Il fattore umano è l’anello più debole nel campo della sicurezza aziendale. Non sono pochi i criminali informatici che approfittano delle vulnerabilità dell’essere umano nell’ideare il cosiddetto social engineering.

Social engineering: l’uomo come falla informatica

Per un hacker è sempre più difficile riuscire a entrare nei sistemi informatici, i quali sono sempre più complessi e sicuri. “Manipolare” un dipendente o un cliente risulta molto più semplice. Lo sfruttare le vulnerabilità umane per commettere un attacco informatico, oggi viene chiamato social engineering. Non si tratta altro che di ingannare le persone con trucchi sofisticati mentendo sulla propria identità o sulle proprie intenzioni. Il social engineering non è di certo un qualcosa di nuovo: anche in passato gli utenti venivano manipolati, ad esempio al telefono. Oggi è cambiato lo strumento: i truffatori sono passi su Internet, mezzo che ha aperto loro nuove possibilità di frodi, spesso banali ma efficaci.

Quale strategia perseguono gli hacker con il social engineering?

Un hacker che agisce sfruttando le tecniche di social engineering può avere intenzioni di natura molto diversa: qualcuno potrebbe voler accedere ai locali dell’azienda, un altro vorrebbe poter mettere in circolazione un malware o tentare un trasferimento di denaro illecito sul proprio conto. La società di sicurezza informatica Proofpoint pubblica regolarmente uno studio dal titolo “The human factor”. Nell’ultima versione datata 2018 vengono riassunti gli stratagemmi con la quale si cerca di ingannare le vittime:

  • Gli hacker creano un senso di urgenza
  • Gli hacker imitano brand famosi
  • Gli hacker abusano della naturale curiosità umana
  • Gli hacker sfruttano la reazione a consuetudini come l’aggiornamento di un software

Com’è possibile riconoscere il social engineering?

Il successo del social engineering dipende molto dal modo di operare degli autori. Campagne su larga scala per scopi generici sono solitamente più semplici da smascherare rispetto a tentativi di frodi rivolte a un’azienda o addirittura a un singolo dipendente. Le eccezioni qui confermano la regola.

Metodi di social engineering

Come puoi ben immaginarti non esiste un metodo univoco che ti permetta di identificare un tentativo di attacco. Nel mondo digitale esistono varie tipologie di minacce che puntano a colpire lì dove è individuabile un possibile errore umano.

Phishing

L’utilizzo di e-mail o URL ingannevoli per ottenere password, dati di pagamento o altre informazioni sensibili di un utente o di un’azienda. Secondo il Trend Micro Report si tratta di una minaccia in aumento ed è stato il metodo di social engineering più efficace nel 2018. A questo successo di certo contribuisce il cosiddetto spear phishing, messaggi camuffati e altamente personalizzati. (Spear Phishing: quando la criminalità ci chiama per nome).

aumento phishing
Gli attacchi phishing sono in forte aumento. Fonte: Trend Micro.

CEO Fraud

L’obiettivo della CEO Fraud, una variante del classico phishing, è quella di manipolare i dipendenti di un’azienda per convincerli in buona fede a trasferire del denaro al truffatore. Ciò tramite l’invio di un messaggio di posta elettronica in cui ci si finge il CEO, il manager o un direttore di dipartimento. Nel messaggio si prega il dipendente di trasferire il denaro il prima possibile verso un conto per un motivo che suona piuttosto valido. Si dice che la frode del CEO ad oggi abbia causato danni oltre i tre miliardi di dollari secondi i dati del CEO Fraud Prevention Manual. Qui il nostro articolo sull’argomento CEO Fraud: quando il (presunto) capo chiede di inviare denaro.

Angler Phishing

Il mondo dei social, purtroppo, offre una piattaforma anche per i cybercriminali che intendono attaccare le aziende. Con la tecnica detta angler phishing i truffatori intercettano le comunicazioni tra utenti e aziende per ottenere accesso a informazioni attendibili. Il trucchetto è il seguente: gli hacker si nascondono dietro un presunto account aziendale e reindirizzano la conversione verso il loro profilo fake. L’angler phishing è molto più semplice con gli utenti finali, ma può colpire anche le aziende. In gioco ci sono fiducia, immagine e perdite monetarie.

Typosquatting

Digitando un dominio si può non di rado cadere in errore – è del tutto umano. Questa possibile svista viene sfruttata spudoratamente dai criminali informatici. Il typosquatting è la truffa di social engineering tramite la quale i truffatori registrano domini alternativi a quelli ben noti inserendo un possibile errore di battitura. Il fine è quello di reindirizzare gli utenti al loro sito. Purtroppo questi domini falsi diffondono spesso malware, richiedono dati sensibili o perseguono altri scopi criminali. Il typosquatting viene utilizzato anche per falsificare gli indirizzi e-mail. Su questo argomento: Typosquatting: domini simili per sfruttare la notorietà di un sito.

Misure contro il social engineering

Questi quattro scenari rappresentano solo un piccolo esempio delle possibili attuazioni del social engineering. Il progresso tecnologico porta le aziende a essere esposti a sempre nuove forme di criminalità informatica. Come puoi difendere la tua azienda da una tale minaccia? Agire con cautela è la massima priorità e formare i dipendenti è certamente essenziale. In generale, è possibile consigliare quanto segue:

  • Informazioni riservate come password, dati bancari e altri, non devono essere mai divulgati tramite e-mail o telefono.
  • Se si hanno dubbi sul fatto che un malintenzionato si nasconda dietro a un’e-mail, il consiglio è: meglio non reagire che cadere nella truffa. In casi importanti, è possibile comunicare tramite altri canali.
  • Nel caso di e-mail presumibilmente urgenti, è consigliabile verificare l’autenticità del mittente per telefono.
  • Né le informazioni personali né quelle aziendali dovrebbero essere condivise sui social network, in quanto potrebbero essere utilizzate a scopi ingannevoli.
  • Casi particolari dovrebbero essere discussi con il reparto IT.

Dal punto di vista tecnico, hai le seguenti opzioni:

  • Cripta e firma digitalmente le tue e-mail, ad esempio tramite certificai S/MIME. In questo modo ti proteggerai da phishing di vario tipo.
  • Registra potenziali domini con errori digitazione e reindirizzali al tuo sito web per evitare i pericoli del typosquatting. (Perché una registrazione di un dominio difensivo può ripagare).
  • Tieni sempre d’occhio gli account fake nei social network e segnalali per evitare angler phishing e altre possibili minacce dai social.
  • Ultimo, ma non per importanza, sii cosciente e informato su come proteggerti in materia di sicurezza informatica!
Etienne Roser

Redattore online appassionato del mondo digitale. Voglio informare i lettori sui vari temi legati al WWW.

X