Cos’è l’ingegneria sociale
L’ingegneria sociale è un metodo per carpire informazioni personali che riunisce una serie di tecniche rivolte a spingere le persone a confidare password e dati di accesso a computer o aree riservate.
Lo scopo ultimo della pratica è il furto di informazioni di business oppure installare segretamente software dannosi. Giocando con la psicologia e lo stato emotivo di una persona è relativamente facile entrare in possesso di informazioni riservate che in contesti normali non si confiderebbero alla leggera.
L’ingegneria sociale (dall’inglese social engineering), nel campo della sicurezza informatica, si basa sullo studio del comportamento di una persona al fine di individuare i suoi punti deboli e utilizzare la tecnica migliore per carpire informazioni utili all’attaccante.
È stato provato che l’anello debole di qualsiasi catena di sicurezza informatica è rappresentato dagli esseri umani; l’attaccante cerca quindi di sfruttare tale anello debole facendo appello a sue personalissime caratteristiche, al fine di spingere le persone a rivelare determinate informazioni o consentire l’accesso a un sistema informatico. L’ingegneria sociale è quindi una tecnica molto usata da parte di hacker esperti e spie.
Trovare il punto di cedimento di una persona è di fatto un’arte, alcune persone reagiscono all’autorità o al senso di urgenza, altre hanno bisogno di comprensione, per altre ancora la leva giusta è la paura o l’imbarazzo. Se ne possono trovare vari esempi in video in rete, uno fra tutti utilizza l’imbarazzo creato da una intervista improvvisata per strada che porta, attraverso una serie di domande, le persone a rivelare senza rendersene conto la propria password. Una persona che voglia sfruttare l’ingegneria sociale quindi deve saper fingere per ingannare gli altri sulla propria identità ed essere in grado di cogliere i segnali.
Come si struttura l’attacco
L’attacco di tipo informatico inizia con la raccolta di informazioni sulla vittima per cercare di ricavare tutti gli indizi più utili per capire il bersaglio: e-mail, recapiti telefonici, account social personali ed aziendali. Dopo aver raccolto sufficienti informazioni l’attaccante cercherà di verificare se sono attendibili, ad esempio telefonando in azienda e chiedendo della vittima designata.
Se la vittima prescelta è una società a cui rubare denaro o segreti industriali i bersagli prediletti saranno gli assistenti degli Amministratori, poiché hanno accesso diretto alle informazioni più riservate ma sono allo stesso tempo sensibili all’autorità.
Sono molte le tecniche utilizzate dagli esperti di social engineering, una delle più comuni è phishing ovvero un attacco e-mail subdolo che spinge l’utente a rivelare informazioni personali o a fare una determinata azione.
Un tipo di attacco di phishing che sta prendendo molto piede è il BEC (Business Email compromise), in cui si riceve una richiesta di effettuare un movimento di denaro da un attaccante che mira ad impersonare un contatto di cui ci si fida.
Un esemplare caso di attacco
Nell’articolo di esempio ad un dirigente di Confindustria Bruxelles era arrivata una richiesta dalla Presidente di effettuare un movimento di denaro. Il bersaglio, spinto dalla fonte apparentemente certa e indiscutibile e dal senso di urgenza che portava il messaggio, ha provveduto ad eseguire il bonifico su un conto poi rivelatosi falso. In questo caso la combinazione di attribuzioni della persona e dell’uso dell’autorità ha funzionato alla perfezione.
La strategia migliore per difendersi dagli attacchi di ingegneria sociale è essere diffidenti: qualsiasi e-mail contenente un consiglio o aiuto non richiesto dovrebbe essere valutato con attenzione, specialmente se richiede collegarsi ad un link o di fare qualcosa di molto urgente bypassando dei controlli o senza poter chiedere conferma della validità dell’operazione.
Allo stesso modo, qualsiasi richiesta di fornire password o dati finanziari è indubbiamente una truffa, in quanto gli istituti legittimi non richiedono mai alcuna password né a mezzo e-mail né per telefono. Inoltre, ricordarsi sempre di verificare l’indirizzo mail di qualsiasi e-mail sospetta ricevuta, per assicurarsi che si tratti di un indirizzo legittimo.
Action to do
- Test di efficacia delle misure di sicurezza “Audit”
- Formazione del personale
- Security Awareness
