come parte di un’altra campagna. Ad esempio, potrebbero raccogliere da LinkedIn informazioni su un dirigente aziendale per poterlo impersonare in una campagna di phishing. Fingendosi tale, l’aggressore potrebbe prendere di mira gli utenti del dipartimento finanziario, chiedendo loro operazioni inusuali e urgenti. Gli sforzi di ricognizione dei malintenzionati possono anche includere la ricerca diretta di un obiettivo.
- Vishing (phishing vocale) e smishing (phishing via SMS/testo). Con queste tecniche di social engineering, gli aggressori utilizzano software di trasformazione vocale e messaggi di testo per effettuare chiamate automatiche o inviare messaggi SMS agli utenti. I messaggi spesso promettono regali o servizi in cambio di un pagamento.
- Attacchi telefonici. Come evidenziato nel report di Proofpoint “Human Factor2022“, negli ultimi mesi si è assistito a un’impennata di attacchi telefonici, noti anche come call-back phishing. Fulcro di questo approccio è la conversazione telefonica tra persone. Naturalmente, questi attacchi richiedono la partecipazione attiva della vittima, iniziano con un’e-mail che sembra provenire da una fonte legittima e include un numero di telefono per l’assistenza ai clienti. I chiamanti vengono collegati a falsi rappresentanti del customer service che guidano la vittima attraverso l’attacco, alla quale potrebbero chiedere di consentire l’accesso al proprio computer da remoto o di scaricare un file che si rivela essere un malware.
Suggerimenti utili per gli utenti
La formazione dedicata al social engineering dovrebbe concludersi con alcuni suggerimenti che gli utenti possono mettere in pratica subito. Questi i principali:
- Non fidarsi mai ciecamente di chi li contatta via e-mail, telefono o social media.
- Pensare sempre due volte prima di intraprendere qualsiasi azione, come ad esempio eseguire una richiesta di invio di denaro o di acquisto di carte regalo senza aver verificato che il mittente (e la richiesta stessa) siano legittimi.
- Non condividere mai informazioni personali, come numeri di telefono o indirizzi di casa, nei post sui social media.
- Fare attenzione a cliccare sui link e ad aprire gli allegati e non fornire mai a nessuno le proprie credenziali.
Infine, è importate ricordare che il buon senso può aiutare molto a prevenire un attacco di social engineering. Se sembra troppo bello per essere vero, è molto probabile che si tratti di una truffa. E se qualcosa non sembra o non suona bene, probabilmente c’è davvero qualcosa che non va.
di Luca Maiocchi, country manager di Proofpoint