Social Engineering: cos’è e come riconoscerlo?

Con l’espressione Social Engineering ci si riferisce a tutte quelle tecniche psicologiche messe in atto da hacker e cyberpirati per spingere le altre persone a cedere informazioni personali e dati sensibili tramite clic su email, condivisioni di password e così via.

L’utilizzo del Social Engineering ha un unico obiettivo: convincere la vittima a fidarsi del contenuto del messaggio ricevuto, eseguendo le richieste. Se il sistema non ha bugs da sfruttare, questa tecnica di persuasione aggira firewall e antivirus facendo leva sulle debolezze delle persone.

Dunque, quello del Social Engineering è un argomento non soltanto tecnologico. È un approccio che esiste da moltissimo tempo poiché non è necessario possedere un computer per truffare gli altri. Quindi non si tratta sempre di un attacco informatico vero e proprio, ma spesso la gran parte del lavoro è incentrato sulla psicologia delle vittime.

Definizione di Social Engineering

Oggi il vero tallone d’Achille della sicurezza informatica è rappresentato dall’utente stesso. Infatti, come hanno dimostrato ricerche e report recenti, per i criminali sta diventando sempre più facile infiltrarsi nei sistemi informatici approfittando della buona fede dei malcapitati.

Non a caso, per diffondere malware e software dannosi i cyberattacchi si affidano proprio al fattore umano. Sono gli stessi utenti, a volte inconsapevoli, a fungere da vettore virale informatico. È sufficiente cliccare su una pubblicità ingannevole, leggere una fake news o scaricare un’app corrotta per ritrovarsi il pc bloccato da un ransomware o da attacchi DDoS. In casi come questi sono le nostre informazioni personali ad essere a rischio.

Tutto ciò è reso possibile dalle tecniche di Social Engineering, metodologia di cyberattacco che non sempre si basa sull’uso di malware in quanto tutto è legato alla capacità di persuasione e alla psicologia. Anche noto come Ingegneria Sociale, è un sistema molto avanzato che viene impiegato frequentemente per lo spionaggio industriale internazionale.

Si tratta dell’arte di manipolare digitalmente le vittime per fare in modo che condividano dati sensibili volontariamente. Un social engineer studia il malcapitato per settimane, prima di convincerlo a fidarsi e lanciare l’attacco.

Per questo, il suo lavoro può quasi essere assimilato a quello di uno psicologo, piuttosto che a quello dell’hacker. Nelle prime fasi di analisi quest’ultimo deve raccogliere notizie sulla vita della vittima, così da usarle per ottenere dati sensibili.

Di solito il Social Engineering si basa su 4 fasi principali:

1. Preparazione: il cybercriminale prende informazioni sulla vita personale della vittima per riuscire a capire come contattarla e con quale mezzo informatico;
2. Aggancio: il social engineer si approccia all’utente, spesso spacciandosi per una fonte affidabile e impiega le informazioni raccolte per guadagnare la sua fiducia;
3. Sfruttamento: a questo punto vengono attuate tecniche di persuasione per ricavare dati di accesso ad account, informazioni personali e altro che sarà utile per lanciare un attacco informatico;
4. Disimpegno: il criminale sferra il suo cyberattacco e poi si allontana con velocità.

Le tipologie di attacchi eseguiti tramite Social Engineering

Al giorno d’oggi nessuna azienda o impresa può dirsi immune dai cyberattacchi. In passato, la sicurezza informatica si basava su avanzati strumenti di protezione, ma nel frattempo anche le tipologie di attacchi si sono evolute, diventando sempre più sofisticate.

Ecco che il Social Engineer può manifestarsi attraverso tantissimi canali e modalità differenti per arrecare danni agli internauti. A proposito dei canali, si tratta per lo più dei classici software e device della vita quotidiana:

• Email
• App di messagistica
• Smartphone
• Siti web
• Cloud
• Social media

A questi si vanno poi ad aggiungere i diversi meccanismi per lanciare un attacco. Vediamo quali sono le più importanti tipologie di cyberattacco che si servono del Social Engineering:

• Phishing: le truffe realizzate tramite phishing sono il tipo più diffuso di Social Engineering. In molti casi sono email provenienti da fonti apparentemente sicure, nelle quali l’hacker cerca di estorcere dati che riguardano carte di crediti o altri account. In altri casi vengono raccolte informazioni aziendali dai dipendenti e nell’eventualità più grave, l’attacco può contenere anche ransomware;
• Watering Hole: è una categoria di attacco informatico molto specifico e mirato. L’hacker crea una trappola compromettendo un sito che forse verrà visitato da un gruppo di persone particolare, invece di puntare direttamente a quel gruppo;
• BEC (Business E-mail Compromise): gli attacchi BEC sono una tipologia di truffa eseguita via email, nella quale il criminale finge di essere un dirigente aziendale per uno scopo illecito, come l’invio di denaro o il pagamento di fatture. Qualche volta l’hacker arriva a parlare di persona con la vittima per convincerlo di essere il suo capo;
• Pretexting: l’hacker in questo caso contatta la persona via telefono mettendo in scena un pretesto qualsiasi (pretexting si riferisce proprio al “creare un pretesto”). Ad esempio, fa finta di essere un dipendente e prova ad instaurare un rapporto di amicizia con la vittima per avere le informazioni che desidera;
• Baiting via USB: può sembrare una tecnica desueta e poco realistica, ma in realtà è più frequente di quanto si pensi. Fondamentalmente si verifica quando gli hacker installano su chiavette USB dei malware, per lasciarle poi in posti strategici, nella speranza che qualcuno le colleghi poi ad un dispositivo aziendale.

Come difendersi dal Social Engineering

Nonostante gli attacchi basati sul Social Engineering mettano a dura prova la resistenza dei più raffinati sistemi di sicurezza, le imprese possono comunque contenere i rischi attraverso svariate azioni di sensibilizzazione sull’argomento.

In tal senso, una formazione precisa e costante nel tempo è caldamente raccomandata per qualsiasi genere di azienda. Esistono moltissimi corsi formativi che dimostrano come gli hacker possono facilmente ingannare i dipendenti. Queste attività formative aiutano i lavoratori a difendersi dai cyberattacchi e a comprendere perché il loro ruolo sia di vitale importanza per la società.

Che sia in modalità fisica o a distanza, la formazione deve dare agli utenti nuove competenze e metodi per prevenire questi attacchi e sapere come reagire in tali situazioni critiche. Soltanto in questo modo si può costruire una vera cultura della sicurezza informatica, diventando diffidenti e prestando attenzione alle email che chiedono pagamenti o accesso ai dati.

Le imprese dovrebbero impostare delle puntuali procedure preventive per aiutare i dipendenti a prendere le decisioni più giuste. Di seguito abbiamo alcune delle best practice da implementare:

• Gestione delle password: è bene definire delle linee guida sull’impostazione delle password, come il tipo e numero di caratteri e con che frequenza cambiare la password. Magari si può imporre una semplice regola per la quale i dipendenti non devono divulgare la chiave d’accesso a nessuno, indipendentemente dal ruolo aziendale;
• Autenticazione a più fattori: l’autenticazione ai servizi di rete a rischio elevato, come VPN e gruppi di modem, dovrebbe includere un’autenticazione a più fattori in sostituzione delle password fisse;
• Difese antiphishing: diversi livelli di difesa per le caselle email possono abbassare al minimo il rischio di phishing e altri attacchi di Social Engineering.