Social Engineering

Social Engineering

In una società dove spopolano nuove risorse tecnologiche, finanziarie e umane con eccellenti risultati, purtroppo avanzano anche nuovi rischi. Minacce di varia natura e molto pericolose, dalle quali stare molto attenti. Pericoli che potrebbero soprattutto intaccare la solidità di un’azienda perché vere e proprie minacce per l’intera organizzazione di lavoro. Qualche volta sarà capitato di aver sentito parlare di Social Engineering, un termine non proprio di uso comune e del quale spesso si ignora completamente il significato. Eppure, negli ultimi tempi, la pratica del Social Engineering si sta velocemente diffondendo con potenziali gravi ripercussioni. Passiamo allora a vedere di seguito di cosa si tratta, le modalità di applicazione e le possibili difese.

Il Social Engineering è una forma di attacco cyber particolarmente sofisticata, capace di colpire direttamente i lavoratori di un’organizzazione aziendale. La traduzione letterale in italiano “ingegneria sociale” concede poco spazio all’interpretazione, in quanto lascia ben comprendere la natura di tale minaccia. Una minaccia alla sicurezza di un’azienda che velocemente si sta diffondendo, in parole semplici si può associare a una vera e propria arte messa in pratica per la manipolazione delle persone. Una pratica diversa da altre forme di minacce perché il Social Engineering non punta a sfruttare le falle dei sistemi tecnologici, bensì le ingenuità e le debolezze delle persone. Quindi, sotto certi aspetti, ancora più pericolosa e sicuramente infida.

Da queste prime righe si capisce bene come il Social Engineering (ingegneria sociale), sia una tecnica di attacco messa in campo attraverso lo studio dei comportamenti degli individui, con lo scopo reale di riuscire a ottenere delle informazioni confidenziali. Una tecnica basata principalmente sulla psicologia delle persone per sfruttare la fiducia acquisita. L’obiettivo della pratica del Social Engineering punta quindi a trarre profitto dalle vulnerabilità delle persone, al fine di acquisire confidenziali informazioni (es. password e informazioni finanziarie). Ancora peggio quando il Social Engineering ha come obiettivi l’estorsione di denaro e i furti di identità. In tutti i casi, per portare a termine e conseguire le proprie finalità, prima di realizzare l’attacco finale, il criminale effettua precisi studi sulla vittima individuata. Ne studia i comportamenti, la personalità e persino le relazioni umane, uno studio approfondito e naturalmente mirato al raggiungimento di precise finalità. Sotto la lente di ingrandimento di questi criminali spesso non sono le singole persone, ma intere organizzazioni di lavoro. Stiamo parlando di possibili attacchi alle aziende, in questi casi oggetto dello studio dei criminali sono le raccolte delle informazioni riferite a un’azienda nel suo complesso e i dati personali dei lavoratori dipendenti. Una volta finito lo studio di “settore”, l’attacco è pronto per essere sferrato. Non ci vuole quindi tanto a capire i rischi di un attacco del genere, in termini di possibili danni finanziari e di credibilità, per un’azienda.

Negli ultimi decenni ogni unità organizzativa di lavoro ha fatto sforzi sotto ogni punto di vista per tutelarsi contro i rischi di un attacco informatico. Negli anni sono state impiegate ingenti risorse umane ed economiche per garantire adeguati livelli di protezione alle aziende, con hardware e software all’avanguardia. Intanto, però, parallelamente agli attacchi informatici sono state sviluppate dai malintenzionati altre tecniche, minacce altrettante pericolose come, appunto, il Social Engineering. Una speciale tecnica che può manifestarsi in vari modi, un motivo in più per alzare il livello di attenzione. L’ingegneria sociale si può presentare dunque con differenti modalità, studiate a tavolino per catturare specifiche informazioni. In tale logica, è necessario capire su quali canali si basano i criminali per ingannare le vittime. Trattasi di canali usati frequentemente dalle vittime predestinate come cellulari, posta elettronica, siti internet, social media, etc. Stiamo parlando di strumenti di uso comune e giornaliero, dove viaggiano milioni e milioni di dati e informazioni.

Per ultimare gli attacchi, una volta studiate le abitudini e le relazioni delle vittime, esistono anche differenti metodi. Ecco un elenco dei principali:

phishing:
uno dei metodi sicuramente più comuni tra quelli usati con la pratica del Social Engineering. Consiste in un tentativo di frode per rubare le informazioni personali attraverso la posta elettronica. In questo caso, i malcapitati, aprendo un link apparentemente innocuo, possono cadere nelle trappola inserendo le proprie credenziali. Generalmente i mittenti di tali email per essere credibili fingono di appartenere a note organizzazioni (es. istituti bancari), con la scusa di richiedere agli utenti dei dati personali ai fini della risoluzione di un problema riscontrato. Email all’apparenza attendibili, che invece nascondono seri rischi. Inoltre, il phishing, sfrutta anche altri mezzi come gli attacchi attraverso SMS oppure tramite WhatsApp;

baiting:
una tecnica subdola che punta a incuriosire le vittime. In buona sostanza, l’hacker lascia volontariamente incustodito qualche supporto di memorizzazione (es. chiavette USB) che contiene un pericoloso codice, con lo scopo di spingere la vittima a inserire nel proprio PC il dispositivo elettronico. Ecco, in questa maniera meschina l’hacker si procura l’accesso alla rete di un’azienda;

pretexting:
si tratta della classica truffa telefonica. Il malcapitato viene contattato via telefono da un interlocutore che si finge, ad esempio, un dipendente di un pubblico ufficio, con lo scopo di ottenere fondamentali informazioni;

trashing:
una tattica particolare tramite la quale le informazioni vengono cercate tra la spazzatura delle persone. In questo caso i criminali provano a reperire i dati sensibili delle vittime setacciando estratti conti, bollette e altri documenti.

Da quanto illustrato finora, è facilmente comprensibile come il Social Engineering sfrutti la componente umana di un’organizzazione di lavoro. Tra le ragioni principali di questo accanimento, la mancata formazione del personale relativamente alle minacce dei cyber criminali. Perciò non serve tanto l’uso di sistemi sofisticati, quanto invece saper trasmettere ai dipendenti una vera e propria cultura in materia di sicurezza. Stimolare cioè le sensibilità delle persone in merito all’importanza da dare alla sicurezza e alla privacy di un’azienda.

In tale direzione occorre una formazione continua e adeguata, una maniera opportuna per dare ai dipendenti maggiore consapevolezza dei rischi potenziali da parte dei cyber criminali. Una formazione completa mirata a preparare le persone non solo per prevenire gli attacchi, ma anche per una pronta reazione al cospetto di casi di criticità. Così da creare nell’ambito del campo di lavoro una cultura tale da rispondere correttamente al bisogno di sicurezza. Oggi più che mai un risultato da raggiungere e perseguire con ogni mezzo, visti i numerosi e differenti pericoli.

Info sull'autore

Andrea Masella author