L’arte del raggiro informatico oggi assume una nuova forma, il social engineering, un tipo di attacco che non si basa su algoritmi complessi o codici impenetrabili, ma sfrutta la fiducia delle persone.
Il social engineering è infatti la capacità di indurre le vittime a rivelare informazioni riservate o compiere azioni rischiose per la sicurezza aziendale.
In pratica, prende di mira l’individuo con tattiche che fanno leva su emozioni di paura o urgenza.
Gli attacchi assumono varie forme, e la minaccia digitale è particolarmente insidiosa perché capace di colpire contemporaneamente un gran numero di individui.
Secondo il Data Breach Investigations Report 2023 di Verizon, il 74% delle violazioni avvenute nel 2022 ha coinvolto l’elemento umano.
Phishing, vishing, smishing
Denis Cassinerio, senior director e general manager di Acronis, elenca i sette stratagemmi più comuni di social engineering utilizzati dai cybercriminali per manomettere dati e sistemi.
Il phishing (1) prevede l’invio di e-mail apparentemente legittime alle vittime, ingannandole in modo che rivelino informazioni personali, attivino link dannosi o scarichino allegati infetti.
Il vishing (2) utilizza il contatto telefonico per carpire dati sensibili. Spacciandosi per un’autorità in cui si ripone fiducia, i truffatori convincono le vittime a rivelare codici fiscali o informazioni finanziarie.
Lo smishing (3) inganna i destinatari con SMS che contengono link dannosi, o li convince a chiamare un numero falso nel tentativo di indurre a condividere ad esempio informazioni finanziarie, personali, dati bancari, o installare malware con la stessa finalità.
Whaling, pretexting, compromissione mail aziendali, piggybanking
Il whaling (4) punta in particolare a dirigenti o decisori di spicco all’interno delle organizzazioni. Se l’inganno riesce, consente di estorcere informazioni aziendali o finanziarie strategiche.
Il pretexting (5) è una tecnica nella quale i criminali elaborano pretesti, cioè narrazioni o storie complesse, per conquistare la fiducia delle vittime e portarle a rivelare informazioni riservate.
Con la compromissione delle e-mail aziendali (6), attacco spesso sferrato verso i reparti commerciali delle aziende, i criminali firmano e-mail fingendosi dirigenti di alto livello per chiedere trasferimenti urgenti di denaro o informazioni finanziarie riservate.
Con il piggybacking (7) un hacker accede insieme alle persone autorizzate ad aree con accesso limitato. Molto vulnerabili a questo tipo di attacco sono i call center e le stanze dei server.
Come mitigare le minacce?
Per contenere le possibilità di riuscita degli attacchi di social engineering serve un approccio articolato che coniughi tecnologia e consapevolezza.
Istruire i clienti sui vari tipi di attacchi è il metodo giusto per fornire strumenti di riconoscimento e capacità di risposta efficaci.
L’aggiornamento continuo sulle tattiche in continua evoluzione consente poi di fornire agli utenti finali informazioni e linee guida preziose.
Un’altra misura proattiva, riferisce Askanews, è l’obbligo alla sensibilizzazione alla cybersecurity, con iniziative che contribuiscono alla crescita di una cultura attenta alla sicurezza.
E un’altra strategia lungimirante è la diffusione continua e tempestiva di aggiornamenti sulle novità nel panorama delle minacce di social engineering.