Poche cose corrono più in fretta dell’evoluzione digitale, che va sempre più sostituendo la mente e la mano dell’uomo con quella della macchina.
Ad oggi è però ancora impossibile considerare la mente artificiale del tutto indipendente ed è quindi impensabile eludere completamente gli errori umani.L’ingegneria sociale è proprio la pratica, molto comune, di sfruttare debolezze e ignoranze dell’uomo umano per avviare e/o eseguire un attacco informatico.
Partiamo dai dati
L’82% degli attacchi cyber riportati nel 2022 nel Data Breach Investigations Report di Verizon sono stati perpetrati, almeno in parte, sfruttando debolezza e ignoranza umana, attuati quindi attraverso una forma di social engineering.
Vediamo le forme di social engineering frequentemente utilizzate e le best practice per limitarne l’efficacia all’interno dell’azienda.
Secondo la definizione del dizionario, l’ingegneria sociale (chiaramente nel contesto della sicurezza informatica) è “l’uso dell’inganno per manipolare gli individui e indurli a divulgare informazioni riservate o personali che possono essere utilizzate per scopi fraudolenti”.
Tra i vari tipi di attacco attribuibili a questa definizione abbiamo lo spamming di massa nelle caselle di posta elettronica con tentativo di phishing.
Si pensi ai consumatori che cliccano su un link a un sito web dannoso o che aprono un file allegato infetto: inserendo informazioni personali possono essere esposti allo sfruttamento criminale dei loro dati.
“È qualcuno che finge di essere un marchio, un’azienda o una persona di cui ci si fiderebbe di più […].
Le azioni desiderate sono spesso l’avvio di un programma dannoso, la fornitura di password di accesso o di contenuti riservati (ad esempio, numero di previdenza sociale, informazioni bancarie, ecc.).”
Roger Grimes, data-driven defense evangelist
Ma perché sociale?
È presto detto: il cyber criminale utilizza manipolazione psicologica e specifiche tecniche di persuasione per indurre l’utente a compiere azioni o a divulgare informazioni personali riservate.
Molti tentativi di social engineering avvengono tramite e-mail, ma non solo. Non vanno sottovalutati gli attacchi tramite messaggi SMS, siti web, social media, telefonate o addirittura di persona.
Come sottolinea Manos Gavriil, responsabile dei contenuti della società di formazione in hacking Hack The Box, il social engineering è considerato la minaccia numero uno nella cybersecurity non solo perché sfrutta l’errore umano individuale e per questo complicatissima da fermare, ma anche perché, nonostante la sua semplicità di forma e attuazione, può provocare danni di un impatto devastante in chi subisce l’attacco.
Scendiamo nel dettaglio: tecniche e modalità in cui l’ingegneria sociale si realizza
⁃ Pretexting: attraverso una falsa presentazione dell’identità o del contesto si fa credere a un bersaglio di dover condividere dati sensibili o intraprendere un’azione compromettente. Questo è il metodo più comune dell’ingegneria sociale.
⁃ Adescamento: l’adescatore offre una falsa promessa per ingannare la vittima, rubare informazioni sensibili o infettare l’organizzazione con un malware.
⁃ Phishing: l’aggressore invia grandi volumi di e-mail, senza avere in mente un obiettivo specifico, con la speranza che almeno uno dei link o degli allegati dannosi venga cliccato dalla vittima per avere accesso a informazioni sensibili. La speranza è che l’utente possa farsi prendere dal panico o essere infastidito dal numero di notifiche che gli arrivano e che, per uno di questi due motivi, compia l’azione.
⁃ Spear phishing: mascherandosi da mittente noto o fidato, l’aggressore invia a una vittima specifica un messaggio di phishing mirato e solitamente confezionato personalmente. L’aggressore può raccogliere dati preziosi da LinkedIn, Facebook e altre piattaforme per apparire più autentico.
⁃ Whale phishing: si tratta di un tipo di phishing rivolto a un obiettivo di alto valore, un dirigente di alto livello o un impiegato finanziario chiave. Per questo tipo di attacco vengono utilizzate tecniche sempre più sofisticate.
L’aggressore ha precedentemente raccolto informazioni sull’obiettivo e sull’organizzazione, riuscendo in questo modo a presentare un pretesto credibile. Lo scopo è sempre lo stesso: raggiungere informazioni sensibili o far fare un’azione finanziaria.
⁃ Vishing o smishing: si tratta di un tentativo di phishing effettuato tramite una chiamata vocale o un SMS.
⁃ Compromissione della posta elettronica aziendale (BEC): il criminale informatico compromette un account di posta elettronica aziendale e impersona il proprietario per ingannare qualcuno della cerchia dell’azienda per indurlo a inviare denaro o dati sensibili all’account in quel momento in mano aggressore.
⁃ Pharming: il codice viene inserito in un computer o in un server per deviare o ingannare l’utente a visitare un sito web dannoso.
⁃ Tailgating o piggybacking: un malintenzionato ottiene l’accesso fisico alla struttura protetta di un’organizzazione, seguendo da vicino un dipendente o un altro utente autorizzato che ha utilizzato una credenziale per superare la sicurezza.
⁃ Dumpster diving: si tratta di un altro attacco in un luogo fisico, in cui il criminale setaccia la spazzatura di un’organizzazione per trovare informazioni che può utilizzare per avviare un attacco.
I criminali informatici spesso fingono di appartenere a un’organizzazione fidata: il fornitore di energia, la banca o il reparto IT della persona obiettivo e creano scenari estremamente attendibili non solo nel contesto ma anche nella forma; utilizzano i loghi delle istituzioni, creano indirizzi e-mail simili a quelli ufficiali.
Lo scopo è uno: ottenere fiducia e ovviamente, indurti a condividere informazioni sensibili.
L’estrapolazione di dati avviene spesso con un approccio minaccioso, il criminale cerca di adescare la vittima con l’avvertimento che, se non verrà compiuta una determinata azione, al più presto ci sarà una conseguenza negativa indesiderata, che sia il blocco permanente del conto, una multa, una visita delle forze dell’ordine o altro.
Gli attacchi di social engineering fanno molta leva sulla crisi attuale: le persone diventano più vulnerabili allo sfruttamento da parte di malintenzionati opportunisti quando i bilanci si restringono.
Che si tratti di messaggi di testo che offrono false bollette dell’energia e sconti fiscali o di un aumento delle truffe bancarie online, si gioca sui timori delle persone riguardo alle finanze personali.
10 best practices per individuare e prevenire gli attacchi di Social Engineering
Il compito che ci poniamo come azienda è quello di diffondere consapevolezza, vogliamo quindi darvi delle dritte fondamentali da seguire per sventare i tentativi di social engineering all’interno di un’organizzazione:
1 • Fate formazione sulla sicurezza.
È forse la pratica fondamentale per prevenire i danni da social engineering.
La formazione deve essere effettuata a intervalli regolari e deve istruire gli utenti su come individuare il social engineering.
2 • Sottoponete regolari test di risposta alle minace ai dipendenti.
Prima di iniziare la formazione sulla sicurezza, i test di base possono determinare la percentuale di utenti che cadono vittime di attacchi simulati. I test successivi alla formazione misurano invece il successo della campagna educativa. È chiaro che per ottenere una misura corretta della consapevolezza degli utenti, le simulazioni o le campagne non dovrebbero essere annunciate in anticipo.
3 • Promuovete una cultura di consapevolezza pervasiva.
Se si crea la giusta cultura, si finisce per avere un firewall umano che protegge l’organizzazione dagli attacchi. Una formazione e dei test ben eseguiti possono contribuire a creare una cultura di sano scetticismo, in cui tutti vengono istruiti a riconoscere un attacco di social engineering.
4 • Rendete facile segnalare tentativi e violazioni.
I sistemi devono consentire al personale di segnalare facilmente potenziali e-mail di phishing e altre truffe all’help desk, all’IT o alla sicurezza. Un esempio? Un pulsante di allarme phishing può essere inserito direttamente nel programma di posta elettronica aziendale.
5 • L’importanza dell’autenticazione a più fattori (MFA).
La richiesta di più credenziali di verifica dell’identità è un modo per evitare che gli attacchi di primo livello vadano oltre. Con l’MFA, gli utenti possono ricevere un messaggio di testo sul telefono, inserire un codice in un’app di autenticazione o verificare in altro modo la propria identità con diversi mezzi.
6 • L’importanza dell’analisi del comportamento degli utenti e delle entità (UEBA) per l’autenticazione.
Oltre all’MFA, è necessario utilizzare una tecnologia di autenticazione aggiuntiva in grado di riconoscere posizioni anomale, orari di accesso e simili e in questo modo, se viene utilizzato un nuovo dispositivo per accedere a un determinato account, verranno attivati avvisi e avviate ulteriori fasi di verifica.
7 • Tenere sotto controllo gli account amministrativi e di accesso privilegiato.
Una volta che un malintenzionato ottiene l’accesso a una rete, il passo successivo è spesso quello di cercare un account di accesso amministrativo o privilegiato da compromettere, è per questo particolarmente importante che tali account siano concessi solo in base alle necessità e che vengano controllati con maggiore attenzione per evitare abusi.
8 • Utilizzate gateway di posta elettronica sicuri.
Anche se non sono ancora perfetti, i gateway di posta elettronica sicuri riducono il numero di tentativi di phishing e di allegati dannosi che raggiungono gli utenti.
9 • Mantenete aggiornati i rilasci di antimalware, le patch e gli aggiornamenti del software.
Mantenere aggiornate le versioni, le patch e gli aggiornamenti riduce sia i tentativi di social engineering malevoli che raggiungono gli utenti, sia i danni che si verificano quando gli utenti cadono in un inganno o fanno un clic errato.
10 • Se non volete investire e implementare tutto questo, disconnettetevi.
È l’unico modo per garantire al 100% la libertà dagli attacchi informatici è eliminare tutti gli utenti dal web, smettere di usare la posta elettronica e non comunicare mai con il mondo esterno.
Cyber Crime nel mondo industriale: quali sono le sfide?
La minaccia cyber è un grave problema anche per l’Industria 4.0, ormai iper-digitalizzata e molto esposta: PLC, HMI e SCADA sono il cuore dell’Industry 4.0, ed è per questo che sono un bersaglio allettante per gli hacker.
Nonostante questo non si investe abbastanza nella protezione delle tecnologie OT e i sistemi di controllo sono un vero un tallone d’Achille dal punto di vista informatico.
Evidente che gli attacchi cyber al mondo industriale rappresentano un fenomeno che ha oramai raggiunto dimensioni epocali e noi siamo sicuri che la sicurezza del prodotto non possa essere garantita in futuro senza una adeguata protezione.
Per proteggere i complessi sistemi industriali non bastano le accortezze sopracitate, è necessario un approccio più all’avanguardia e un sostegno altamente specializzato che sia in grado di rendere sistemi e componenti adeguati agli standard di sicurezza necessari. Leggi un caso reale.
Le strategie di contrasto, in questo caso, partono da una attenta analisi della minaccia, includendo poi questi punti:
- Impiego di personale qualificato
- Attenzione agli errori e alle disattenzioni interne
- Adozione di tecnologie di security
- Specificità dei requisiti contrattuali dei clienti
- Implementazione di standard di conformità, nello specifico dello standard IEC 62443
Hai bisogno di supporto per analizzare la Cyber Security della vostra infrastruttura OT?
Torna all'elenco degli articoli
