Social Engineering: che attacchi sono e come proteggersi

di | 11 Marzo 2019

Gli attacchi di social engineering (letteralmente: ingegneria sociale) sono piuttosto subdoli e difficili da contrastare, in quanto vanno a colpire l’anello più debole della catena di sicurezza informatica di un’azienda: l’essere umano.

Contrastare con successo gli attacchi di social engineering e proteggere la tua azienda da essi richiede che tu li comprenda e sappia come funzionano.

L’ingegneria sociale trae vantaggio, infatti, da alcuni “bug” della psicologia umana allo scopo di utilizzare l’inganno e la manipolazione per costringere le persone a rivelare informazioni o a consegnare accessi che altrimenti non rileverebbero / consegnerebbero.

Gli ingegneri sociali sanno che le persone:

  • SI DISTRAGGONO FACILMENTE

    Molto spesso non controllano i link contenuti nelle mail ricevute, APPARENTEMENTE, da persone od organizzazioni di cui si fidano come ad esempio, la banca che utilizzano o il loro capo.

    Capita ad esempio che non verifichino accuratamente il mittente della mail contenente il link (fraudolento) a cui consegnano i propri accessi di home banking e non notino quindi che si tratta, ad esempio di p0ste.it e non poste.it.

  • SONO SMEMORATE

    Capita che qualcuno possa dimenticarsi il notebook o lo smartphone che utilizza per consultare le proprie email riservate aperto sulla propria scrivania, magari con un post-it con scritta la password di sblocco in bella vista; questa è vera manna per un hacker che voglia portare un attacco all’azienda.

  • SONO CURIOSE

    Si può sfruttare la curiosità delle persone semplicemente lasciando in giro una chiavetta USB infetta e aspettando che qualcuno la connetta al suo computer per vederne il contenuto.

    Che poi il soggetto abbia controllato la chiavetta per semplice curiosità o con tutte le buone intenzioni di questo mondo (capire di chi sia per riconsegnargliela) poco importa: il social engineer si è aperto una porta all’interno dell’azienda.

ATTACCHI STANDARDIZZATI

La buona notizia è che gli attacchi di social engineering sono piuttosto standardizzati e quindi, con un po’ di allenamento, diventano riconoscibili e contrastabili.

Per esempio basterebbe

  • Verificare i link contenuti nelle mail e stare attenti in seguito che, una volta cliccato, il sito di destinazione sia in https (lucchetto verde)
  • Se un collega richiede dei dati riservati, è buona norma chiedere conferma per telefono o faccia a faccia.
  • Non inserire nel proprio computer delle chiavette Usb trovate in giro.

Per stabilire un’efficace protezione contro un gran numero di attacchi di social engineering.

PROTEGGERE L’AZIENDA DAGLI ATTACCHI DI SOCIAL ENGINEERING

Basta seguire poche semplici best practices per ridurre significativamente la possibilità che un attacco di social engineering alla nostra azienda vada a buon fine:

  • FORMAZIONE E TRAINING

    E’ vero che gli esseri umani sono l’anello più debole, ma, se adeguatamente formati, possono diventare il primo e più importante “rilevatore di inganno” a disposizione.

    Ecco perchè è importante far tenere da esperti corsi di questo tipo all’interno della propria azienda: servono a dare ai propri dipendenti i giusti strumenti di difesa contro questi attacchi.

  • REGOLE CHIARE E ROBUSTE

    E’ importante cercare creare un set di regole chiare a cui i dipendenti possono far riferimento ad esempio in caso di dubbio su come comportarsi a seguito di una richiesta inusuale di informazioni.

    Queste regole devono essere esposte e ben visibili negli uffici, inoltre è buona norma ripubblicarle a intervalli regolari nella newsletter aziendale (ovviamente se questa è presente).

  • MONITORARE E VERIFICARE IL TRAFFICO DI RETE

    In questo modo è possibile rilevare tempestivamente del traffico sospetto da parte di un computer aziendale e intervenire di conseguenza.

  • UTILIZZARE I SOFTWARE DI SICUREZZA

    E’ importante inoltre mantenere sempre attivi e aggiornati i “classici” software di sicurezza come antivirus e firewall che rappresentano una linea di difesa essenziale contro i pirati informatici.