Social Engineering: la più subdola delle minacce
Recentemente abbiamo dedicato un articolo all’insidioso fenomeno del tailgaiting, introducendo il concetto di ingegneria sociale in sicurezza informatica.
Rimaniamo sull’argomento per aggiungere approfondimenti sulle tecniche di raggiro e di manipolazione psicologica che, con preoccupante frequenza, consentono agli hacker di ottenere informazioni sensibili o accessi non autorizzati ai sistemi, anche senza dover ricorrere a veri e propri attacchi informatici.
Cosa si intende per ingegneria sociale?
L’ingegneria sociale è una particolare tipologia di crimine informatico che fa uso di raffinate abilità manipolatorie, con l’obiettivo di condizionare le persone, influenzarle e persuaderle a rivelare informazioni riservate su di loro o sulla loro attività.
Gli hacker utilizzano la loro conoscenza dei meccanismi psicologici per deviare l’attenzione delle persone, sanno come a determinati stimoli corrispondano delle reazioni in larga misura condivise e come sfruttarle per ottenere fiducia.
Tutte queste abilità vengono orchestrate per spingere la vittima a distrarsi e a comportarsi in modo da fornire spontaneamente delle chiavi di accesso protette, senza rendersi conto che potranno essere utilizzate per scopi fraudolenti.
Watering hole, baiting e altre sofisticate forme di raggiro
L’ingegneria sociale è una forma di inganno che si sviluppa principalmente online (ma come abbiamo visto per il tailgating può essere applicata anche senza l’uso di tecnologie) e che comprende tattiche sofisticate e accuratamente predisposte come lo spear phishing, gli attacchi watering hole, il baiting e molte altre con nomi altrettanto accattivanti.
Nello sferrare un tipo di attacco informatico basato sull’ingegneria sociale, un hacker può cercare di ingannare le vittime imitando l’URL e la pagina di accesso di un sito web fidato o raggirare un utente con e-mail contraffatte che sembrano provenire da fonti attendibili al fine di ottenere credenziali di accesso, informazioni riservate o denaro.
Negli attacchi watering hole i criminali sfruttano l’effetto sorpresa hackerando un’applicazione, un sito web o un servizio tipicamente utilizzato da un dipendente di un’azienda, e attendono che il vero bersaglio si infetti nell’accedere a uno degli strumenti manomessi. Una volta messo a segno questo tipo di aggancio sarà facile per i malintenzionati prendere di mira altri membri dell’organizzazione e rubare qualsiasi tipo di informazione.
Un’altra singolare tecnica di social engineering è il baiting.
Il bating fa leva su un istinto innato e particolarmente radicato nelle persone: la curiosità. I criminal hacker possono facilmente sferrare un attacco verso un’azienda usando un dispositivo di memorizzazione infetto, come ad esempio una chiavetta USB abbandonata in posti strategici, contando sul fatto che, con molta probabilità, qualcuno andrà a inserire quel supporto in un computer collegato alla rete aziendale per controllarne il contenuto.
Manipolare, sfruttare la distrazione e approfittarsi della buona fede degli utenti
L’aspetto più deprecabile di questa forma di raggiro è che spesso fa leva sui buoni sentimenti delle vittime, approfittando della gentilezza delle persone o dell’innata tendenza in alcuni nel rendersi utili di fronte a situazioni di disagio.
In manovre che non prevedono azioni automatizzate o attacchi in rete, il malintenzionato può entrare in contatto direttamente o telefonicamente con la propria vittima, fingendo di chiedere aiuto o simulando uno scenario in cui condizioni di urgenza e bisogno di sostegno vengono architettati con intento manipolatorio e che in molti casi conducono il malcapitato ad aprire porte o fornire accessi senza le dovute autorizzazioni.
Tecniche criminali complesse utilizzate su larga scala
Appare evidente che un virus informatico, per quanto ben ingegnerizzato, non è nulla in confronto a schemi più avanzati e complessi, in cui la tecnologia incontra la psicologia.
Che si tratti di un’azione di social engineering messa in atto di persona, online o per telefono, questi raggiri richiedono tempo, pazienza, capacità di osservazione e una profonda competenza, e proprio in virtù di questo hanno un’altissima probabilità di successo.
Cosa fare per difendersi dal social engineering?
È fondamentale che le aziende adottino misure preventive e una solida formazione per proteggersi da tali minacce.
Sensibilizzazione del personale
L’ingegneria sociale sfrutta la naturale propensione umana a fidarsi delle fonti apparentemente affidabili. Ad esempio, un hacker potrebbe impersonare un tecnico informatico e chiamare un dipendente, affermando di aver bisogno delle sue credenziali per risolvere un problema urgente.
Una persona non adeguatamente istruita sulle procedure di verifica dell’identità potrebbe involontariamente fornire le sue credenziali sensibili e aprire un varco al malintenzionato. Ecco perché la sensibilizzazione del personale è cruciale. Fornire esempi concreti di tecniche di ingegneria sociale e incoraggiare i dipendenti a essere cauti può ridurre significativamente il rischio di cadere in trappola.
Implementazione di politiche di sicurezza
Le politiche di sicurezza dovrebbero essere progettate in modo da creare un ambiente informatico sicuro e responsabile. Stabilire regole chiare sull’uso delle password complesse e sulla condivisione delle informazioni può limitare le vulnerabilità che gli hacker potrebbero sfruttare.
Definire i ruoli e le autorizzazioni per l’accesso ai dati sensibili aiuta altresì a garantire che solo le persone accreditate possano entrarci in contatto. Un esempio pratico potrebbe essere l’implementazione di un sistema di gestione delle identità che controlla e regola l’accesso in base ai privilegi assegnati a ciascun utente.
Monitoraggio delle attività anomale
Il monitoraggio costante delle attività utente e dei log degli accessi consente di individuare rapidamente potenziali minacce. Ad esempio, se un dipendente inizia ad accedere a file sensibili a orari insoliti o da posizioni geografiche non abituali, potrebbe essere un segnale di un possibile attacco informatico.
Dotarsi di sistemi di rilevamento delle anomalie che generano avvisi in tempo reale può consentire agli amministratori di identificare pattern inconsueti nelle attività degli utenti e reagire prontamente per mitigare il rischio.
