fbpx

Social engineering: come difendersi da questo nemico invisibile?

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su pocket
Condividi su whatsapp
Condividi su email

Nel campo della sicurezza informatica, il social engineering è uno degli attacchi di cybercrime più pericoloso. Questo perché non utilizza strumenti tecnici come malware, spyware, software o altro, per portare a termine l’attacco ma sfrutta la psicologia umana per colpire.

Il social engineering è un vero e proprio attacco informatico che studia i comportamenti umani e li utilizza per rubare informazioni dalla vittima. La vittima dell’attacco può essere un individuo singolo, ma nella maggior parte dei casi sono le aziende ad essere sotto il mirino di questi attacchi, per ragioni di guadagno più consistente.

Quello che fa il social engineering è quindi scoprire i “bug” e le vulnerabilità del comportamento umano, come ad esempio la troppa fiducia negli altri per esempio, l’ingenuità o l’ignoranza su alcuni argomenti, e sfruttarli a suo favore per compiere l’attacco.

Il Phishing è soltanto una delle forme di social engineering. La più conosciuta. È la più facile da combattere. Ma sono tantissime e varie le modalità di attacco dei social engineer. Come possiamo difenderci, per esempio, se, considerando la realtà aziendale, l’attacco provenisse direttamente dall’interno dell’azienda?

Innanzitutto, capiamo come è formato un attacco di social engineering.

Questo tipo di attacco si suddivide sostanzialmente in 3 fasi. Spiegheremo queste tre fasi con un esempio.

Ipotizziamo di essere un’azienda operante nel settore medico. Siamo un’azienda di circa 400 dipendenti, suddivisi in gruppi ognuno con dei propri compiti. Ciascun gruppo ha un referente che poi comunicherà quotidianamente un report del lavoro svolto dal gruppo al CEO dell’azienda.

  • FASE 1: STUDIO DELLA VITTIMA

Questa fase solitamente ha una durata che va da alcune settimane ad alcuni mesi. Supponiamo che il nostro cybercriminale ha scelto quest’azienda dopo uno studio di 3 mesi. Esistono tecniche di hacking che con molta facilità, permettono di infiltrarsi nella le reti informatiche aziendali e studiare tutto ciò che accade nell’azienda: elenco dei dipendenti, gerarchie aziendali, numero di client o server presenti… ogni tipo di informazione.

Se l’azienda non ha alle spalle un buon training di cyber security, l’attaccante può facilmente “sostituirsi” a chiunque lavori all’interno dell’azienda e studiare meglio i comportamenti dei lavoratori. Nel nostro esempio una volta impossessatosi di un account, basta per alcuni mesi mandare mail sporadiche ai colleghi, chiedere numero di cellulare, chiedere info al capo… grazie a questo studio, il cybercriminale scopre chi è la figura più debole nell’azienda, quale è il livello di sicurezza informatica, quale è la parte più debole dell’azienda, etc…

Minore sarà la formazione aziendale in campo di cyber security, maggiori saranno le modalità in cui si può essere attaccati senza sapere di esserlo.

 

  • FASE 2: L’ATTACCO

Il cybercriminale dopo mesi di studio è ormai entrato in possesso delle informazioni necessarie dei vari dipendenti. Ha scoperto chi di essi compie più ingenuità, chi ha più contatti con i superiori, chi ha accesso a risorse di rete importanti, etc… Una volta scelte queste figure, il cybercriminale si sostituisce a loro e per giorni, settimane o mesi, utilizzando per esempio semplicemente delle mail, invia materiale segreto o contenente informazioni sensibili, ad altri indirizzi mail di sua proprietà. In questo modo, all’ insaputa degli altri componenti dell’organizzazione, risorse segrete o aziendali, vengono trasmesse in modo illecito all’esterno dell’azienda

 

  • FASE 3: FINE DELL’ATTACCO

Dopo aver, per mesi, usato queste tecniche per raccogliere quante più informazioni possibili dall’azienda, il cybercriminale può sfruttarle a suo vantaggio per trarne un personale profitto. Può infatti utilizzare le informazioni ricavate per venderle ad altri concorrenti, per ricattare l’azienda colpita chiedendo soldi in cambio della restituzione dei dati (cosa che nella maggior parte dei casi non avverrà mai), oppure cosa ancor più grave, può utilizzare i dati delle figure professionali in suo possesso per truffare altre aziende (uso i dati del dipendente Y per effettuare un attacco di social engineering ad un’altra azienda).

 

Quello descritto è uno scenario classico di quello che potrebbe accadere se un’azienda non ha alle spalle un’ottima formazione di cyber security.  Gli antivirus o i software di sicurezza sono misure necessarie ma non sufficienti a contrastare attacchi come il Social Engineering.

È necessario adottare all’interno dell’organizzazione, delle misure atte a ridurre il rischio che queste tipologie di attacco si verifichino.  

Oltre all’ utilizzo di soluzioni software create ad hoc o a vari accorgimenti tecnici, il primo fondamentale passo è sicuramente quello di fornire al personale aziendale, un’adeguata formazione, con aggiornamenti periodici, sulla cyber security, sui rischi a cui si può essere esposti e sulle misure di prevenzione da adottare. È necessario inoltre e soprattutto, adottare una politica aziendale personalizzata di comunicazione interna, che dovrà essere riferita solo e soltanto al personale dell’azienda e non resa pubblica.

Un esempio è quello di creare una politica aziendale in cui si decide che ogni mail che ci si manda tra colleghi, la prima parola della mail deve essere ripetuta due volte, quindi dare un’identità alla mail in modo da far capire all’altro che chi sta mandando la mail è un dipendente che conosce la politica aziendale.

Questo piccolo esempio da solo non può fermare i cyber criminali, ma unito a software o a piccoli accorgimenti presenti nell’header di una mail, di un messaggio, o alle corrette configurazioni del pc, della pagina aziendale o sito aziendale, può aumentare le capacità di protezione individuale e organizzativa e ridurre notevolmente i rischi di essere attaccati da un nemico invisibile.

Le possibilità di attacco di social engineering sono migliaia e ogni giorno emergono tecniche sempre più sofisticate e difficili da scoprire.
È fondamentale un’ idonea formazione e un continuo aggiornamento su questi temi.

 

 

Stiamo per lanciare il primo corso online su come proteggersi dal social engineering

PRENOTA IL TUO POSTO!

You might also enjoy