Le violazioni informatiche più gravi non nascono da codici e algoritmi complessi, ma dal pensiero e dal comportamento umano. Basandosi sull’ingegneria sociale, o social engineering, gli utenti malintenzionati scoprono quali corde toccare per spingere la vittima ad adottare un comportamento rischioso con l’inganno. Le conseguenze del raggiro vanno dai malware alle violazioni della sicurezza su larga scala.
Poiché si basa sulla psicologia e sulle motivazioni umane, l’ingegneria sociale è un crimine informatico particolarmente insidioso. Più si è consapevoli sull’argomento, più si è pronti a contrastarla. L’articolo tratta i seguenti temi:
- Social engineering: significato e funzionamento
- Tipi di attacchi informatici basati sull’ingegneria sociale
- Rilevamento delle minacce e protezione da attacchi informatici
Capire l’ingegneria sociale
Definizione di ingegneria sociale
Il social engineering (ingegneria sociale) è una tecnica di manipolazione che approfitta dell’errore umano per accedere a informazioni e risorse private. Le truffe spingono subdolamente gli utenti a esporre dati e sistemi o a diffondere attacchi malware. Le violazioni basate sull’ingegneria sociale sono note anche come “hacking umano”, perché si fondano sui pensieri e sulle azioni delle persone.
Un malintenzionato che sfrutta l’ingegneria sociale si pone generalmente due obiettivi: da un lato provocare interruzioni e danni, dall’altro sottrarre risorse preziose come informazioni, denaro o controllo degli accessi. Il tratto distintivo di questo tipo di attacco informatico è il fatto di indurre subdolamente l’utente a contribuire alla perpetrazione del reato.
Firewall Times dichiara che oltre il 98% degli attacchi informatici comporta qualche forma di ingegneria sociale. Inoltre, l’organizzazione media è bersaglio di almeno 700 attacchi basati sul social engineering all’anno.
Tecniche comuni di ingegneria sociale
Gli utenti malintenzionati cercano di sfruttare il modo di pensare e di agire delle persone, così come le loro lacune. Per esempio, un utente potrebbe non rendersi conto che divulgare un numero telefonico lo rende vulnerabile. L’efficacia di un attacco informatico basato sull’ingegneria sociale è commisurata all’abilità nella forza di persuasione. Più il criminale è convincente, più è probabile che l’utente faccia qualcosa che in una situazione normale non farebbe.
Una caratteristica degli attacchi basati sull’ingegneria sociale è la manipolazione emotiva. L’utente malintenzionato può suscitare emozioni che inducono un comportamento rischioso. Alcune delle emozioni sfruttate sono le seguenti:
- Paura
- Entusiasmo
- Curiosità
- Rabbia
- Senso di colpa
Un’altra è l’urgenza. L’utente potrebbe per esempio ricevere un’e-mail o un messaggio che richiede di visitare immediatamente un sito Web o che pubblicizza un prodotto o un servizio disponibile solo fino a mezzanotte. Quando il criminale crea una falsa urgenza, l’utente può agire in modo meno razionale, per esempio compilando un modulo che normalmente ignorerebbe.
La fiducia è l’essenza stessa dell’ingegneria sociale. Il malintenzionato svolge adeguate ricerche sull’utente per sapere di preciso come entrare in contatto e guadagnare la sua fiducia. Poniamo che organizzi un attacco fraudolento in cui interpreta in modo convincente il CEO della vittima. Poiché ha studiato bene il CEO e l’azienda, potrebbe indurla a divulgare informazioni riservate sulle risorse umane.
Come funziona l’ingegneria sociale
Per limitare i rischi, le organizzazioni devono comprendere qual è l’essenza dell’ingegneria sociale. È qualcosa che va al di là della diffusione di un virus nocivo che interrompe il funzionamento di una rete. Anziché contrastare con la forza tecnologie e informazioni private, l’utente malintenzionato cerca di indurre la vittima a cadere nella sua trappola.
Un tipico ciclo di attacco informatico basato sull’ingegneria sociale comincia con la raccolta di informazioni sul background dell’utente e di ogni gruppo a cui appartiene. Dopo la fase preparatoria, il criminale si infiltra nelle difese stabilendo interazioni apparentemente affidabili. Una volta ottenuta la fiducia della vittima e superate le sue difese, sferra l’attacco e si ritira dopo aver raggiunto l’obiettivo.
Tipi di attacchi informatici basati sull’ingegneria sociale
Attacchi di phishing
Il phishing è quando un utente malintenzionato si finge una persona o un’organizzazione affidabile per ottenere l’accesso ed esporre le informazioni private della vittima. Due tipi di frode basati sul phishing sono lo spam phishing e lo spear phishing. Il primo consiste in un attacco diffuso e non personalizzato. Il secondo usa informazioni personalizzate per attaccare utenti specifici, in particolare obiettivi di alto profilo come dirigenti, alti funzionari pubblici e celebrità.
Un esempio recente di spam phishing ad ampio raggio è stato la truffa del “messaggio UPS”, ovvero una comunicazione inviata da un mittente che si spacciava per UPS in cui si informava il destinatario della mancata ricezione di una consegna. Il link induceva la vittima a inserire informazioni sensibili, infettare il computer con un malware o pagare una commissione superflua.
Baiting e tailgating
Il baiting è un attacco informatico che manipola la vittima affinché esponga dati personali al criminale. L’esca (bait) è in genere un omaggio o un premio esclusivo. Il risultato dell’attacco consiste nella diffusione di un malware nel sistema informatico della vittima.
Un metodo di baiting tipico è un allegato e-mail con un’offerta omaggio o un software gratuito fraudolento. Un altro sistema per attaccare è attraverso chiavi USB in luoghi pubblici come biblioteche e parcheggi.
Pretexting
Il pretexing è quando un criminale assume un’identità falsa per conquistare la fiducia della vittima, interpretando per esempio un dipendente o un fornitore per indurla all’interazione diretta. Una volta compiuto il raggiro, l’utente malintenzionato può sferrare qualsiasi attacco informatico, dalla diffusione di malware all’estrazione di informazioni riservate.
Protezione dall’ingegneria sociale
L’importanza delle password complesse
Troppo spesso le persone usano una password facile da ricordare, come il nome del proprio animale domestico, per più account e non la cambiano per diverso tempo. Cisco consiglia di creare policy per il tipo di password che i dipendenti dovrebbero usare.
Le linee guida dovrebbero includere, per esempio, il numero di lettere, i tipi di carattere e così via. Le policy dovrebbero delineare con quale frequenza è opportuno che i dipendenti modifichino la password o cercare di integrare il cambiamento periodico della password nella tecnologia in uso. Anche un consiglio semplice come quello di ricordare agli utenti di non condividere le password contribuisce a proteggere i dati riservati.
La posizione in cui una password viene archiviata è importante quanto la sua forma. Un sistema di gestione delle password aiuterà regolarmente l’utente a creare, proteggere, compilare e aggiornare le password. Per maggiore comodità, è consigliabile adottare un sistema in grado di effettuare la sincronizzazione tra vari dispositivi.
Autenticazione a due fattori
Servizi di rete ad alto rischio come VPN e pool di modem dovrebbero usare l’autenticazione a più fattori per aggiungere un ulteriori livello di sicurezza. Per esempio, un dipendente può verificare una password per il computer fisso sul telefono cellulare. Un utente malintenzionato potrebbe riuscire a “indovinare” la password, ma non ad accedere a informazioni che solo un dipendente può vedere sul proprio dispositivo.
I metodi di autenticazione a due fattori includono passcode monouso, autenticazione biometrica come la scansione dell’impronta, codici SMS e notifiche push.
Formazione sulla consapevolezza dei dipendenti
Propinare un manuale di 50 pagine sulla sicurezza informatica a un dipendente non è un metodo efficace per incoraggiare l’apprendimento e il consolidamento delle conoscenze. È infatti probabile che la persona consulti il documento solo in caso di problemi, ammesso che se ne renda conto. Integrare la sicurezza informatica nella cultura e nelle operazioni dell’organizzazione, invece, è di cruciale importanza per massimizzare le difese del sistema. I dipendenti dovrebbero essere in grado di rispondere con sicurezza alla domanda: “Che cos’è l’ingegneria sociale?”.
È opportuno ridurre il rischio di attacchi attraverso un corso di formazione sulla consapevolezza che sia coinvolgente e interattivo, anziché una semplice esposizione frontale ai dipendenti. Alcune organizzazioni, per esempio, offrono ai nuovi dipendenti corsi di formazione online in cui è possibile apprendere attraverso moduli online e svolgere quiz per consolidare le conoscenze. Un consiglio è quello di parlare di attacchi verificatisi di recente presso aziende simili o di eventuali problemi di sicurezza informatica affrontati dalla propria organizzazione in passato.
La creatività è fondamentale quando si organizza un corso di formazione sulla sicurezza informatica. Molte aziende eseguono moduli con simulazioni di attacchi informatici con lo stack tecnologico a disposizione o persino sotto forma di esercizio in tempo reale.
Riconoscimento dei segnali dell’ingegneria sociale
Campanelli d’allarme
Alcuni segnali indicati da Webroot sono:
- e-mail da una fonte apparentemente affidabile che chiede aiuto. Potrebbe trattarsi, per esempio, del messaggio di un “collega” che chiede informazioni su una carta di credito aziendale;
- fingersi un’organizzazione apparentemente attendibile come una banca per ricavare informazioni;
- un’azione o una risposta a qualcosa che l’utente è sicuro di non avere mai fatto. L’esempio di UPS richiama l’attenzione su un pacco in giacenza che non è mai stato ordinato.
Richieste online sospette
Di seguito sono elencati alcuni esempi di richieste poco attendibili.
- La richiesta di effettuare una donazione a un ente benefico o a un’altra causa. Gli utenti malintenzionati sfrutteranno i temi sociali più discussi per attirare la vittima.
- Notifiche che comunicano una vincita. Per poter ottenere la ricompensa, l’utente dovrà compilare un modulo o fornire informazioni sulla residenza o sul conto bancario per accedere ai fondi.
- Una risposta a una domanda mai fatta. Un utente malintenzionato potrebbe fingersi la banca o un altro istituto, sapendo che un’e-mail da tale mittente susciterà la curiosità più di un’organizzazione completamente sconosciuta, e chiedere di effettuare l’autenticazione o di fornire l’accesso alla propria azienda.
Telefonate o e-mail insolite
Telefonate ed e-mail sospette si sovrappongono con gli altri segnali già menzionati. A volte sono più facili da riconoscere. Per esempio, un criminale che si finge la banca e invia un messaggio da un numero telefonico con intervalli ampi tra i numeri dovrebbe destare sospetto.
Un tipo di e-mail subdolo è quando viene esposto un problema e si chiede all’utente di controllare qualcosa. In genere la verifica avviene aprendo un link o compilando un modulo. Le e-mail e i moduli potrebbero riprodurre in modo accurato il logo e lo stile dei contenuti di un’azienda conosciuta e dare un’impressione di credibilità. Queste truffe mediante phishing spesso includono un sollecito ad agire rapidamente, altrimenti l’utente subirà conseguenze, così da indurre una reazione tempestiva.
Prassi consigliate per la prevenzione dell’ingegneria sociale
Aggiornamenti software regolari
Non bisogna dare per scontate le funzionalità di aggiornamento automatico del computer o avere fiducia che avvengano in propria assenza. I software obsoleti sono più vulnerabili agli attacchi informatici, pertanto è bene accertarsi che gli aggiornamenti automatici siano costanti.
Protezione delle informazioni sensibili
È consigliabile applicare più livelli di protezione dei dati. Una possibilità è individuare una soluzione con punti forti specifici per proteggere quantitativi ingenti di dati sensibili. Tuttavia, è necessario agire con giudizio quando si stringe una collaborazione con un cliente come un provider di servizi di dati, perché potrebbe accedere alle informazioni personali.
Implementazione di controlli degli accessi
Alcune misure che richiedono una scarsa manutenzione sono la gestione delle password e l’autenticazione a più fattori. Altri controlli come l’autenticazione adattiva verificano l’identità di un utente in base a fattori contestuali come la posizione, le analisi del comportamento e così via.
Risorse aggiuntive
Caratteristiche di sicurezza di LastPass
Un fattore di distinzione chiave tra LastPass e altri sistemi di gestione delle password è la sua crittografia a conoscenza zero. Solo l’utente disporrà dell’accesso ai dati e alla password principale attraverso una chiave esclusiva. Questo meccanismo separa i dati non crittografati dai nostri server e protegge l’integrità dei dati dell’utente.
Protezione degli account personali e aziendali
Se da un lato è probabile che si implementi una maggiore sicurezza negli account aziendali, dall’altro è consigliabile aumentare la protezione anche delle informazioni personali. Una misura semplice consiste nell’aggiungere l’autenticazione a più fattori all’e-mail o all’accesso dell’home banking. Un sistema di gestione delle password o di autenticazione elimina l’inconveniente di dover ricordare la password o preoccuparsi di eventuali violazioni della sicurezza.
Gli hacker usano il social engineering per sferrare attacchi sempre più intelligenti. Tuttavia, una volta capito che cos’è l’ingegneria sociale, è possibile individuare e fermare i tentativi di manipolazione che mettono a repentaglio la sicurezza informatica. Quando ci si trova di fronte a qualcosa di sospetto, è opportuno porsi domande come le seguenti.
- Provo un’emozione più intensa del solito? (Per esempio si avverte un’improvvisa paura, curiosità, ansia, fretta, eccetera)
- Questo messaggio proviene da una persona o un’azienda attendibile?
- Ci sono link o allegati sospetti?
- Sembra troppo bello per essere vero?
Bisogna tenere presente che la base del cosiddetto “hacking umano” è sfruttare le emozioni e i comportamenti dell’utente, pertanto è opportuno calmarsi e riflettere, affidarsi all’istinto ed essere giudiziosi nell’uso di Internet e nelle prassi di sicurezza, in modo da evitare le strategie dell’ingegneria sociale.
Rimani al corrente di ogni sviluppo dell’ingegneria sociale. Comincia subito il periodo di prova con LastPass.
