cyber security

Social engineering: guida di sopravvivenza per le aziende

Home Sicurezza digitale
Indirizzo copiato

Il “Social Engineering” è la manipolazione psicologica delle persone per indurle a compiere azioni o a divulgare informazioni riservate. È una seria minaccia per le aziende. Vediamo le tipologie ed esempi classici di attacchi e consigli alle aziende per difendersi

Pubblicato il 20 set 2023
Beatrice Rubini

Personal Solutions & Cybersecurity – CRIF Executive Director

Side,View,Of,Serious,Young,African,American,Businessman,Using,Laptop

Il Social Engineering è una delle principali minacce alla sicurezza informatica delle aziende e copre tutti i vettori di attacco più comuni. Sfruttando queste tecniche verso i dipendenti delle aziende, i malintenzionati sono in grado di ottenere l’accesso ai sistemi aziendali critici e con questo accesso hanno libero accesso per rubare o cancellare i dati, eseguire ransomware e altre minacce informatiche, infettare altri sistemi e così via.

Come usare l’IA per mitigare le minacce cyber legate a “errore umano”

Le motivazioni di un ingegnere sociale possono essere molto diverse: può essere a scopo di lucro, ad esempio vendendo i dati che ruba o raccogliendo riscatti dalle sue vittime. In alternativa, il loro obiettivo può essere semplicemente quello di causare disagi, cosa particolarmente comune negli attacchi perpetrati da attori sponsorizzati da uno Stato.

Tipologie di attacchi

  • Phishing: un’e-mail, un SMS o persino una telefonata che afferma di provenire da una persona fidata, ma che in realtà è fatta per ingannare l’utente e indurlo a rivelare informazioni sensibili.
  • Pretexting: quando qualcuno inventa una situazione che induce l’utente a commettere frettolosamente un’azione che compromette la sicurezza della sua azienda.
  • Adescamento: viene offerta una tangente o un accordo per convincere l’utente ad abbassare momentaneamente la guardia.
  • Pedinamento: quando qualcuno, un bad actor, una spia o altro, segue l’utente in aree riservate per ottenere l’accesso fisico ai sistemi aziendali.

Sfruttamenti psicologici

Il Social Engineering è una forma sinistra di attacco che sfrutta la natura umana e il modo in cui interagiamo con gli altri. Utilizzando le persone come mezzo per accedere ai dati di un’azienda, sono in grado di sfruttare gli errori umani. Questi errori possono nascere da una mancanza di comprensione del panorama della cybersecurity, da cali di concentrazione e diligenza, o anche da pigrizia o avidità. Si tratta di difetti fondamentali che giacciono latenti in tutte le persone; pertanto, le aziende devono prendere precauzioni per proteggersi ogniqualvolta siano coinvolti i dipendenti, in particolare quelli più senior.

Abusare del senso di fiducia di una persona è una strategia comune tra gli ingegneri sociali. Un malintenzionato potrebbe, ad esempio, fingersi un affiliato, un’istituzione finanziaria o governativa o un’altra parte che ha un rapporto prestabilito con la vostra azienda. Questo potrebbe indurre un dipendente ad acconsentire maggiormente alle sue richieste e a destare meno sospetti. Questi tentativi di personificazione possono essere incredibilmente ben studiati, il che li rende difficili da individuare. A ciò si aggiunge il senso di autorità di una persona, che può essere sfruttato. Infatti, una richiesta ricevuta da una figura autoritaria, come un manager o un direttore, potrebbe indurre una certa paura o urgenza e quindi indurre un dipendente a non rispettare i protocolli di sicurezza abituali.

La scarsità viene utilizzata in modo analogo per creare un senso di urgenza, costringendo la vittima a prendere una decisione sotto pressione, e anche la reciprocità è una tattica impiegata dagli ingegneri sociali, insieme alla personificazione, per far leva emotivamente su qualcuno e indurlo ad abbandonare brevemente le procedure di sicurezza. Il tema comune è quello di mettere le persone in situazioni di vulnerabilità, anche se ciò significa inventare completamente tali situazioni. In una posizione di vulnerabilità, è più difficile pensare in modo razionale e ponderato e le persone sono più propense a dimenticare i fondamenti della cyber security.

Fatti e statistiche sul fenomeno

Il Social Engineering in senso lato è talmente diffuso che le aziende devono essere sempre pronte ad affrontare gli attacchi. I rapporti mostrano che nel 2022 il 92% delle organizzazioni è stato vittima di attacchi di phishing. Nel 2023, si stima che ogni giorno vengano inviate 3,4 miliardi di e-mail di spam.

Nel settembre 2022, un prolifico ingegnere sociale di nome “TeaPot” è stato arrestato nel Regno Unito dopo aver violato Rockstar Games e Uber. Utilizzando i metodi sopra descritti, è riuscito a ottenere le credenziali di sistema dei dipendenti e ad accedere a informazioni altamente sensibili. La persona in questione aveva solo 17 anni! La lezione da trarre da questa vicenda è che anche le grandi aziende che dispongono di protocolli di sicurezza possono essere vittime delle tattiche di social engineering di un adolescente.

Nel 2019, un’azienda assicurata dal Gruppo Euler Hermes ha perso 243.000 dollari a causa di un truffatore che è riuscito a simulare grazie al deep-fake la voce dell’amministratore delegato dell’azienda e ha chiesto di trasferire i fondi su un conto bancario ungherese dal quale sono poi scomparsi. La stessa cosa è accaduta a un’altra società all’inizio del 2020, quando un direttore di banca di Hong Kong è stato ingannato per autorizzare un trasferimento di fondi aziendali per 35.000.000 di dollari. In entrambi i casi, le nuove tecnologie di phishing assistite dall’intelligenza artificiale sono state utilizzate per abusare della fiducia dei loro obiettivi. Nel 2023 è stato riferito che un’azienda ha perso una somma di 47.000.000 di dollari a causa di un attacco di phishing.

Una violazione dei dati che espone 10 milioni di record costa alle aziende in media 50 milioni di dollari. Un attacco che compromette 50 milioni di record può costare fino a 392 milioni di dollari.

Mentre le notizie di transazioni fraudolente fanno spesso notizia, la maggior parte del denaro perso a causa dell’ingegneria sociale proviene dalle violazioni dei dati. Una volta che i malintenzionati hanno ottenuto livelli di accesso adeguati, è molto più facile per loro rubare semplicemente i dati con l’intenzione di venderli o riscattarli. Il modo più comune in cui i malintenzionati riescono a ottenere l’accesso è il riutilizzo delle credenziali di accesso, motivo per cui è fondamentale impostare password uniche e cambiarle regolarmente, ma il secondo modo più comune è il phishing. I malintenzionati utilizzano di solito tattiche di spear phishing per colpire direttori, manager o altri individui con permessi di sistema più ampi rispetto al personale meno senior. L’e-mail è la forma di attacco più diffusa, anche se, come già detto, i malintenzionati possono utilizzare i social media e le piattaforme di messaggistica istantanea quando necessario.

Prevenire gli attacchi

Gli studi dimostrano che è possibile addestrare i dipendenti a riconoscere e gestire in modo appropriato gli attacchi di phishing attraverso esercitazioni e simulazioni di phishing. Inoltre, le aziende che utilizzano un’infrastruttura cloud ibrida sono risultate più resistenti agli attacchi e in media hanno subito meno violazioni, perdendo complessivamente meno denaro e riuscendo a contenere la violazione più rapidamente. Stabilire un rigido protocollo di sicurezza che definisca quali dati sensibili devono essere conservati, come e dove devono essere conservati. Diventa quindi fondamentale, anche per prevenire l’uso improprio e l’accesso non autorizzato non solo da parte dei dipendenti ma anche da parte di infiltrati.

È importante anche regolamentare i rifiuti, in particolare lo smaltimento dei documenti fisici. Assicurarsi che tutte le informazioni sensibili vengano distrutte e smaltite in modo appropriato. Inoltre, è importante garantire l’adozione di misure di sicurezza adeguate all’interno dell’edificio in cui si trova l’ufficio, per evitare accessi non autorizzati a computer, server e altri beni fisici. Una divisione di cybersecurity ben strutturata può eseguire test per garantire che le implementazioni di sicurezza funzionino come previsto, ed è in grado di addestrare il personale dell’azienda a riconoscere e difendersi dai tentativi di social engineering, nonché di condurre simulazioni per valutare le esigenze specifiche di miglioramento all’interno dell’azienda.

Se le aziende non rispettano correttamente un elevato standard di sicurezza dei dati, ciò può creare una mancanza di fiducia e può persino suscitare sfiducia nei consumatori. È fondamentale, quindi, che le aziende riconoscano di essere totalmente responsabili dell’adozione delle proprie misure di sicurezza e che le trattino con l’alta priorità richiesta per mantenere al sicuro il personale, i clienti, i beni e i dati.

Esempi classici di ingegneria sociale contro le aziende

In questa sezione è riportato un elenco rapido ed esemplificativo di ipotetiche interazioni sul posto di lavoro da trattare con sospetto:

  • Un altro dipendente vi chiama per chiedervi di farlo entrare in ufficio, perché ha dimenticato la sua chiave magnetica.

La voce potrebbe sembrare reale, ma la tecnologia AI ha permesso agli ingegneri sociali di impersonare accuratamente le voci degli altri in tempo reale, anche al telefono. Assicuratevi di essere in grado di verificare l’identità del dipendente in questione prima di concedergli l’accesso all’edificio e assicuratevi che non sia seguito da terzi non autorizzati.

  • Il vostro manager vi invia un’e-mail per chiedervi di pagare urgentemente una fattura. Notate che il protocollo abituale non viene seguito.

Lo spear phishing è una tattica comune tra gli ingegneri sociali a causa dell’accesso e dell’autorità di sicurezza aggiuntivi concessi al personale senior. Ciò significa che il vostro manager è di solito un candidato più probabile per il phishing. Se notate che il vostro manager si comporta in modo anomalo o vi chiede di infrangere la procedura, dovreste controllare queste richieste perché potrebbe trattarsi di un tentativo di personificazione.

  • Un collega richiede dei file da una cartella sicura a cui non ha accesso, ma voi sì. Vi chiede di inviarli in cambio di un favore.

Se un collega ha bisogno di un file a cui non ha accesso, allora, in base alle procedure di sicurezza della vostra azienda, dovrebbe cercare di ottenere l’accesso attraverso i canali appropriati. Inoltre, offrendovi un favore in cambio, sta cercando di fare appello al vostro senso di reciprocità, il che dovrebbe farvi capire che qualcosa potrebbe essere sbagliato.

  • Ricevete un’e-mail da un’azienda affiliata con un link e un allegato che vi chiede un esame immediato e urgente.

A prescindere dall’urgenza che viene sottolineata, dovete anche ricordarvi di praticare le vostre consuete abitudini di “Cyber hygiene” (igiene informatica): ciò significa controllare il tipo di file dell’allegato, analizzarlo con un software antivirus e controllare due volte il link fornito. Tenete presente che anche solo fare clic su un link o aprire un file può esporre il vostro computer e la rete aziendale al malware.

  • Ricevete un’e-mail da un altro dipartimento riguardante un viaggio di lavoro alle Bahamas con tutte le spese. Il viaggio è descritto come “first-come-first-serve” (primo arrivato, primo servito) e dovete iscrivervi con i vostri dati personali utilizzando il link fornito per riservare un posto.

Anche se inizialmente potreste sentirvi obbligati a cogliere al volo questa opportunità, chiedetevi se non sia troppo bella per essere vera. Ricordate di controllare i link forniti e di valutare se le informazioni che vi chiedono di fornire sono appropriate, poiché se un membro della vostra azienda con accesso a grandi mailing list interne viene hackerato, il malintenzionato potrebbe cercare di sfruttarlo per raccogliere ancora più credenziali.

Questi e altri scenari possono essere utilizzati nelle simulazioni di phishing e social engineering, progettate per esporre i vostri dipendenti a questo tipo di attacchi, in modo che imparino a riconoscerne i segnali e sappiano come difendersi al meglio da essi e dalla loro azienda.

Conclusioni

In conclusione, il social engineering comprende una varietà di vettori di attacco, tra cui alcune delle minacce più pericolose per le aziende nei tempi moderni. Sebbene questi attacchi siano frequenti, diffusi e talvolta altamente sofisticati, le aziende hanno la possibilità di difendersi da essi e devono farlo per evitare le conseguenze debilitanti di una violazione dei dati. Un’azienda moderna deve assumersi la responsabilità della sicurezza del proprio personale, dei propri clienti e dei propri beni, e quindi deve cercare di educare e formare i propri dipendenti, eseguire simulazioni di phishing, investire in un ottimo reparto di cybersecurity, stabilire protocolli di sicurezza efficaci e sapere come rispondere e contenere efficacemente una violazione qualora si verifichi.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Ricetta bianca solo digitale: la novità che discrimina i deboli