Social Engineering: tutto quello che c’è sapere 

Social engineering significato

La social engineering è una tematica sulla bocca di tutti, ma di preciso cos’è? Quando si parla di social engineering, ci si riferisce a tutta una serie di tecniche di attacco cyber incentrate sulla manipolazione dell’anello umano, considerato come quello più debole in assoluto.

Più precisamente, la social engineering può essere identificata come lo studio del comportamento dell’individuo, indirizzato a ottenere svariati vantaggi, ma in maniera indebita, puntando tutto su diverse leve psicologiche e sulla mancanza di consapevolezza dei malcapitati.

C’è poi da evidenziare che con lo sfruttamento continuo e con l’evoluzione costante delle diverse tecniche di social engineering, di organizzazioni aziendali veramente al sicuro non ce ne sono. Se non si conosce a fondo il fenomeno, i presupposti di incappare in truffe e raggiri ci sono tutti. Per non finire vittime di questi attacchi di social engineering, è opportuno sapere dove cercare le informazioni in modo da mitigare l’impatto.

Quali sono le tecniche di social engineering più ricorrenti?

Dopo aver analizzato rapidamente il significato di social engineering, è opportuno illustrare quali sono le sue tecniche più ricorrenti che molte volte finiscono per andare a segno. La richiesta di inserimento delle credenziali del proprio conto corrente, dopo aver cliccato sul link di un’e-mail di phishing, la disposizione di un bonifico bancario, magari effettuato con una certa urgenza a seguito della ricezione di un’e-mail proveniente da un fantomatico manager, il fare un addebito diretto, perché si è finiti in un raggiro a propria insaputa sono classici esempi di azioni di social engineering che ogni giorno, purtroppo, fanno sempre più vittime.

Denominatore comune di ognuna delle iniziative malevoli è che viene sfruttata la debolezza umana.

Le truffe con la social engineering sono in costante aumento

Sarà per via dello smart working, decisamente potenziato negli ultimi tempi, così come dell’utilizzo dei dispositivi personali per motivazioni connesse al lavoro, ma è un dato di fatto che la social engineering si sia fatta sempre più pericolosa. Gli attacchi più a rischio sono solo quelli incentrati sui malware: basti pensare che le e-mail di phishing, i siti clone e i messaggi di posta elettronica contenenti allegati malevoli sono aumentati del 600% da quando si è registrata la pandemia da Covid-19.

Social engineering: anche per l’universo finanziario ci sono rischi importanti

Occorre fare una precisazione. La social engineering ha multiple targets. Anche il mondo della finanza non è immune a questi attacchi, come già evidenziato, anche perché si è registrata una sorta di estensione dell’ambiente di lavoro, con la necessità di ricorrere allo smart working per far scendere la curva dei contagi.

Approfittando del momento insolito che stiamo vivendo, i cyber criminali fanno leva sulle varie debolezze psicologiche che contraddistinguono l’essere umano per accedere a conti correnti o a carte di credito, per rimpiazzare le coordinate di pagamento, per loggarsi ai suoi profili social in modo da accedere a informazioni personali. L’obiettivo prioritario restano sempre i soldi: la questione finanziaria si conferma senza ombra di dubbio quella che sta più a cuore ai cyber criminali. Tuttavia, anche l’accesso a svariate informazioni strategiche di dimostra spesso decisivo. E la cosa è ancora più evidente se si parla non di comuni cittadini, ma di aziende. Il valore dei dati e delle informazioni di cui sono in possesso i leader di mercato non ha prezzo. Di conseguenza, un’eventuale fuoriuscita al di fuori dei confini aziendali costituirebbe un danno inestimabile per l’impresa che lo subisce.

Social engineering attacchi: una panoramica completa

Cosa dire in riferimento alla tematica social engineering attacchi? Come dimostrano gli ultimi fatti di cronaca, esistono numerose tecniche e strategie di social engineering: le tecniche di island hopping si dimostrano quelle maggiormente in uso. Vertono sulla perpetuazione di un attacco mediante terze parti che hanno un livello di accesso ai sistemi dell’obiettivo finale.

Che dire poi delle tecniche di business e-mail compromise? Queste vanno sempre per la maggiore, come dimostra la cosiddetta truffa del CEO, un vero e proprio imbonitore virtuale che, nei panni di un dirigente d’impresa fittizio, prova, rigorosamente via e-mail, a farsi fare un bonifico. E l’intervento di altri manager fasulli all’interno della comunicazione serve volontariamente a rendere più credibile la cosa e a velocizzare le operazioni.

Molto in uso, poi, sono anche i cosiddetti attacchi di watering hole, la cui mission di fondo ruota sul propagare infezione con malware utilizzati con una certa frequenza da losche organizzazioni.

Infine, non mancano i casi di Reverse BEC che si verificano nel momento in cui il server postale della vittima risulta inevitabilmente compromesso, al punto che viene adottato per portare a termine tutta una serie di attacchi di malware, ma senza file, contro figure di spicco nel mondo dell’imprenditoria e del management.

Come proteggersi dalla social engineering?

Non c’è una risposta univoca alla suddetta domanda. Bersaglio prediletto dei cyber criminali è quello di sfruttare le debolezze dell’essere umano: in genere, chi ha poca dimestichezza con il mondo di internet finisce per essere raggirato. Ma anche chi ha un consolidato background al riguardo o una certa expertise è finito per essere truffato. A fronte di messaggi di dubbia provenienza o di e-mail con contenuti fuori dall’ordinario, dove si è invitati a versare denaro, è sempre bene prestare massima attenzione, perché i truffatori sono sempre in agguato e l’inganno, in questo caso strutturato su attacchi di social engineering, è sempre dietro l’angolo.

Proponiamo comunque in rapida carrellata una lista completa di modalità relative a come proteggersi dal social engineering.

  • Definire in maniera chiara, condivisa e corretta quali sono le risorse informative dell’organizzazione per non imbattersi in problematiche di questo tipo. Una scelta saggia è quella di classificarle in rapporto all’impatto potenziale che potrebbe scaturire a seguito della violazione di una proprietà o di un furto di identità.
  • Monitorare i log generati.
  • Analizzare i rischi in modo periodico per anticipare le possibili vulnerabilità.
  • Implementare una policy organizzativa centralizzata in relazione alla gestione delle password. In questo caso, è opportuno non lasciarla alla discrezione dei dipendenti. Ad esempio, optare su password complesse, può essere una scelta saggia. Password con caratteri maiuscoli, minuscoli e speciali risultano molto più difficili da violare rispetto a quelle che adottano solo caratteri minuscoli.
  • Ricorrere a procedure di dismissione degli archivi digitali. Gli attacchi di dumpster diving si dimostrano sempre deleteri.
  • La distruzione di archivi cartacei, di supporti removibili o di hard disk esterni deve essere completa, perché se le parti meccaniche così come il substrato di memorizzazione restano intatti possono essere sempre controllati. Questo è il classico caso di chi abitualmente getta i supporti appena menzionati e le informazioni nel cestino.
  • Ricorrere sempre all’autentificazione a due fattori.
  • Utilizzare software completi in materia di protezione dalle minacce informatiche: l’antivirus deve essere anti-malware e anti-spyware.
  • Incrementare il livello dei filtri anti-spam del provider di posta elettronica.
  • Controllare l’integrità dei siti internet ancor prima di avviare la navigazione magari ricorrendo ad apposite toolbar.
  • Dare molta importanza alle tecniche di cifratura avanzata a fine di salvaguardare dati e informazioni, oltre che l’integrità dei documenti.

Conclusioni

A prescindere dagli attacchi di social engineering adottati, è bene partire dall’idea di fondo che le truffe ordite in questo modo molto difficilmente tenderanno a diminuire. Anzi, i presupposti perché si diffondano a macchia d’olio, anche per via dell’abbattimento dei costi per mettere in pratica queste truffe, ci sono davvero tutti. Solo aumentando la propria consapevolezza così come quello delle aziende, sarà possibile sventare le campagne di social engineering, mantenendo al sicuro i dati sensibili e le informazioni maggiormente strategiche. Quindi, essere consapevoli e mantenere sempre una certa diffidenza è il modo migliore per uscirne senza danni o seccature di alcun tipo.