Cos’è il social engineering?

Il social engineering, o ingegneria sociale, è una tecnica di persuasione che utilizza una forma di manipolazione psicologica per indurre te o i tuoi dipendenti a compiere azioni o a rivelare informazioni confidenziali.

Nell’ambito della sicurezza informatica, l’attaccante che utilizza tecniche di Social Engineering agisce avendo come target l’utente finale, che all’interno della tua azienda è dotato di alcuni privilegi e non è necessariamente protetto da infrastrutture tecniche.

Questi attacchi sfruttano le emozioni e la vulnerabilità dell’utente finale: generalmente avvengono tramite comunicazioni che suscitano urgenza, paura, deferenza. L’azione della vittima ingannata talvolta apre una porta che permette all’attaccante di entrare nel sistema per effettuare un attacco di grossa entità.

I sei principi della Persuasione

La persuasione, su cui si basa il Social Engineering, è stata studiata ampiamente dallo psicologo Robert Cialdini, il quale ne ha individuato sei principi chiave, scientificamente validati.
Ecco una sintesi dei sei principi analizzati e come le persone che lavorano nella tua azienda possono essere manipolate da un attaccante che li sfrutti a suo vantaggio:

  1. Reciprocità: la tendenza a essere persuasi da un messaggio che contiene un dono, un favore, ci fa sentire in debito e porta a restituire il favore, o comunque a rispondere al messaggio.
    Esempio: un’offerta o una promozione personalizzata che richiede il click su un link per essere attivata.
  2. Impegno e coerenza: se le persone si impegnano, anche solo a eseguire un’azione per un piccolo obiettivo, saranno successivamente più propense a perseguire quell’obiettivo.
    Esempio: una richiesta di partecipare a una campagna di sensibilizzazione, prima attraverso azioni minime e che non richiedono sforzi e poi gradualmente, istaurandosi una fiducia e un impegno verso la fantomatica associazione, vengono richieste informazioni riservate o donazioni.
  3. Emulazione: le persone tendono a conformarsi al comportamento altrui, soprattutto se non sanno come ci si debba comportare in una determinata situazione o se si sentono in difetto.
    Esempio: comunicazione che ti mette in guardia da un pericolo che avrebbe già colpito aziende simili alla tua o che ti offre un’opportunità (truffa) che i tuoi colleghi avrebbero già colto, o i tuoi competitor avrebbero già sfruttato.
  4. Autorità: una fonte autorevole è più convincente e genera una pressione psicologica maggiore che porta spesso a compiere azioni avventate.
    Esempio: una mail o una telefonata che sembrerebbe provenire dalla banca, dalla polizia, dall’amministratore delegato, dal reparto IT o da un ufficio legale.
  5. Gradimento: una comunicazione che proviene da una figura piacente è più persuasiva; questa persona può piacere per l’aspetto o perché condivide con l’interlocutore degli interessi o dei valori, o perché l’interlocutore si sente apprezzato, ascoltato, desiderato.
    Esempio: attraverso una breve ricerca sui social media è facile desumere quali siano le preferenze musicali, politiche, estetiche, ideologiche di molte persone. Questo può servire all’attaccante per recitare una parte che abbia affinità con le attitudini della vittima e in cui si possa facilmente identificare.
  6. Scarsità: se una risorsa è poco disponibile, rara, diventa più desiderabile. Su questo meccanismo si basa il marketing dei prodotti esclusivi o limitati.
    Esempio: viene prospettata la possibilità di ottenere un’informazione, un prodotto o un accordo esclusivo e che porterebbe a un concreto miglioramento nel proprio lavoro rispetto ai colleghi o per l’azienda rispetto alla concorrenza.

Quali sono le tipologie di attacco?

Le tecniche utilizzate sono le più disparate e con il continuo evolversi di internet questa varietà non potrà che aumentare. Il fattore comune di tutte queste strategie è che sfruttano i principi sopraelencati, vediamo brevemente le tecniche di attacco più comuni:

  • Phishing: viene inviato un grande quantitativo di mail di contenuto generico a una moltitudine di indirizzi con la speranza che qualcuno abbocchi all’esca. Ad esempio, vengono mandati messaggi che sembrano provenire dall’agenzia dell’entrate o da Amazon, se qualcuno sta casualmente aspettando una comunicazione di questo tipo sarà più propenso a ritenere che il messaggio sia autentico e personale.
  • Spear Phishing: l’attaccante si concentra su una singola organizzazione e crea delle mail che utilizzando i sei principi sopracitati possano trarre in inganno un membro della stessa, per ottenere l’accesso alla rete aziendale.
  • Pretexting: l’attaccante, essendosi spacciato per fonte autorevole, chiede all’interlocutore di confermare la sua identità, per poter continuare la chiamata o la conversazione e-mail. Nello scenario più comune chi chiama si spaccia per la banca o l’internet provider e richiede informazioni personali per accertarsi dell’identità del cliente.
  • Scareware: l’utente finale visualizza dei finti messaggi che lo spaventano e lo inducono ad un’azione. Nel caso tipico si tratta di messaggi che spaventano riguardo la presenza di virus nel computer e inducono a scaricare un antivirus, che in realtà non è altro che un malware.
  • Baiting: viene lasciata un’esca incustodita all’interno dell’azienda, ad esempio una chiavetta usb infetta, con la speranza che qualcuno per curiosità la inserisca in un dispositivo, infettando così l’intera rete.
  • Quid pro quo: l’attaccante effettua delle chiamate con la speranza di inserirsi in una conversazione, spacciandosi per un interlocutore dell’azienda. Un metodo può essere iniziare la conversazione con frasi come “mi scusi è caduta la linea”, con la speranza di una coincidenza. Oppure spacciandosi per un cliente o per un fornitore attraverso un’informazione reperita precedentemente dall’attaccante.

Come difendersi dal Social Engineering?

Dato che l’ingegneria sociale agisce direttamente sull’utente finale bypassando i sistemi di sicurezza, un buon modo per contrastarla consiste nell’organizzare una formazione rivolta a tutto il personale. La formazione esclusivamente tecnica ha però il limite di essere molto limitata rispetto a un ventaglio di minacce in continua espansione.

Più utile è una formazione che aiuti ogni partecipante:

  1. a riconoscere le situazioni a rischio
  2. a costruirsi un metodo efficace, che lo guidi nel proprio ragionamento e comportamento all’interno della propria realtà lavorativa.

Affinché questo metodo possa essere realmente efficace nel tempo deve essere introiettato, continuamente rielaborato e applicato in maniera flessibile a situazioni diverse.

Scarica

Scarica la nostra guida gratuita “FATTORE UMANO E CYBER SECURITY”

con i 10 comportamenti dei tuoi dipendenti che mettono a serio rischio la tua azienda per prevenire truffe informatiche come questa.
Scarica