Social Engineering - Sfruttare la psicologia nella nuova era degli attacchi informatici

Work smarter not harder. Anche gli hacker al giorno d'oggi si affidano a questo detto di lunga data quando si tratta di raccogliere informazioni riservate o ottenere l'accesso non autorizzato a un dispositivo, per citarne alcuni.

Di fatto, i pirati informatici sono ben consapevoli di quanto sia più facile manipolare le persone a fornire informazioni riservate piuttosto che spendere molto più tempo a cercare di raggiungere lo stesso obiettivo utilizzando sofisticate tecniche di hacking.

Stiamo parlando del fenomeno del social engineering, o ingegneria sociale: come suggerisce il nome, questa tipologia di attacchi informatici sempre più diffusi si concentra sull'anello debole di ogni catena di sicurezza: l’essere umano [1].

Nonostante la difficoltà di stabilire una definizione precisa, gli esperti del settore concordano nel dividere questo campo in 6 tipologie [2]:

- L'ingegneria sociale inversa è un mezzo per creare fiducia tra la vittima e l'aggressore.

- Il furto d’identità è una tecnica in cui l’hacker finge di essere qualcun altro, solitamente qualcuno di fidato come un parente della vittima o un'autorità.

- L'intimidazione mira a rendere la vittima più propensa a seguire i passaggi indicati dall'aggressore attraverso il timore e la paura.

- L'incentivo è una strategia di manipolazione che fa leva sulla motivazione della vittima, come l’attrazione dal guadagno.

- La responsabilità ha lo scopo di far credere alla vittima di dover rispettare determinate leggi, regolamentazioni o norme sociali.

- La distrazione viene utilizzata per indirizzare erroneamente l'attenzione della vittima mentre viene tacitamente portato avanti un attacco. Gli aggressori, mirando solitamente alle aziende, individuano il momento opportuno per iniziare l’attacco quando i dipendenti sono concentrati su un evento specifico, come una transazione importante.

Oltre a ciò, sin dall'inizio della pandemia le aziende sono sempre maggiormente prese di mira, anche per il crescente utilizzo dello smart-working. Di fatto, è stato riportato che nel 2021 i criminali informatici hanno rubato 6,9 miliardi di dollari utilizzando l'ingegneria sociale per irrompere nei luoghi di lavoro remoti [3].

Uno degli attacchi più comuni è noto come spear phishing – una campagna di phishing mirata. Per capirne meglio il funzionamento, basti guardare il caso della società ucraina Kyivoblenergo [4]. Nel 2015, i dipendenti di questo fornitore di energia elettrica hanno ricevuto un’e-mail che pareva essere una comunicazione ufficiale del ministro dell'Energia dell'Ucraina. Caduti vittima delle strategie di furto d'identità e responsabilità sopracitate, i dipendenti hanno malauguratamente aperto il documento Word allegato all'e-mail e ciò ha consentito al malware celatovi di diffondersi in tutta la rete aziendale, causando un'interruzione di corrente della durata di tre ore per oltre 225.000 utenti in tutta l'Ucraina.

Tuttavia, non sono solo le aziende ad essere gravemente colpite dal social engineering.

Poiché viviamo in un'era in cui sostanzialmente tutte le attività quotidiane – comprese transazioni, incontri di lavoro e molto altro – vengono in tutto o in parte svolte o condivise online, uno dei target più vulnerabili del social engineering sono proprio gli individui stessi.

È quasi certo che tutti almeno una volta abbiamo ricevuto un'e-mail di dubbia autenticità nella quale venivano richiesti dati personali o si tentava di indurre il soggetto a fare clic su un collegamento dannoso.

Fortunatamente, la maggior parte delle e-mail truffa finisce automaticamente nello spam. Ma non è sempre così. Sta agli utenti essere preparati a riconoscere tali tentativi di truffa poiché non si tratta dise ma di quando accadranno.

Tra le raccomandazioni utili per evitare di cadere vittime del phishing si ricorda in particolare di non fornire mai informazioni private – in particolare password o dati bancari – a fonti di cui non si è sicuri della legittimità ed evitare di aprire collegamenti da siti web sconosciuti o sospetti.

Ciononostante, i criminali informatici perfezionano continuamente le loro tecniche e diventa sempre più difficile schivare le truffe. Di fatto, gli attacchi sono personalizzati in quanto si sfruttano le informazioni reperibili sui profili social degli utenti, che aiutano ulteriormente ad illudere la vittima.

Diventa quindi essenziale al giorno d’oggi essere consapevoli delle strategie basate sul social engineering – sia da parte delle aziende che degli individui.

Da un lato, le aziende dovrebbero concentrarsi sulla formazione dei dipendenti, attraverso corsi e simulazioni di attacco, con l’obiettivo di diffondere l’awareness del social engineering dalla base all’apice della gerarchia organizzativa.

Gli individui, d’altro canto, dovrebbero rimanere vigili ed essere selettivi quando si tratta di condividere informazioni personali sui social.

Indubbiamente, il primo passo per affrontare l'ingegneria sociale in tutte le sue sfaccettature è avere un approccio proattivo.

COLLABORAZIONE - Articolo a cura di: Asia Giusti & Charlotte Arnaud

[1] Anderson, Ross J. (2008). Security engineering: a guide to building dependable distributed systems (2nd ed.). Indianapolis, IN: Wiley. p. 1040. ISBN 978-0-470-06852-6. Chapter 2, page 17

[2] Tong Li a, Xiaowei Wang b, Yeming Ni. (2020). Aligning social concerns with information system security: A fundamental ontology for social engineering.

[3] Zachary Snowdon Smith. (2022). Cybercriminals Stole $6.9 Billion In 2021, Using Social Engineering To Break Into Remote Workplaces. Forbes.

[4] Dennis Gammel David E. Whitehead, Kevin Owens and Jess Smith. (2017). Ukraine cyber-induced power outage: Analysis and practical mitigation strategies.