Blog

Attacchi di ingegneria sociale: quali sono i rischi per le aziende

Gli attacchi di ingegneria sociale puntano a violare la sicurezza informatica delle aziende facendo leva sul punto più debole di qualsiasi sistema di sicurezza: il fattore umano.
Facendo appello a diversi elementi della psicologia umana (curiosità, incentivi, paura di sbagliare, desiderio di essere utile) gli hacker riescono a ottenere l’accesso a informazioni aziendali più frequentemente di quanto si possa credere, spesso grazie alla mancanza di piani di efficaci security awareness, soprattutto nelle PMI.

Anche se la manipolazione sociale non è un concetto nuovo, le nuove tecnologie permettono ai criminali informatici di creare sofisticati trucchi digitali di manipolazione, con l’obiettivo di accedere a tutte le informazioni a cui sono interessati semplicemente convincendo qualche ignaro dipendente a fornirgliele!
L’ingegneria sociale (nota anche come human-hacking) si basa sulle tattiche di base della fiducia (e dell’inganno), e rappresenta in molti paesi oltre il 90% degli attacchi informatici, quindi notevolmente superiore ai malware.

Il Phishing è in aumento

Secondo il rapporto Clusit (Associazione italiana per la sicurezza informatica) 2022 nel 2021 gli attacchi di Phishing/Social Engineering sono cresciuti del 63,8% rispetto all’anno precedente.

I principali attacchi di ingegneria sociale

Gli attacchi utilizzano alcune tattiche comuni, ma variano le modalità e i mezzi, ecco i più diffusi che colpiscono le aziende, in particolare quelle che non implementano adeguati sistemi di cybersicurezza.
La maggior parte di queste truffe rientra nello stesso tema: fingere di essere una persona o una risorsa legittima.

Phishing

Il phishing è tra i crimini informatici più conosciuti, e sta avendo sempre più successo, sia a causa di un’errata percezione e sottovalutazione dei rischi, sia perché consiste nel semplice utilizzo di e-mail per indurre il dipendente bersaglio a inserire informazioni sensibili, o a cliccare su un link che lo espone a un malware.
I dati mostrano che il 30% delle e-mail di phishing è stato aperto dal destinatario e il 12% degli utenti ha cliccato su allegati dannosi che hanno permesso agli aggressori di violare un’organizzazione.
Tipici segnali di allarme per gli attacchi di phishing sono un’e-mail con un link sospetto o un’e-mail che richiede informazioni sensibli come quelle finanziarie o di accesso alla Intranet aziendale, oppure proveniente da un “dipendente” che non si conosce.
Ecco i diversi tipi di phishing:

  1. Spear-phishing: questo tipo di minaccia prende di mira una persona specifica, come un amministratore di sistema o un responsabile IT, e studia le informazioni su di loro per personalizzare l’attacco via e-mail, rendendolo più credibile agli occhi dei colleghi, che se non formati adeguatamente consentono ai criminali informatici di accedere ai loro dati.
  2. Whaling: a differenza del phishing tradizionale, il whaling è una forma di attacco molto più mirata e ha un obiettivo più specifico. Il whaling prende di mira i dipendenti di alto livello, come i dirigenti e gli amministratori delegati, in pratica chiunque abbia accesso a dati preziosi. Prendendo di mira i membri di alto valore di un’organizzazione, l’hacker otterrà probabilmente l’accesso alle informazioni dell’intera azienda, oltre alla possibilità di impersonare i membri più legittimi dell’azienda.
  3. Voicemail phishing e SMS phishing: qui la truffa avviene per telefono, il truffatore chiama l’obiettivo al telefono fingendo di essere della sua banca o di un ente pubblico, quindi chiederà informazioni con l’obiettivo di recuperare i dati personali dell’utente per rubare denaro o dati.

Baiting

Nelle caselle di posta elettronica dei dipendenti arrivano sempre più spesso articoli su software gratuiti o in “offerta speciale”,
e spesso le persone non sanno resistere alla tentazione del gratis, in particolare quando si tratta di software.
I rischi derivano dalla potenziale visita di siti web dannosi, che potrebbe portare l’utente a scaricare un software infetto o compromesso.
Il rischio aumenta quando i dipendenti visitano siti che offrono software “in bundle”, questo significa che potrebbero dover scaricare un software aggiuntivo di cui non hanno nemmeno bisogno, solo per aver quello a cui sono interessati.

I dipendenti dovrebbero verificare se l’azienda ha già una licenza per il software. In caso contrario, visitare il sito web del fornitore del software è un modo semplice ma efficace per assicurarsi che il software sia effettivamente disponibile e che si stia scaricando da una fonte legittima.


Quid Pro Quo

La tecnica del quid pro quo si basa su uno scambio, ma comporta anche un elemento di falsa personificazione.
Uno dei tipi più comuni di quid pro quo prevede che un criminale si spacci per un dipendente del servizio IT, e chiamerà il maggior numero di numeri diretti che appartengono all’azienda che vuole colpire.
L’aggressore offrirà assistenza informatica a ogni vittima e, una volta che la vittima avrà accettato, le verrà richiesto di disabilitare il proprio programma di sicurezza.
In questo modo il falso assistente IT avrà l’accesso per installare qualsiasi software dannoso o di monitoraggio remoto.
Le tecniche sono diventate molto complesse e possono utilizzare Deepfake audio e video generati dall’intelligenza artificiale.

Watering hole

Si tratta di un metodo di ingegneria sociale più complesso, che prevede l’utilizzo di un sito web legittimo e ben conosciuto.
Gli hacker scoprono quali siti web i dipendenti dell’azienda che vuole attaccare visitano spesso, uno di questi che magari non ha elevati sistemi di sicurezza, diventerà il “watering hole” da cui iniziare l’attacco.
L’hacker infetterà il “watering hole” con un malware, e questo codice reindirizzerà l’obiettivo prescelto a un sito web separato, dove è ospitato il malware. Il sito web compromesso è ora pronto a infettare i computer dei dipendenti con il malware direttamente al loro accesso.

Pretexting

Il pretexting è un altro attacco basato sulla fiducia, ed è una forma di personificazione che si basa sulla mancanza di capacità dell’utente finale di distinguere se si tratta di una fonte legittima.
Di solito si tratta di una chiamata telefonica, in cui un malintenzionato può ad esempio fingere di essere un cliente che ha bisogno di accedere a informazioni private.
L’utilizzo di un’identità falsa è diventato più facile con la presenza di un maggior numero di mezzi di comunicazione digitali, e diventa più difficile riconoscere un profilo sociale, un chiamante o un indirizzo e-mail legittimi.
È quindi sempre importante accertarsi di sapere con chi si sta comunicando, prima di inviare informazioni sensibili.

Tattiche per prevenire gli attacchi di social engineering in azienda

Per le aziende è fondamentale cercare di prevenire il rischio di frode tramite social engineering, perché le tattiche sono in continua evoluzione e diventano sempre più sofisticate, quindi è importante aggiornarsi e conoscere le tecniche attuali.
Ecco alcuni suggerimenti per la protezione in azienda.

Formazione di sensibilizzazione alla sicurezza

Il modo più semplice ed efficace per combattere la minaccia degli attacchi di social engineering, passa necessariamente attraverso la sensibilizzazione dei dipendenti. Se sono formati e consapevoli dei diversi tipi di truffe di social engineering saranno molto meno suscettibili di divulgare inconsapevolmente dati sensibili. La formazione sulla sicurezza e la cultura informatica per i team aziendali ridurrà drasticamente la suscettibilità al social engineering, il rischio di manipolazione e le relative conseguenze. Si possono implementare protocolli specifici, tra cui il doppio controllo, il metodo Dmarc per l’autenticazione delle mail, la separazione dei compiti e la verifica in due fasi per le attività che comportano l’accesso a informazioni sensibili o alle finanze aziendali.

Efficace politica di sicurezza informatica

I dipendenti a tutti i livelli dell’azienda dovrebbero disporre di una serie di chiare ed esaustive linee guida che specifichino come prevenire gli attacchi informatici, e come comportarsi praticamente se ne subiscono uno. La policy dovrebbe anche includere le best practices di sicurezza e altre forme di impegno, come limitare le informazioni condivise pubblicamente come specifiche sulle mansioni lavorative. Le descrizioni delle mansioni che sono disponibili pubblicamente devono essere riviste per assicurarsi che non siano incluse informazioni sensibili.

Simulazioni regolari di phishing

Il phishing è il tipo di crimine informatico più comune, esiste da molto tempo e continua a ingannare le persone ogni giorno. Effettuare regolarmente simulazioni di phishing sul posto di lavoro consente di educare i dipendenti senza il rischio di perdere dati preziosi. Permette di vedere se ci sono pericolose tendenze e quali dipendenti cadono negli attacchi di phishing.

Related Posts

Back To Top