Tra le attuali minacce più insidiose per la cybersecurity aziendale ha ormai guadagnato un posto di rilievo il Social Engineering: una sofisticata forma di attacco che sfrutta la componente umana per ottenere accesso non autorizzato alle informazioni. Possiamo quindi definirlo come una tecnica di manipolazione psicologica, che sfrutta l’ingegneria sociale, per indurre la vittima a compiere determinate azioni non autorizzate o divulgare informazioni riservate.
A differenza degli attacchi informatici che si concentrano sulla violazione diretta dei sistemi tecnologici, il Social Engineering utilizza tecniche persuasive e ingannevoli che fanno leva su fiducia e ingenuità dell’utente.
Sfruttando il lato più vulnerabile della catena di sicurezza, e cioè gli utenti, il Social Engineering rappresenta quindi una minaccia significativa: anche con le più avanzate misure di protezione, un unico errore umano può mettere a rischio l’intera infrastruttura aziendale. Vogliamo ancora una volta sottolineare che il costo delle violazioni può superare ampiamente gli investimenti in soluzioni di cybersecurity; la perdita di dati sensibili può infatti danneggiare la reputazione dell’azienda, portare a perdite finanziarie e mettere a rischio la fiducia dei clienti.
Le tipologie di attacco sono numerose e prevedono l’utilizzo di diversi canali di comunicazione quali smartphone, e-mail, siti web, social media, servizi cloud e app di messaggistica istantanea:
Phishing: gli attaccanti inviano e-mail o messaggi che sembrano provenire da fonti legittime, come istituti bancari o aziende, per indurre le persone a condividere informazioni personali come password o dati finanziari
Pretexting: gli aggressori creano una falsa identità o un pretesto per ottenere accesso a informazioni riservate. Si basa su mezzi di comunicazione sia tradizionali che digitali, come telefonate, e-mail o messaggi, anche qui viene simulato il comportamento di una fonte legittima, allo scopo di creare un legame di fiducia con la vittima
Baiting: utilizzato per accedere facilmente ai dati personali o aziendali sfruttando la rete locale (LAN); l’attaccante diffonde uno o più supporti di memorizzazione infetti (chiavette usb o hard disk) in posti strategici, con lo scopo di sfruttare la curiosità o l’interesse della vittima per farla interagire con il dispositivo
Quid pro quo: viene offerto un servizio o un vantaggio apparente in cambio di informazioni sensibili o accesso non autorizzato ai sistemi. Questa tattica si basa sulla reciprocità: le vittime, contattate telefonicamente, vengono convinte a fornire dati riservati in cambio di ciò che sembra essere un beneficio immediato
Impersonificazione: mediante e-mail fraudolente, chiamate o altri mezzi di comunicazione, l’hacker finge di essere una persona autorevole per ottenere l’accesso alla rete aziendale
Intercettazioni: questo attacco consiste nell’intercettazione non autorizzata delle comunicazioni, come chiamate telefoniche o messaggi, al fine di ottenere informazioni riservate; può essere realizzato tramite dispositivi specifici o azioni illegali con lo scopo di monitorare e acquisire dati confidenziali
Tailgating: con questo attacco si passa dal mondo digitale a quello reale; si verifica quando un individuo non autorizzato segue da vicino un dipendente attraverso punti di accesso sicuri, come porte con badge o tornelli, sfruttando la cortesia o la distrazione. Questa tecnica di ingegneria sociale consente a un attaccante di ottenere accesso fisico a un’area protetta senza l’adeguata autorizzazione
Come proteggersi dal Social Engineering?
Per contrastare questi tipi di attacco, è necessario non solo affidarsi ad antivirus e firewall costantemente aggiornati; aggiornare patch di sicurezza appena vengono rilasciate; non fornire per nessun motivo informazioni sensibili come password, dati personali o credenziali d’accesso; verificare sempre la legittimità dei mittenti e non scaricare file provenienti da indirizzi non sicuri, ma è altrettanto importante seguire determinate best practices:
Formazione e Consapevolezza: la formazione del personale è una componente fondamentale. I dipendenti devono essere consapevoli delle tattiche di Social Engineering e devono essere di conseguenza istruiti su come riconoscerle. Le strategie di sensibilizzazione possono inoltre includere periodiche simulazioni di phishing che permettono di valutare la prontezza del personale.
Politiche di Sicurezza: le aziende devono implementare politiche di sicurezza robuste al fine di delineare chiaramente come affrontare situazioni sospette o eventuali richieste di informazioni sensibili. Queste politiche devono essere comunicate chiaramente a tutti i dipendenti.
Autenticazione Multifattore: L’implementazione della MFA può aggiungere livelli di sicurezza extra. Anche se un aggressore riesce a ottenere le credenziali di accesso, verranno richiesti uno o più ulteriori passi di verifica.
Monitoraggio: le risorse aziendali devono essere costantemente monitorate per verificare lo stato dell’infrastruttura ed eventuali attività anomale. Gli strumenti di monitoraggio avanzati possono rilevare comportamenti sospetti e attivare alert tempestivi.
