L’ingegneria sociale, altrimenti conosciuta come social engineering, è un metodo di attacco informatico sempre più utilizzato dai black hats. Include tutte le azioni compiute dagli hacker al fine di analizzare, comprendere e manipolare la mente degli utenti finali ed estrapolare i loro dati sensibili.

Questi tipi di attacchi hacker vengono considerati tra i più subdoli in assoluto, in particolare per quanto riguarda il mondo lavorativo. 

Perché il social engineering si trova in cima alle classifiche dei rischi per le organizzazioni? Analizzeremo tutte le sue peculiarità all’interno di questo articolo.

Nell’ambito aziendale, e non solo, il fenomeno del social engineering rappresenta una delle più grandi minacce dell’era moderna. In queste situazioni, l’efficacia delle tecniche di difesa implementate a livello hardware o software non è sufficiente a garantire la sicurezza delle infrastrutture informatiche, poiché gli hacker mirano intenzionalmente al fattore umano, diventato ormai l’anello debole della catena difensiva.

Migliorare la conoscenza dei propri dipendenti in materia di sicurezza informatica rappresenta un passo fondamentale per prevenire efficacemente questo tipo di attacco.

Esempi di social engineering

Tra i più comuni esempi di frode tramite social engineering troviamo: il tailgating, il phishing, il pretexting, il quid pro quo e  il tailgating.

• Baiting 

“Bait” significa esca in lingua inglese. In questo caso, l’hacker utilizza una vera e propria esca per accedere al sistema informatico della vittima e rubare informazioni sensibili. Attraverso questa esca, come ad esempio una chiavetta USB o un hard disk, il cyber criminale si pone l’obiettivo di stimolare l’interesse della vittima. Trovandosi questo strumento vicino al proprio device elettronico, la futura vittima lo inserisce nel portale per la curiosità di scoprire di cosa si tratta. A primo impatto, questo strumento potrebbe sembrare ormai datato, ma in realtà ci sono ancora attacchi di baiting che purtroppo vanno a buon fine.

• Phishing

Nel linguaggio di Internet, il phishing rappresenta il tentativo degli hacker di ottenere in maniera illegale i dati riservati di un utente o di una organizzazione. I dati personali più ambiti sono sicuramente il numero di conto corrente e di carta di credito, oltre che i codici di sicurezza per l’accesso a banche dati. 

Come avviene il phishing? Il criminale informatico invia messaggi di posta elettronica o SMS falsi che, per sembrare reali, utilizzano in maniera impropria il nome e il logo di aziende o istituzioni reali. All’interno di queste comunicazioni si trovano link a siti web o allegati che portano con sé un malware in grado di bloccare il sistema operativo del dispositivo, obbligando l’utente o l’organizzazione vittima a pagare un riscatto per ottenere nuovamente l’accesso al device o al servizio.

• Pretexting

Il pretexting è molto simile al phishing, ma si distingue da quest’ultimo per una caratteristica particolare. Nel caso del pretexting, l’hacker cerca di ottenere le informazioni sensibili creando un falso contesto attraverso una chiamata o un’intervista. Fingendosi, tipicamente, un’istituzione finanziaria o la polizia, è in grado di creare un legame di fiducia con la vittima. Ciò che facilità la riuscita di questi attacchi è il livello di empatia che si riesce a instaurare tra l’hacker e la vittima.

• Quid pro quo

Il quid pro quo, o qui pro quo, è una tecnica di attacco informatico utilizzata dagli hacker per rubare informazioni personali o finanziarie alle loro vittime. In questo tipo di attacco, la vittima viene contattata da un finto operatore di assistenza IT che offre un falso servizio, come l’installazione di un software di sicurezza o la risoluzione di un problema tecnico.

Una volta che la vittima viene indotta a fornire le proprie credenziali di accesso o ad installare il software dannoso, l’hacker prende possesso del PC e può accedere a informazioni sensibili come dati bancari, informazioni personali o sistemi informatici dell’azienda per cui lavora.

Questo tipo di attacco può causare significativi danni alla privacy della vittima e alla cyber security delle aziende, portando a perdite finanziarie o compromissione dell’identità. 

• Tailgating

Il tailgating è una tecnica di sicurezza informatica che consiste nell’entrare in un’area protetta senza autorizzazione, sfruttando la cortesia o la fiducia di una persona che ha l’accesso autorizzato. In pratica, un individuo non autorizzato segue da vicino un dipendente o un visitatore autorizzato e passa insieme a lui attraverso la porta di ingresso senza utilizzare la propria chiave o badge d’accesso. Questo tipo di attacco viene anche chiamato piggybacking.

Per prevenire ognuno di questi attacchi, le aziende devono assicurarsi che i propri dipendenti siano al corrente delle pratiche più utilizzate dagli hacker per introdursi nei loro device e nella rete aziendale.

Le quattro fasi di un attacco di social engineering

Prevenire è meglio che curare. Raramente si è sentita una frase più vera, specialmente quando si tratta di questioni estremamente delicate come la sicurezza informatica.

Analizziamo le quattro fasi principali che accomunano tutti gli attacchi di social engineering, in modo da essere il più preparati possibili in caso di pericolo:

1. Footprinting
2. Sviluppare una relazione con la vittima
3. Manipolazione psicologica
4. Attacco

Fase 1: Footprinting

La prima fase di ogni attacco di social engineering è quella di footprinting. In questa fase, l’hacker si impegna per raccogliere quante più informazioni possibili sulla sua futura vittima. 

L’obiettivo è dunque quello di recuperare i dati personali di contatto dell’utente, come ad esempio il suo numero di telefono, l’e-mail, la sua rete di contatti e soprattutto le misure di sicurezza che utilizza per avere accesso ai sistemi informatici aziendali. 

Fase 2: Sviluppo di una relazione con la vittima

Nella seconda fase dell’attacco, il criminale informatico sfrutta tutte le informazioni raccolte nel footprinting per dare vita a una falsa identità che la vittima reputerà affidabile. Una volta creata, la utilizzerà per creare un rapporto di fiducia con la vittima e instaurare una vera e propria collaborazione. 

Fase 3: Manipolazione psicologica

In questa terza fase, l’hacker utilizza le informazioni raccolte nelle fasi precedenti per manipolare la vittima e abbattere le sue difese. Le tecniche utilizzate per raggiungere questo obiettivo sono la persuasione, l’inganno e l’intimidazione.

Fase 4: Attacco finale

La fase finale si concretizza nell’attacco vero e proprio. Una volta truffato l’utente, l’hacker procede all’attacco infrangendo la sicurezza della rete impadronendosi dei dati sensibili che contiene. Successivamente, procede a eliminare tutte, o quasi, le sue tracce. Per rientrare in possesso del proprio account, molto spesso viene richiesto il pagamento di un riscatto.

Le conseguenze del social engineering

La pratica del social engineering può portare a una serie di conseguenze negative per le aziende, come perdite finanziarie, violazioni della privacy dei dati e danni alla reputazione costruita negli anni.

Per questo motivo, aumentare la consapevolezza dei rischi e delle minacce legati alla sicurezza informatica, rendendo i dipendenti in grado di adottare pratiche sicure nel loro lavoro quotidiano, può ridurre notevolmente le possibilità di cadere nelle trappole del social engineering. Questo, a sua volta, contribuisce a mantenere elevato il livello di sicurezza delle informazioni dell’azienda.

Investire nella formazione in materia di sicurezza informatica aziendale è dunque una scelta vincente per ogni azienda che vuole proteggere i propri dati e sistemi informatici dalle minacce come il social engineering. 

Noi di Dgroove siamo veri esperti del settore informatico e operiamo nel settore da oltre 40 anni. Grazie alla qualità dei nostri insegnamenti siamo diventati training center ufficiale di EC-Council, una delle principali organizzazioni per certificazioni, istruzione, formazione e servizi di sicurezza informatica. 

La nostra vasta gamma di corsi dedicati alla sicurezza informatica in azienda si pone l’obiettivo di fornire ai vostri dipendenti le conoscenze e le competenze necessarie per proteggere l’azienda dalle minacce del social engineering. Trova il corso più adatto alle tue esigenze!