Social Engineering: la nuova frontiera della criminalità informatica
Fino a qualche anno fa i criminali informatici venivano principalmente combattuti affidandosi alle armi tecnologiche: la sicurezza IT delle aziende si basava sull’uso di hardware e software di protezione piuttosto che sulla formazione dell’individuo, corazzando i computer con avanzati sistemi di difesa e backup (Firewall, Antivirus, norme ISO, best practices, Intrusion Detection Systems, Disaster Recovery Plan etc.). I dipendenti venivano addestrati a riconoscere le minacce informatiche e, in caso di attacco, a intervenire in modo corretto e tempestivo.
I cyber criminali, nel frattempo, si sono evoluti.
Gli hacker si sono probabilmente resi conto che è più facile sfruttare le debolezze umane e ingannare gli utenti per carpire informazioni confidenziali, piuttosto che attaccare un sistema informatico alla ricerca di bug (errori commessi dai programmatori nell’elaborazione di software, in grado di aprire la strada ai cracker).
Oggi, la principale minaccia alla sicurezza informatica è infatti rappresentata dall’ingegneria sociale: l’arte di manipolare le persone a scopo criminale.
Cybercrime: alcuni dati statistici
A venire maggiormente colpite dai criminali informatici non sono solo le grandi aziende, ma anche le PMI e le PA, a causa della complessità dei processi organizzativi e della eterogeneità della conoscenze informatiche dei dipendenti.
Lo conferma un recente studio condotto nel 2016 dalla National Cyber Security Alliance, che ha rilevato come le PMI abbiano fortemente sottovalutato le evoluzioni del cybercrime:
– Quasi il 50% delle piccole imprese ha sperimentato un attacco informatico
– Più del 70% degli attacchi informatici colpisce le piccole imprese
– Quasi il 90% degli attacchi informatici sfrutta la Social Engineering
– Circa il 60% delle piccole e medie imprese che sono state attaccate sono fallite dopo sei mesi
Per un’azienda subire un attacco informatico può essere letale. Non si tratta solo di sprecare tempo e denaro per riprendere il controllo del sistema o recuperare dati e applicazioni: si tratta di rispondere, civilmente e penalmente, della perdita, furto o diffusione illecita di informazioni riservate e confidenziali (come cartelle cliniche di pazienti, documenti legali e fiscali di clienti, dati finanziari di aziende, account personali di dipendenti etc.).
In Italia le minacce informatiche sono addirittura in aumento: secondo il rapporto Clusit 2017, il 2016 è stato l’anno peggiore per la sicurezza informatica. Tra tutti i paesi al mondo l’Italia risulta tra gli obiettivi più colpiti: è nella top ten dei paesi che hanno subito gli attacchi più gravi e il maggior numero di vittime (+1.166% degli attacchi informatici sono stati realizzati con tecniche di Phishing/Social Engineering).
Social Engineering: una nuova tecnica di hackeraggio
La maggioranza degli attacchi Ransomware utilizza tattiche di Social Engineering (Ingegneria sociale).
Ma di cosa si tratta esattamente?
La Social Engineering è l’arte di studiare il comportamento delle persone per manipolarle e carpire informazioni utili e importanti. Si tratta quindi di una tecnica che sfrutta la psicologia umana e fa uso dell’inganno per ottenere dalla vittima dati riservati o confidenziali (password, accesso a conti correnti, informazioni finanziarie etc.), estorcere denaro o addirittura rubarne l’identità.
Spesso ad usarla sono i criminali informatici. La Social Engineering può essere definita, infatti, come una sorta di evoluzione della cyber criminalità, poiché sfrutta la debolezza e vulnerabilità dell’uomo piuttosto che le falle di un sistema informatico. Pensateci. E’ certamente più facile convincere una persona, truffandola, a rivelare una password piuttosto che craccare un sistema e scoprire la password stessa (a meno che non sia molto semplice).
5 tecniche di Social Engineering per rubare i tuoi dati
Ecco 5 tipologie di attacchi informatici che sfruttano tecniche di Ingegneria sociale:
1. Phishing
Il Phishing è una truffa informatica, una tecnica fraudolenta per ottenere informazioni confidenziali con l’inganno.
Come funziona? Il cyber criminale invia una mail o un SMS alla vittima utilizzando il logo contraffatto di un’azienda o istituto di credito (per far sembrare il messaggio credibile e legittimo), invitandola a cliccare su un link o a scaricare un allegato. Mentre l’allegato contiene un malware (ad es. Ransomware, con cui l’hacker blocca il sistema operativo o cripta i dati dell’utente, obbligandolo a pagare un riscatto per tornare in possesso del PC o riportare in chiaro i dati), il link porta l’utente su un sito nel quale viene richiesto, con urgenza, di fornire informazioni riservate (ad es. n. di conto corrente, n. di carta di credito, password etc.) per accedere a un determinato servizio, risolvere un problema o riscuotere una vincita.
2. Pretexting
Con il Pretexting (dall’inglese, “creazione di un pretesto”) il cyber criminale induce l’utente a divulgare informazioni riservate o a commettere determinate azioni, creando un falso contesto.
Anche qui viene simulato il comportamento di un’autorità finanziaria o di polizia, allo scopo di creare un legame di fiducia con la vittima e farla cadere in trappola. E’ molto simile al Phishing, dal quale si differenzia per lo strumento di comunicazione utilizzato, ovvero il telefono o un’intervista (mezzi con cui è più facile entrare in empatia con la vittima oppure acquisire una posizione di autorità e credibilità).
3. Baiting
Questa tecnica utilizza un’esca per accedere al sistema informatico della vittima: una sorta di cavallo di Troia, come una chiavetta USB o un hard disk. Il supporto di memorizzazione viene lasciato in giro, solitamente vicino alla postazione di lavoro della vittima, allo scopo di stimolare la sua curiosità o desiderio.
Lo strumento è utilizzato per accedere facilmente ai dati personali o aziendali della vittima, sfruttando la rete locale (LAN).
4. Quid pro quo
Come tutte le tecniche di attacco proprie della Social Engineering, anche il Quid pro quo si basa sull’inganno: viene offerto un servizio (che non esiste) per ottenere in cambio dati o informazioni confidenziali.
Il Social Engineer solitamente contatta la vittima telefonicamente, fingendo di offrirle supporto tecnico o informatico. Questa è la scusa con cui pretende di ottenere l’accesso al PC (o ad un determinato software dell’utente), richiedendone la password.
5. Tailgating
Con il Tailgating il Social Engineer passa dal mondo online a quello reale.
In questo caso l’obiettivo è accedere a un luogo protetto da misure di sicurezza (come una chiave, un codice o un badge di identificazione personale). Il criminale informatico cerca di accedervi facendo finta di aver dimenticato il supporto informatico di sicurezza oppure chiedendo una cortesia all’utente legittimato, munito all’occorrenza di un identificativo falso.
Un altro caso può essere quello in cui l’hacker, approfittando del rapporto di fiducia instaurato con la vittima, chiede in prestito il PC per pochi minuti, rubando dati confidenziali o installando programmi maligni.
Le statistiche che abbiamo visto, unite all’evoluzione delle tecniche di Social Engineering, dimostrano che la criminalità informatica è molto diffusa: le vittime possono essere sia le piccole che le grandi aziende. Ecco perché conoscere le minacce alla sicurezza è fondamentale: solo formando il personale sarà possibile riconoscerle in tempo ed evitarle.
D’altronde l’Ingegneria sociale fa proprio leva sull’ignoranza e l’ingenuità delle sue vittime. Inizia ora a combattere il cybercrime, contatta gli esperti di UnoCloud Backup.