Hai mai sentito parlare del social engineering? Si tratta di una serie di tecniche di cyber attacco particolarmente raffinate, che mirano a colpire i dipendenti di un’azienda e spingerli a fornire dati sensibili come le password o i dati di accesso al computer aziendale.
Attraverso il social engineering l’hacker non approfitta delle debolezze del sistema informatico aziendale per introdursi al suo interno, come accade nelle più comuni forme di cyber attacco, ma fa leva sull’emotività delle persone, che vengono manipolate fino a diventare collaborative.
Queste tecniche sfruttano quindi la psicologia umana, le vulnerabilità delle persone e l’inganno per permettere ai cyber criminali di entrare in possesso di informazioni preziose, grazie alle quali possono avere accesso a un computer, a un conto corrente o addirittura a un’intera rete.
In questo articolo, ti forniremo le informazioni necessarie per essere in grado di riconoscere un attacco di social engineering, in tutte le tue forme e ti daremo qualche consiglio per difendere la tua azienda da questa sofisticata minaccia.
Indice dell'articolo
Social engineering: che cos’è?
Il social engineering (tradotto “ingegneria sociale”) è una forma di minaccia informatica che prende anche il nome di human hacking, perché si basa sullo studio delle vittime e delle loro debolezze per poterle manipolare ed estorcere informazioni confidenziali e private.
Se il target è un’intera azienda, gli hacker non perderanno tempo e realizzeranno una meticolosa quanto accurata raccolta di dati personali di tutte le persone che vi lavorano e con le quali potrebbe essere utile entrare in contatto al momento dell’attacco. La ricerca di informazioni è fondamentale per permettere ai criminali di elaborare l’attacco e questa prima fase di studio viene chiamata OSINT (Open Source INTellingence).
Il human hacking è una forma di minaccia a metà tra psicologia e ingegneria e talvolta si tende a sottovalutarla quando si parla di sicurezza informatica, perché non sfrutta soltanto virus e malware né si basa sulle falle del sistema.
In realtà è proprio questa sua peculiarità a rendere il social engineering così pericoloso, perché non c’è antivirus né firewall che tenga di fronte a un attacco hacker che mira alla componente umana dell’azienda.
Per portare a termine il loro obiettivo ed entrare in contatto con la vittima, i malintenzionati agiscono di persona o utilizzano i classici strumenti di comunicazione, come:
- sms e altri servizi di messaggistica istantanea;
- messaggi di posta elettronica;
- telefono;
- servizi in Cloud;
- profili social.
Esistono poi diverse tecniche che gli hacker mettono a punto per portare avanti i loro piani di social engineering. Analizziamole nel paragrafo successivo.
La premessa è sempre quella di essere molto critici quando si ricevono messaggi e email sui numeri di telefono e sugli indirizzi mail aziendali. Per evitare brutte sorprese, è bene tenere a mente queste norme di comportamento:
- Non scaricare mai allegati né cliccare sui link forniti da una mail inoltrata da un contatto non verificato e quando si riceve una mail da una fonte autorevole, bisogna assicurarsi che non si tratti di un fake (verificare l’ortografia, l’indirizzo del mittente, la grafica).
- Se si riceve una telefonata da qualcuno che dice di essere un tecnico IT o di avere un simile ruolo, non fornire mai le proprie credenziali di accesso al drive, al pc o la password della casella di posta elettronica;
- Non inserire nel proprio pc aziendale alcuna periferica proveniente da fonti ignote, come ad esempio una chiavetta USB trovata in mensa;
Infine, un ultimo importante consiglio è quello di aumentare le competenze in azienda in materia di cyber security: soltanto conoscendo bene i rischi che si corrono e gli escamotages da utilizzare per difendersi, sarà possibile sventare gli attacchi di social engineering.
Se vuoi garantire un alto livello di protezione alla tua rete informatica aziendale, rivolgiti a un team specializzato nel settore IT.
Fattore umano: quanto incide sui processi di prevenzione dagli attacchi informatici?
Le aziende che svolgono periodicamente Vulnerability Assessment e Penetration Test sono quindi al sicuro, rispetto agli attacchi hacker? Sicuramente il livello di protezione della loro rete informatica aumenta moltissimo, ma non possiamo parlare per assolutismi. Rimane sempre una piccola percentuale di rischio e, inoltre, bisogna anche considerare il fattore umano.
Una volta terminati i test, è importante sfruttare i dati ottenuti nel migliore dei modi, senza tralasciare nulla. Ma operare in questa direzione non è sempre semplice. Capita più spesso di quello che si potrebbe pensare che, ad esempio, un’impresa sottovaluti un suo anello debole perché ai suoi occhi quel fattore di rischio è trascurabile, oppure perché le probabilità associate sono bassissime.
Ma una bassa probabilità non equivale a una probabilità inesistente e magari, il prossimo attacco hacker arriverà proprio passando per quella via. In un caso come questo, i test preventivi si rivelano dunque fallimentari.
Che cosa si può imparare da situazioni del genere? Innanzitutto, che i dati sono fondamentali ma lo è ancora di più il giudizio delle persone che sanno interpretarli. I risultati dei test vanno analizzati attentamente insieme al proprio dipartimento IT (oppure insieme a un professionista esterno del settore) perché solo così acquisiranno valore e risulteranno davvero utili nell’elaborazione di una strategia di difesa.
Per chi non lavora nell’ambito, infatti, può essere difficile fare un’accurata valutazione dei report e comprendere in che direzione andare per difendere nella maniera migliore la propria azienda. Per questo motivo, il nostro consiglio è di affidarti sempre a professionisti del settore IT non solo per lo svolgimento dei test preventivi, ma anche per impostare, con maggiore consapevolezza, una strategia di prevenzione del rischio informatico.
