Cos’è il social engineering? Ecco le tecniche più diffuse e le soluzioni per difendersi

Il criminale informatico utilizza tecniche di social engineering avanzate per sferrare attacchi e rubare dati o per manomettere sistemi informatici. Anche gli utenti e le aziende devono essere sempre preparati rispetto agli avanzamenti delle strategie e dei sistemi di sicurezza contro il cyber crimine. 

Una delle minacce più pericolose e comuni per le imprese è il social engineering. Ovvero, un insieme di strategie criminali che consentono di ottenere con l’inganno password, credenziali di accesso o anche informazioni relative ai conti bancari. L’obiettivo è quello di danneggiare l’utente.

Possiamo considerare il social engineering come una minaccia che fa leva sulla psicologia della persona e che deve essere contrastata con tecnologie adeguate. Scopriamo cos’è il social engineering, come funziona, quali sono gli attacchi più comuni e quali comportamenti seguire per garantire protezione ai dati.

Cos’è il social engineering: significato

Il social engineering, o ingegneria sociale, è un gruppo di tecniche malevoli (rivolte spesso all’ambito digitale) dedicate alla manipolazione psicologica. Queste soluzioni vengono applicate per ingannare le persone e convincerle a rivelare informazioni, compiere azioni rischiose o violare procedure di cyber security.

Le minacce informatiche che rientrano in questa categoria hanno alle spalle un minuzioso studio del comportamento delle persone. I criminali digitali analizzano gli utenti e le loro abitudini di navigazione o di utilizzo dei device, per comprenderne il comportamento e sferrare un attacco quanto più efficace possibile. 

Tipologie di attacchi del social engineering

Nessuno può ritenersi al sicuro da un attacco informatico. La sicurezza è un vero e proprio obiettivo che va seguito quotidianamente, con grande attenzione. Così come le tecniche di attacco si sono evolute, allo stesso modo i sistemi di sicurezza sono stati potenziati in base ai cambiamenti nella strategia degli attaccanti. 

Il social engineering prevede diversi canali e modalità di aggressione, grazie ai quali il criminale può danneggiare la propria vittima. Ma molti attacchi si svolgono nel mondo reale, senza la necessità di coinvolgere dispositivi elettronici o Internet, non rientrando quindi nel concetto di cyber crime. Numerose le tipologie di attacchi di social engineering che il criminale può mettere in atto: vediamo quali sono le più diffuse.

Tecniche basate su osservazione e interazione sociale

Con queste opzioni si finge di essere qualcuno (ad esempio un dirigente, o un tecnico) per ottenere accesso o dati con una semplicità senza pari. O magari c’è la possibilità di spiare la password o il PIN semplicemente guardando lo smartphone di una persona poco attenta alla privacy

Shoulder surfing

Lo shoulder surfing è una tecnica di social engineering dove l’attaccante osserva di nascosto quello che una persona digita sulla tastiera o sullo schermo di uno smartphone, come password, PIN o dati sensibili. Può avvenire in modo evidente (guardando da dietro la spalla, da cui il nome) oppure con telecamere.

Eavesdropping

L’ascolto non autorizzato di conversazioni private, sia verbali che digitali. Può essere fatto semplicemente ascoltando con attenzione in un ambiente fisico. Ad esempio si può spiare una telefonata in ufficio. Ma si può procedere anche con strumenti specifici e avanzati, come microfoni nascosti o intercettazioni di rete.

Trashing o dumpster diving

Un’altra tecnica di social engineering è il trashing: il criminale setaccia l’immondizia della vittima alla ricerca di estratti conto, bollette e altri documenti che contengono informazioni sensibili. Questa tecnica si sposta nell’universo digitale nel momento in cui l’hacker trova sistemi non in uso (vecchi smartphone, tablet, laptop o supporti di memorizzazione). Questi ultimi, se resettati, possono essere utilizzati per trafugare i dati.

Tailgating o piggybacking

Fa leva sulla familiarità tra attaccante e vittima. In questo caso, si tratta di un’intrusione fisica: il criminale si insinua all’interno di uno spazio in cui non può entrare, seguendo una persona autorizzata o posizionandosi immediatamente alle sue spalle per poter scoprire le password di accesso alle aree off-limits.

Impersonation

Un tipo di attacco di social engineering in costante diffusione: il criminale prende il posto di qualcun altro, impersonando un soggetto fisico (generalmente, il soggetto scelto ha un ruolo istituzionale) o digitale. L’hacker finge di essere una persona autorevole, con cui la vittima ha una relazione, per poter accedere alla rete aziendale (mediante e-mail fraudolente, chiamate o altri mezzi di comunicazione). 

Tecniche basate sull’inganno diretto

Qui abbiamo soluzioni che vanno dall’invio di email o messaggi falsi per rubare credenziali o installare malware fino alla falsificazione dell’identità personale per attivare delle vere e proprie truffe all’individuo.

Phishing

Uno dei metodi più utilizzati in ogni angolo del mondo: questa tecnica di social engineering sfrutta la posta elettronica per trafugare dati personali e informazioni, estorcendoli con l’inganno all’utente. Il criminale, mediante una comunicazione e-mail, truffa la vittima convincendola a cliccare su un link fraudolento.

Spear Phishing

Variante mirata del phishing, personalizzata per la vittima. Si tratta di un attacco phishing che richiede uno studio certosino della vittima, delle sue abitudini e delle sue preferenze. Lo spear phishing è sicuramente una delle tecniche più difficili da attivare con successo, ma anche una delle più complesse da sminare. 

Vishing o voice phishing

Ecco le truffe via telefono per ottenere dati sensibili. Si tratta di una variante dell’attacco phishing. In questo caso, con il vishing, parliamo di un attacco basato sulla voce personale, magari contraffatta con l’AI. Questo genere di attacco avviene con una chiamata o una comunicazione vocale e rientra nelle truffe telefoniche.

Smishing o SMS phishing

Phishing tramite SMS o messaggi di chat. Oltre alla posta elettronica, negli ultimi anni uno dei canali più utilizzati per sferrare attacchi di phishing è anche l’SMS (in questo caso, si tratta di smishing), o canali di instant messaging come Telegram e WhatsApp. Come sempre, è difficile individuare i messaggi malevoli.

Pretexting

Il criminale contatta la vittima al telefono, creando un pretesto (fingendosi, ad esempio, un dipendente di un ufficio pubblico o di una banca) per poter instaurare una relazione empatica con la vittima. Lo scopo di questa tecnica di social engineering è quello di ottenere dati personali e credenziali da parte della vittima. 

Baiting

Il criminale utilizza un’esca attraverso la quale riesce ad attirare la curiosità dell’utente. L’hacker sfrutterà un supporto di memorizzazione (dalla chiavetta USB all’hard disk) per diffondere un malware, un ransomware o un codice maligno all’interno della rete, inducendo la vittima a inserire il dispositivo nel PC.

Quid Pro Quo

Una tecnica sofisticata, che prevede una sorta di scambio: il criminale offre un supporto pratico alla vittima al posto di un benefit. Ad esempio, fingendosi un tecnico IT, il criminale contatta uno o più dipendenti dell’azienda chiedendo, in cambio di supporto professionale, informazioni come le loro password. Oppure, può chiedere loro di disattivare temporaneamente l’antivirus, installando liberamente un programma.

Tecniche digitali avanzate o persistenti

Sono strategie usate per colpire le vittime in modo mirato. Spesso combinano malware, sfruttamento di vulnerabilità e analisi comportamentale per infettare i dispositivi, rubare dati e ottenere accesso a lungo termine ai sistemi.

Watering hole attack

L’attaccante compromette un sito web che l’utente da colpire visita spesso (come, ad esempio, forum di settore, portali aziendali) insidiandolo con un malware. Quando la vittima lo visita, il dispositivo viene infettato senza sospetti.

Malvertising

Si tratta di pubblicità online apparentemente legittime ma infette, usate per diffondere virus o raccogliere dati. Bastano pochi click, a volte nemmeno quelli, per compromettere il sistema e diventare l’ennesima vittima del social engineering.

Social media exploitation

Parliamo di un lavoro da stalker, rivolto a condizioni particolarmente delicate. L’aggressore raccoglie informazioni personali dai profili social pubblici per costruire attacchi su misura: email credibili, messaggi manipolatori o persino furti d’identità.

Deepfake o synthetic media

Tecnologia usata per creare video o audio falsi estremamente realistici, utili a impersonare dirigenti o autorità e manipolare la vittima con contenuti fasulli. Con l’intelligenza artificiale, questa soluzione appare molto più semplice da attivare con un buon livello di successo. Soprattutto per la realizzazione di video e foto fake.

Qual è lo scopo dell’ingegneria sociale?

Gli attacchi di social engineering mirano, in molti casi, a convincere le persone a fornire informazioni confidenziali come password, dati bancari e personali. Ma gli attacchi di social engineering possono essere sferrati anche con il fine di accedere alla rete aziendale, al computer o a qualsiasi altro device, installando malware e altri software dannosi. Come, ad esempio, quelli che permettono di attivare azioni di ransomware.

Perché l’ingegneria sociale è così efficace?

In parole povere, non si bucano i sistemi informatici aziendali o personali ma si ingannano gli individui che gestiscono le macchine e i programmi. L’efficacia degli attacchi di social engineering è racchiusa nella capacità di ingannare le difese tecnologiche partendo dall’errore umano: firewall e antivirus non bastano, se è l’individuo a non riconoscere la minaccia o sorvolare sulle norme di sicurezza più elementari. 

C’è da aggiungere che i cybercriminali sfruttano delle leve psicologiche molto efficaci, studiate anche da diversi psicologi comportamentali ed esperti di psicologia sociale della persuasione come Robert Cialdini. Ad esempio, nell’armamentario degli esperti di social engineering troviamo diverse tecniche di convincimento:

• Urgency – Un senso di urgenza o paura (il tuo conto sarà bloccato!) spinge la vittima a reagire senza pensare, cliccando o fornendo dati in modo impulsivo.

• Authority – L’attaccante si finge una figura autorevole come un capo, un tecnico o un agente con determinate qualifiche per ottenere la fiducia di chi riceve il messaggio.

• Scarcity – Si simula una situazione a tempo limitato o con risorse scarse (solo per oggi, ultima possibilità) per forzare una decisione rapida e poco ragionata.

• Familiarity/Trust – Sfrutta la fiducia già esistente: l’attaccante si finge un collega, un amico o un fornitore con cui la vittima ha familiarità, per ottenere informazioni.

• Reverse social engineering – L’attaccante crea un problema poi si propone come tecnico per farsi contattare direttamente dalla vittima e ottenere accesso.

L’ingegneria sociale è una delle tecniche più insidiose e diffuse nel panorama delle minacce informatiche. Diversamente dagli attacchi tecnici, come un Botnet o un DDoS, il social engineering sfrutta la psicologia umana e le emozioni delle persone per ottenere accesso a dati riservati o compiere azioni dannose.

Come funzionano gli attacchi di questo tipo?

Molto dipende dalla tipologia di tecnica utilizzata ma, in linea di massima, il social engineering fa leva sulle vulnerabilità della vittima, sulla sua abitudine a dare fiducia e anche sulla mancanza di competenze/conoscenze nell’utilizzo dei device. Gli attacchi di social engineering si basano sulla manipolazione psicologica delle vittime per spingerle a svolgere azioni che andrebbero contro la logica e la sicurezza:

• Condividere informazioni riservate;
• Cliccare su link o allegati malevoli;
• Scaricare software che non si conosce;
• Visitare siti trappola (phishing sites);
• Mandare denaro verso conti non noti.

Viene sfruttata la fiducia o l’autorità percepita per far sì che la vittima compia azioni che eviterebbe. Per ottenere questo risultato, il criminale informatico che si occupa di ingegneria sociale studia la vittima e le relazioni che la stessa intrattiene online e offline, sia che si tratti di un utente singolo che di un’azienda. 

Il criminale approfondisce il comportamento dell’impresa effettuando un’analisi dei dipendenti. Terminato il lavoro preparatorio, il criminale studia una strategia adatta al raggiungimento dello scopo: rubare l’identità di una persona, estorcere denaro, trafugare dati o impossessarsi della rete informatica.

Esempi di attacchi social engineering

Una delle migliori strategie per difendersi dagli attacchi di social engineering è quella di prevenirli, conoscendone il funzionamento. È fondamentale, quindi, sapere quali sono i modelli di comportamento tipici di un hacker che ha scelto l’ingegneria sociale per sferrare un attacco. Vediamo qualche esempio concreto: 

Furto delle credenziali di accesso a Office 365 

Con un attacco phishing, gli hacker possono truffare la vittima fingendo di lavorare per il servizio clienti di Office. La comunicazione può contenere una finta offerta a tempo oppure la richiesta di modificare la password. In entrambi i casi, quando l’utente clicca sul link fraudolento, viene reindirizzato su una pagina malevola che viene utilizzata per rubare le credenziali di accesso a Office 365.

Attacco alle risorse umane dell’azienda 

L’hacker finge di essere un dipendente delle risorse umane, inviando una e-mail critica nella quale comunica la possibilità di un licenziamento. L’utente, spaventato, clicca sul link fraudolento che potrebbe far partire direttamente il download di un malware. Oppure, nel caso reale avvenuto a oltre 50.000 utenti, la vittima viene indirizzata su un finto sito di Zoom con il fine di rubare le password della vittima.

Un classico caso di trasferimento di denaro

Il cyber criminale potrebbe rubare l’identità di un dipendente di rilievo dell’azienda. Ad esempio, l’amministratore delegato oppure il responsabile commerciale. Fingendo di essere una personalità importante, invierà una richiesta urgente di trasferimento di denaro: il dipendente truffato, credendo di svolgere il proprio lavoro e seguendo le indicazioni del responsabile, trasferirà il denaro direttamente sul conto del criminale. FACC, azienda che si occupa della produzione di aeromobili, ha subito la truffa BEC (Business E-mail Compromise), perdendo ben 42 milioni di euro.

Accesso al computer della vittima, senza permesso 

In questo caso si utilizza una leva importante: l’inconsapevolezza. Con una comunicazione verbale o scritta si può convincere la persona a cedere le credenziali di accesso, allertandola della presenza di un virus all’interno del dispositivo. La vittima esegue l’azione indicata dal criminale (chiamare un numero, fornire le password, cliccare su un link) credendo di poter rimuovere il virus. In realtà, inconsapevolmente sta offrendo una porta di accesso al computer o alla rete aziendale.

Come proteggersi da attacchi di social engineering

Per poter riconoscere un attacco di social engineering, è importante prestare la massima attenzione a tutte le possibili interazioni con utenti (conosciuti e sconosciuti). Quando l’interlocutore cerca di ottenere password, dati finanziari o personali, probabilmente ci troviamo di fronte a un tentativo di truffa. 

Gli istituti e gli enti legittimi non operano in questo modo: non richiedono dati mediante e-mail oppure telefonate. Un altro metodo per sventare un attacco di social engineering è quello di controllare i mittenti delle e-mail ricevute, verificando gli indirizzi per comprendere se si tratta di un indirizzo legittimo o meno. 

L’anello debole dell’azienda è l’uomo: è il veicolo per portare a termine con successo un attacco di social engineering. Per preservare l’azienda dai rischi legati all’ingegneria sociale e al cyber crime, è importante offrire una formazione continua ai dipendenti, sensibilizzandoli rispetto alla sicurezza informatica. 

L’utente deve essere consapevole dei rischi e delle modalità di azione di un cyber criminale. L’ingenuità di un unico individuo può provocare danni inimmaginabili all’intera organizzazione aziendale. Occorre seguire alcuni modelli di comportamento per prevenire il social engineering e proteggersi da un attacco:

• Non accettare offerte non richieste.
• Mai cliccare su link forniti da utenti sconosciuti o email non certificate
• Non accettare o scaricare file provenienti da indirizzi illegittimi.
• Verificare sempre l’identità dei mittenti che mandano email.
• Non fornire informazioni sensibili (password, credenziali, dati bancari).
• Installare un software antivirus, che deve essere aggiornato.
• Usare le patch di sicurezza ogni volta che vengono rilasciate.

Questi sono i consigli di base. A un livello avanzato, soprattutto quando parliamo di aziende con una gran quantità di dati sensibili da proteggere, c’è un protocollo avanzato che suggeriamo sempre ai nostri clienti più attenti:

• Sensibilizzare i dipendenti con corsi di cyber awareness.
• Implementare policy di verifica per richieste di pagamento o accessi.
• Utilizzare autenticazione a più fattori (MFA).
• Segnalare tempestivamente email sospette o anomalie nei processi.
• Monitorare gli accessi e tracciare le comunicazioni aziendali critiche.

Per difendersi da queste minacce è fondamentale adottare una combinazione di misure tecniche e formazione del personale: noi possiamo aiutarti a raggiungere un livello di sicurezza importante dalle minacce esterne e dagli insider threat. Chiedi una consulenza per evitare i problemi legati al social engineering.