Non importa quanto sia sicura la tua password o la tua configurazione di sicurezza, hacker e truffatori sanno che c’è una vulnerabilità che possono sempre sfruttare: sei tu!
In questo articolo Women For Security, la community di professioniste che operano nel mondo della sicurezza informatica in Italia, affronta il soggetto dell’anello più debole della sicurezza informatica: il fattore umano, la “vulnerabilità” più sfruttata dagli hacker per sferrare i loro attacchi.
Le persone sono un anello debole nella sicurezza perché possono:
- commettere errori
- essere indotti a causare danni
- violare intenzionalmente la sicurezza aziendale
Lo sanno bene gli attaccanti che sfruttano sempre di più le tecniche di social engineering.
Cosa sono gli attacchi di ingegneria sociale?
L’ingegneria sociale è l’arte di manipolare le persone in modo che rivelino le loro informazioni sensibili.
Gli attacchi di social engineering agiscono principalmente su due fronti:
- convincere qualcuno a eseguire un’operazione non autorizzata
- convincere qualcuno a rivelare informazioni riservate
Gli attaccanti usano manipolazioni psicologiche ingannevoli per instillare paura, eccitazione o urgenza. Una volta che sei in uno stato emotivo elevato, lo useranno contro di te per offuscare la tua lucidità.
Basta un solo errore umano per diventare vittima di un attacco di ingegneria sociale. E questa vulnerabilità è il motivo per cui i criminali utilizzano molto spesso queste tecniche.
Come funzionano gli attacchi di ingegneria sociale?
Gli attacchi di ingegneria sociale sono relativamente semplici. Tutto ciò che un attaccante deve fare è convincere una persona poco informata, stressata o fiduciosa a fare ciò che dice.
Questi attacchi sono incredibilmente facili da eseguire e seguono tutti uno schema simile.
Le quattro fasi di un attacco di ingegneria sociale sono:
- Discovery
- Interact
- Exploit
- Clearing tracks
- Discovery
I truffatori iniziano identificando il loro target, ossia cosa vogliono ottenere. Questo di solito include credenziali, dati, accesso non autorizzato, denaro, informazioni riservate, ecc. Quindi individuano potenziali vittime online. Ad esempio, guarderanno la tua impronta online, vedranno dove lavori, prenderanno nota di ciò che condividi sui social media e così via. Una volta che sanno chi sei, gli attaccanti usano queste informazioni per creare il perfetto attacco personalizzato. E poiché l’attaccante sa così tanto di te, sarà più probabile che tu abbassi la guardia.
- Interact
Man mano che i truffatori imparano di più sulle loro vittime, cercheranno potenziali punti di ingresso. Questi potrebbero includere il tuo indirizzo e-mail, il numero di telefono e l’account social media, qualsiasi via attraverso la quale possono mettersi in contatto e aprire la porta a un attacco. Ad esempio, supponiamo che tu abbia appena guadagnato un nuovo titolo di lavoro e lo abbia pubblicato su LinkedIn. Un truffatore potrebbe facilmente falsificare un’e-mail da un noto sito Web del settore e chiederti un colloquio. Sembra innocuo e normale, quindi perché non dovresti rispondere?
- Exploit
Il truffatore esegue uno dei diversi tipi di attacchi di ingegneria sociale. Ad esempio, dopo aver fatto clic sul collegamento per organizzare un colloquio online, il truffatore installa segretamente un malware sul tuo dispositivo.
- Clearing tracks
Non appena i criminali completano la loro missione, verranno cancellate tutte le tracce, come ad esempio l’indirizzo e-mail.
Quali sono i tipi più comuni di attacchi di ingegneria sociale?
L’ingegneria sociale funziona così bene perché siamo umani. I principi degli attacchi di ingegneria sociale sono progettati per concentrarsi su vari aspetti della natura umana e trarne vantaggio. Anche se non tutti i bersagli soccombono a ogni attacco, la maggior parte di noi è vulnerabile a uno o più dei seguenti principi di ingegneria sociale:
- Attacchi di phishing
Il phishing è il tipo più comune di tattica di ingegneria sociale ed è aumentato di oltre dieci volte negli ultimi tre anni. Gli attacchi di phishing si verificano quando gli attaccanti utilizzano qualsiasi forma di comunicazione (di solito e-mail) per “pescare” informazioni. Questi messaggi sembrano identici a quelli provenienti da fonti attendibili come organizzazioni e persone che conosci.
Ad esempio, un truffatore potrebbe inviarti un’e-mail che afferma di provenire dalla tua banca, affermando che la password del tuo account è stata compromessa. Poiché l’e-mail sembra legittima e il messaggio sembra urgente, fai clic rapidamente sul collegamento incluso o esegui la scansione del codice QR e inserisci le informazioni del tuo account (che poi vanno direttamente al malintenzionato).
- Spearphishing
I normali attacchi di phishing non hanno un obiettivo specifico. Ma gli attacchi di spear phishing si verificano quando gli attaccanti prendono di mira un individuo o un’organizzazione specifici. Durante il 2015, una banda di cyber criminali ha portato a termine una rapina da 1 miliardo di dollari. Il malware Carbanak iniettato nei computer degli impiegati amministrativi di cento banche mondiali (anche italiane) tramite mail ha permesso al gruppo criminale di acquisire dati e informazioni utili sulle abitudini e le procedure di sicurezza delle banche sotto attacco.
- Whaling
Whaling è un termine usato per indicare i dirigenti aziendali o i “pesci grossi” come il CEO e il CFO. Poiché questi individui sono in posizioni di alto livello nella società, hanno accesso a informazioni sensibili come nessun altro. Ecco perché impersonificarli può rivelarsi dannoso per gli affari e la reputazione di un’azienda.
- Baiting
Baiting è un tipo di attacco di ingegneria sociale in cui i truffatori attirano le vittime inducendole a fornire informazioni sensibili promettendo loro qualcosa di prezioso in cambio. Ad esempio, i truffatori creeranno annunci pop-up che offrono giochi gratuiti, musica o download di film. Se fai clic sul collegamento, il tuo dispositivo verrà infettato da malware. Le truffe di baiting esistono anche nel mondo fisico. Un esempio comune è una chiavetta USB: un dipendente curioso prenderà l’unità e la inserirà nella sua postazione di lavoro, che poi infetterà l’intera rete.
- Pretexting
Il pretesto si verifica quando qualcuno crea un personaggio falso o abusa del proprio ruolo reale. È ciò che accade più spesso con le violazioni dei dati dall’interno. Edward Snowden disse notoriamente ai suoi colleghi che aveva bisogno delle loro password in qualità di amministratore di sistema. Le vittime, rispettando il suo titolo, hanno acconsentito senza pensarci due volte. In questi attacchi i criminali sfruttano la fiducia che deriva dal loro titolo, quindi, convincono le vittime a fornire loro dati sensibili. Sanno che le persone esiteranno a metterli in discussione o saranno troppo spaventate per respingere queste richieste anche se qualcosa sembra fuori posto.
- Attacchi Quid Pro Quo
Quid pro quo si traduce in “un favore per un favore”. La versione più comune di un attacco quid pro quo si verifica quando i truffatori fingono di provenire da un reparto IT o da un altro fornitore di servizi tecnici. Ti chiameranno o ti invieranno un messaggio con un’offerta per velocizzare la tua connessione Internet, estendere una prova gratuita o persino darti buoni regalo gratuiti in cambio della prova del software. L’unica cosa che le vittime devono fare è creare o cedere/verificare le proprie credenziali di accesso. Quando i truffatori ricevono queste informazioni sensibili, le useranno contro la vittima o le venderanno sul Dark Web.
- Scareware
Lo scareware, software di inganno, spaventa le vittime portandole a credere di essere sotto una minaccia imminente. Ad esempio, potresti ricevere un messaggio che dice che il tuo dispositivo è stato infettato da un virus. Lo scareware appare spesso come pop-up nel tuo browser. Può anche apparire nelle e-mail. Le vittime faranno clic su un pulsante per rimuovere il virus o scaricheranno il software che millanta di disinstallare il codice malevolo. Ma facendolo faranno entrare nel sistema il vero software malevolo.
Perché i dipendenti sono un target dell’ingegneria sociale?
Per la maggior parte delle persone, le prestazioni lavorative sono più importanti della sicurezza delle informazioni. Le persone sono sotto pressione durante il loro lavoro e la sicurezza è raramente considerata quando si misura il successo sulle prestazioni lavorative.
C’è poi una tendenza da parte delle persone a fidarsi degli altri, il che è l’opposto di ciò che è richiesto per una buona difesa di ingegneria sociale.
Quando la leadership e la cultura dell’organizzazione non sono allineate con gli obiettivi di sicurezza, possono contribuire a una catena di eventi che può portare a un incidente di sicurezza o a una violazione dei dati: ad esempio, la pressione dei leader che spingono i dipendenti a portare a termine il loro lavoro, può portare a una deviazione dalle procedure o dalle regole di sicurezza.