Indice
L'anello debole di ogni strategia di cybersecurity è il fattore umano e il social engineering fa leva proprio sull'incapacità della vittima di riconoscere l'attacco, sfruttando emozioni come paura e senso di urgenza per spingerla a compiere una determinata azione: ad esempio inviare denaro, divulgare informazioni sensibili o credenziali di accesso.
La formazione sulla sicurezza informatica inizia qui
Ecco come funziona la nostra prova gratuita:
- Incontra i nostri esperti di sicurezza informatica per far valutare il tuo ambiente e identificare la tua esposizione al rischio di minacce.
- Nel giro di 24 ore e con una configurazione minima, distribuiremo le nostre soluzioni per 30 giorni.
- Prova la nostra tecnologia sul campo!
- Ricevi report che evidenziano le vulnerabilità della tua sicurezza per poter prendere provvedimenti immediati contro gli attacchi informatici.
Compila questo modulo per richiedere un incontro con i nostri esperti di sicurezza informatica.
Grazie per esserti registrato per la nostra prova gratuita. Un rappresentante di Proofpoint si metterà in contatto con te a breve, guidandoti nei prossimi passi da seguire.
Storia del social engineering
Da sempre conosciuto nel panorama della cybersecurity, il social engineering, o ingegneria sociale, rappresenta una delle tecniche più efficaci utilizzate dagli hacker per spingere gli utenti a divulgare informazioni sensibili. Ciò che è cambiato rispetto al passato è il metodo di attacco, le scuse utilizzate per ottenere informazioni e la diffusione di attacchi sempre più sofisticati da parte di gruppi organizzati, che vi abbinano ulteriori minacce come il phishing. Il termine social engineering è stato utilizzato per la prima volta nel 1894 dall'industriale olandese JC Van Marken, ma ha iniziato ad essere un metodo di attacco utilizzato in ambito informatico sin dagli anni '90.
Negli anni '90, il social engineering consisteva nel chiamare al telefono le vittime per indurle a divulgare le proprie credenziali con l'inganno e fornire il numero di rete fissa che consentiva agli hacker di accedere ai server aziendali interni. Ai giorni nostri, i cybercriminali più astuti utilizzano invece il social engineering per spingere i dipendenti di un’azienda presa di mira ad effettuare trasferimenti di denaro potenzialmente milionari verso conti correnti offshore, causando danni enormi alle organizzazioni, non soltanto in termini economici, ma spesso costano anche il posto di lavoro agli stessi dipendenti.
Caratteristiche di un attacco social engineering
Non è sempre facile delineare un confine tra attacchi social engineering e phishing, in quanto questi vengono spesso utilizzati in combinazione, soprattutto negli attacchi più sofisticati. Una tecnica molto in voga è ad esempio quella di spacciarsi per un dipendente o un dirigente di azienda, con il ruolo ad esempio di CFO o CEO, oppure fingersi un cliente bisognoso di assistenza. Il fine è il dipendente preso di mira, a fornire informazioni riservate o modificare le funzionalità di un account (ad esempio nel caso del SIM swap).
Indipendentemente dagli obiettivi di chi lo sferra, esiste una serie ben precisa di segnali che ci permettono di capire che ci troviamo di fronte a un tentativo di attacco social engineering. L'ingegneria sociale fa leva sulla natura umana della vittima, cercando di suscitare timore e senso di urgenza, al fine di impedire che l’utente abbia il tempo per riflettere a sufficienza prima di intraprendere una determinata azione. Chi lancia l’attacco non vuole che l'utente preso di mira rifletta sulla richiesta, per evitare ciò l'ingegneria sociale fa leva sulla paura e cerca sempre di suscitare un senso di urgenza.
Vediamo alcune delle caratteristiche comuni a tutti gli attacchi social engineering.
Senso di ansia e urgenza
Si prospetta alla vittima la perdita del proprio account se non vi effettua subito l'accesso, così da carpire le credenziali dell'utente. Un'altra tattica è quella di spacciarsi per un dirigente dell'azienda in cui lavora la vittima, e richiedere un trasferimento bancario urgente, facendo leva sulla soggezione che il bersaglio nutre nei confronti del proprio superiore.
Indirizzo del mittente contraffatto
Molti utenti non sono nemmeno a conoscenza del fatto che sia possibile falsificare l'indirizzo e-mail del mittente, ma per fortuna, un'adeguata protezione della posta elettronica è solitamente in grado di impedire alle email con mittenti contraffatti di essere recapitate sulla casella di posta degli utenti presi di mira. Tuttavia, spesso i cybercriminali registrano un dominio simile a quello ufficiale, confidando nel fatto che l'utente difficilmente si accorgerà della differenza, soprattutto se si trova in uno stato di panico e urgenza.
Strane richieste di amicizia
Accade spesso che i cybercriminali compromettano l'account di posta elettronica della vittima, inviando messaggi malevoli ai suoi contatti. Messaggi che sono solitamente brevi e in stile neutro, senza elementi che caratterizzano il modo di scrivere personale di ognuno. Quindi evitate di cliccare su link o scaricare allegati se il messaggio, nonostante provenga da un amico o un conoscente, vi suona troppo neutro e generico.
Link a siti poco professionali
Negli attacchi phishing vengono spesso utilizzati link a siti contraffatti per spingere gli utenti a divulgare dati sensibili. Non vanno mai inserite le credenziali di accesso su un sito aperto direttamente da un link ricevuto sull'email, nemmeno se sembra effettivamente il sito ufficiale (ad esempio PayPal).
Troppo bello per essere vero
Una delle tattiche utilizzate dai truffatori è quella di prospettare affari apparentemente allettanti, in cambio di una piccola somma di denaro. Ad esempio, alla vittima viene promesso un iPhone gratuito in cambio del pagamento delle spese di spedizione. In questi casi, bisogna dare ascolto al detto, se una cosa è troppo bella per essere vera, è perché non lo è. Allo stesso modo, se l'offerta sembra troppo bella per essere vera, quasi certamente è una truffa.
Allegati dannosi
Invece di indurre gli utenti presi di mira a divulgare informazioni private, un attacco sofisticato potrebbe funzionare per installare malware su un computer aziendale utilizzando allegati e-mail dannosi. Non eseguire mai macro o eseguibili su un sistema da un messaggio di posta elettronica apparentemente innocuo.
Rifiuto di rispondere alle domande
Se un messaggio sembra sospetto, rispondere al messaggio e chiedere al mittente di identificarsi. Un utente malintenzionato eviterà di identificarsi e potrebbe semplicemente ignorare la richiesta.
Tecniche di attacco social engineering
La tecnica principale su cui si fonda il social engineering consiste nello sfruttare le emozioni per manipolare le vittime, spingendole, in diversi modi, a compiere una determinata azione (ad esempio, effettuare un trasferimento bancario), con i cybercriminali sempre più abili a rendere credibili gli attacchi. Il più delle volte, il social engineering si basa sull'invio di messaggi di testo o e-mail, perché ciò permette loro di evitare conversazioni vocali.
Tra le tecniche più comuni troviamo:
- Phishing: il classico esempio è quello del truffatore che si spaccia per uno dei dirigenti dell'azienda presa di mira e richiede un trasferimento bancario urgente verso conti offshore, ad uno dei suoi dipendenti.
- Vishing e smishing: tramite l'utilizzo di software per la sintesi vocale, e per la composizione automatica delle chiamate, i cybercriminali effettuano chiamate alle potenziali vittime (da qui il nome vishing, ossia voice phishing), o inviano loro SMS (smishing, ossia sms phishing) promettendo ricompense e regali in cambio di un modesto pagamento.
- Truffa del CEO: normalmente quando sono i dirigenti a chiedere ai dipendenti di svolgere un determinato compito, è normale per gli utenti avvertire una certa pressione e urgenza nel portare a termine l'incarico. I cybercriminali sfruttano questa attitudine spacciandosi per il direttore o uno dei dirigenti dell'azienda, così da suscitare nella vittima un senso di urgenza che la spinga a compiere l'azione desiderata dai truffatori. Questo tipo di attacco è noto come truffa del CEO.
- Adescamento: normalmente i truffatori promettono premi o denaro in cambio del pagamento di una modesta somma per coprire magari le spese di spedizione o altri costi. Ma quasi sempre in questi casi, l'offerta è troppo bella per essere vera.
- Tailgating o piggybacking: si verifica nelle grandi aziende, che utilizzano scanner di sicurezza per bloccare l'accesso non autorizzato a determinati locali. I truffatori utilizzano il tailgating o il piggybacking per spingere le vittime ad utilizzare i propri badge così da consentire ai malintenzionati di accedere fisicamente alle aree riservate.
- Quid pro quo: in questo caso si fa leva sul malcontento di eventuali dipendenti scontenti, che potrebbero essere indotti a fornire informazioni sensibili ai malintenzionati in cambio di denaro o altre utilità.
Esempi di attacchi social engineering
Per poter identificare un attacco di social engineering, bisogna prima di tutto sapere come si presenta. Come già visto più volte in questo articolo, questo tipo di attacco fa leva sulle emozioni delle vittime, e ha alcuni elementi in comune indipendentemente dagli specifici obiettivi dell'attacco. Obiettivi che ruotano il più delle volte attorno ad un movente di tipo economico.
Vediamo alcuni dei tipici scenari di attacco social engineering:
- Adescamento: l'attaccante offre la cosiddetta “carota attaccata al bastone” in cui la vittima deve prima pagare una certa somma di denaro per poter ricevere in seguito una grossa vincita alla lotteria o un premio gratuito in cambio del pagamento di una piccola spesa di spedizione. Nei casi più subdoli, i truffatori chiedono donazioni per campagne benefiche inesistenti.
- Risposta a una domanda mai posta: la vittima riceverà un'e-mail di “risposta” a una domanda in realtà mai posta, ma il messaggio richiederà all'utente dettagli personali, conterrà link a siti pericolosi o includerà allegati malware.
- Minaccia di danni economici, furto di account o possibili azioni penali: la paura è uno strumento efficace nel social engineering, quindi per ingannare gli utenti è sufficiente dire loro che subiranno una perdita di denaro o finiranno in prigione se non compiono l'azione loro richiesta dai malintenzionati.
- Truffa del CEO: spacciandosi per un capo o uno dei dirigenti dell’azienda , la vittima viene spinta, facendo leva sul senso di urgenza, ad effettuare un trasferimento bancario.
Come evitare di finire vittima di social engineering
Il senso di urgenza manda in tilt molti utenti, ma chi ha ricevuto un'adeguata formazione, sarà in grado di adottare le contromisure necessarie per evitare di cadere nella trappola dei cybercriminali, a patto che si seguano alcune regole. Quando si riceve e-mail è importante prendersi un minuto per pensare se tutto è legittimo, verificare l'identità del mittente, o nel caso la comunicazione avvenga al telefono, porre qualsiasi domanda per fugare ogni dubbio. Alcune regole da seguire:
- Fate una ricerca prima di rispondere: se vi trovate di fronte ad una truffa comune, troverete altri utenti che ne parlano online.
- Non interagire con una pagina Web dal link: se il mittente di un'e-mail sembra provenire da un'azienda ufficiale, non effettuate l'autenticazione dalla pagina aperta tramite il link. Digitate invece il dominio ufficiale sulla barra degli indirizzi del browser.
- Fate attenzione a comportamenti anomali dei vostri conoscenti: i cybercriminali utilizzano spesso account di posta rubati per ingannare le vittime, quindi siate sospettosi se ricevete da un vostro amico un'e-mail con un link a un sito e poche altre informazioni.
- Non scaricate file: se un'e-mail vi invita a scaricare urgentemente un file, ignorate la richiesta o chiedete assistenza per assicurarvi che la richiesta sia legittima.
Statistiche sul social engineering
Il social engineering rappresenta uno dei modi più comuni ed efficaci per accedere, senza averne diritto, a informazioni riservate. Le statistiche mostrano che l’ingegneria sociale, specialmente in combinazione con il phishing, si rivela estremamente efficace e costa alle organizzazioni milioni di euro di danni all'anno.
Alcune statistiche sul social engineering:
- Il social engineering è responsabile del 98% degli attacchi.
- Nel 2020, il 75% delle aziende ha dichiarato di aver subito attacchi phishing.
- L'incidente informatico più comune nel 2020 è stato il phishing.
- Il costo medio dopo una violazione dei dati è di 150$ per record violato.
- Oltre il 70% delle violazioni dei dati ha inizio da phishing o social engineering.
- Google ha rilevato oltre 2 milioni di siti Web di phishing nel 2021.
- In circa il 43% delle e-mail di phishing i cybercriminali si spacciano per grandi organizzazioni come Microsoft.
- Il 60% delle aziende segnala la perdita di dati dopo un attacco phishing andato a segno, e il 18% degli utenti presi di mira è vittima di phishing.
Prevenire il social engineering
Così come i privati, anche le aziende sono bersagli di ingegneria sociale, quindi è importante che i dipendenti vengano resi consapevoli dei segnali di allarme, così da adottare le misure necessarie per bloccare l'attacco. È compito dell’azienda formare i propri dipendenti, perciò assicuratevi di seguire questi passaggi per fornire loro gli strumenti per identificare un attacco di social engineering:
- Fate attenzione ai dati che vengono rilasciati: che si tratti di social o e-mail, i dipendenti devono sempre sapere se i dati in questione sono sensibili e andrebbero quindi mantenuti riservati.
- Identificate le informazioni importanti: dati come le informazioni di identificazione personale (PII) non andrebbero mai condivise con terze parti, è quindi fondamentale che i dipendenti sappiano quali dati sono considerati PII e quali no.
- Utilizzate le policy per istruire gli utenti: definire una policy, permette agli utenti di sapersi muovere con destrezza nel caso in cui si trovino di fronte a richieste ingannevoli, segnalando prontamente i tentativi di attacchi di ingegneria sociale.
- Mantenete il software anti-malware sempre aggiornato: se qualcuno all'interno dell'azienda scarica software dannoso, l'anti-malware sarà in grado di rilevarlo e di bloccarlo nella maggior parte dei casi.
- Diffidate delle richieste di dati: ogni richiesta di dati va analizzata attentamente. Non abbiate timore a fare ogni domanda che ritenete opportuna e verificate sempre l'identità del mittente prima di soddisfare una richiesta.
- Formate il personale: senza un'adeguata formazione, i vostri dipendenti non saranno in grado di identificare i tentativi di attacco. Perciò offrite loro un training efficace che mostri loro esempi di attacco social engineering reali.
Come può aiutarvi Proofpoint contro il social engineering
Proofpoint sa che gli attacchi di social engineering sono molto efficaci nel prendere di mira le emozioni e far leva sull'errore umano. Per questo abbiamo messo a punto una serie di programmi formativi e per la security awareness che permetteranno ai vostri dipendenti di identificare gli attacchi di social engineering e le e-mail di phishing, prima che possano fare danni.
Prepariamo gli utenti agli attacchi più sofisticati fornendo loro gli strumenti necessari per reagire in caso di attacco. Utilizzando esempi reali, i dipendenti saranno in grado di identificare il social engineering e reagire in base alle policy stabilite dall'organizzazione.
FAQ sul social engineering
Che cos'è l’ingegneria sociale in parole semplici?
Quando si fa riferimento alle minacce informatiche la maggior parte delle persone pensa ai malware, ai virus, o agli hacker che sfruttano le vulnerabilità dei software. Ma anche l’ingegneria sociale rientra a pieno titolo tra le minacce informatiche più subdole e pericolose, con i cybercriminali che manipolano le proprie vittime per spingerle a divulgare dati sensibili, spacciandosi magari per un conoscente o l'assistenza clienti di un servizio utilizzato dalla vittima. In questo modo, si può spingere l'utente a fornire la propria password, o ad effettuare un trasferimento di denaro, come nel caso della truffa del CEO vista in precedenza. I cybercriminali potrebbero avere diversi obiettivi, ma solitamente ciò a cui sono più interessati è la possibilità di accedere agli account delle vittime, e rubare informazioni riservate.
Come funziona il social engineering?
Prima di colpire, i cybercriminali potrebbero avere in mente un obiettivo specifico, oppure potrebbero lanciare un attacco più ampio per accedere a quante più informazioni private possibile. Prima di sferrare l'attacco social engineering, gli hacker fanno un'accurata indagine sull'utente o l'azienda da colpire. Ad esempio, potrebbero raccogliere nominativi e indirizzi e-mail del personale del reparto finanziario dalla pagina LinkedIn di un'azienda per identificare le vittime da colpire e comprendere quali procedure operative vengono utilizzate all'interno dell'azienda.
La fase di ricognizione è vitale per il successo di un attacco di social engineering. Chi sferra l'attacco ha bisogno di comprendere appieno l'organigramma dell'azienda individuando le figure che hanno l'autorità per eseguire le azioni necessarie agli hacker. Nella maggior parte degli attacchi social engineering, i truffatori si spacciano per un conoscente della vittima. Maggiori informazioni si hanno a disposizione sull'utente preso di mira, maggiori saranno le probabilità di successo dell'attacco.
Dopo aver raccolto un numero sufficiente di informazioni, gli hacker passeranno poi alla seconda fase. Ogni attacco è differente e richiede una pianificazione diversa in base a quelli che sono gli obiettivi dei cybercriminali, le difese messe in campo dall'azienda, e molti altri fattori. In certi casi, ci vogliono mesi per instaurare un legame di fiducia con la vittima. Altri attacchi sono invece estremamente rapidi, come nel caso in cui si riesce a suscitare un senso di urgenza nella vittima. Ad esempio, i truffatori potrebbero contattare telefonicamente la vittima fingendo di essere uno degli addetti al reparto IT dell'azienda, per indurre così l'utente a divulgare la propria password.
Quali sono le fasi di un attacco di ingegneria sociale di successo?
Tutti gli attacchi informatici di successo hanno alla base una meticolosa strategia. Nessun dettaglio può essere lasciato al caso se si vuole spingere la vittima a compiere una determinata azione e aumentare le chance di successo. Le fasi principali sono quattro:
- Raccolta delle informazioni: questo primo passaggio è fondamentale per il successo dell'attacco. Gli hacker raccolgono le informazioni da fonti pubbliche come articoli di giornale, LinkedIn, social media e ovviamente il sito Web dell'azienda da colpire. Questo passaggio consente di acquisire familiarità con le dinamiche di funzionamento dei reparti e delle procedure aziendali.
- Stabilire la fiducia: a questo punto, è il momento per il malintenzionato di contattare l'utente preso di mira. Questo passaggio è molto delicato, perché richiede il saper conversare ed essere convincenti, preparandosi a gestire le possibili domande della vittima ed essere abbastanza credibili da spingerla a compiere l'azione desiderata. Il truffatore dovrà dimostrarsi amichevole per tentare di stabilire un legame personale con l'utente preso di mira.
- Sfruttamento: dopo che il truffatore ha indotto la vittima a divulgare informazioni, inizia lo sfruttamento, che in base agli obiettivi dell'attaccante, può andare dal trasferimento di denaro, all'accesso a un sistema, fino al furto di file e segreti commerciali.
- Esecuzione: con le informazioni così ottenute, l'attaccante può ora perseguire il suo obiettivo finale e sparire alla velocità della luce. La strategia di uscita prevede l'utilizzo di metodi per coprire le tracce lasciate durante l'attacco, compresa l'elusione dei sistemi di sicurezza informatica interni all'azienda, che potrebbero avvisare gli amministratori che un dipendente è appena rimasto vittima di un attacco phishing.
Qual è la forma più comune di social engineering?
Il termine social engineering è piuttosto ampio e fa parte di molte delle strategie utilizzate dai cybercriminali. Per andare a segno il social engineering necessita dell'errore umano e proprio per questo tale attacco viene spesso rivolto a chi lavora all'interno di un'azienda. La forma più comune di social engineering è il phishing, diffuso tramite messaggi di posta elettronica. Sotto la categoria phishing troviamo poi il vishing (voce) e lo smishing (messaggi di testo). Un tipico attacco di phishing, viene sferrato con l'obiettivo di ottenere informazioni per scopo di lucro o per trafugare dati.
In un'e-mail di phishing, solitamente i cybercriminali si spacciano per qualcuno appartenente ad una determinata azienda o organizzazione, o addirittura per un membro della famiglia. Il messaggio potrebbe richiedere una semplice risposta o contenere un link a un sito Web compromesso. Le campagne di phishing possono avere come obiettivo persone specifiche all'interno di un'azienda (spear phishing) oppure possono essere inviate centinaia di e-mail a utenti casuali nella speranza che qualcuno cada nella trappola. Nonostante le campagne di phishing non mirate abbiano una bassa percentuale di successo, potrebbero bastare soltanto poche vittime che cadono nel tranello per permettere ai cybercriminali di ottenere cospicui guadagni.
Le due varianti di phishing, lo smishing e il vishing, hanno gli stessi obiettivi di una campagna di phishing generica, ma si contraddistinguono per l'utilizzo di canali differenti. Un attacco “smishing” si basa sui messaggi di testo per informare ad esempio gli utenti presi di mira, che hanno vinto un premio e devono pagare soltanto le spese di spedizione per poter ricevere i loro regali. Il vishing richiede invece un apposito software di sintesi vocale, con l'obiettivo di far credere alla vittima che stia parlando con qualcuno appartenente ad un'organizzazione legittima.
Qual è la percentuale di hacker che utilizza l’ingegneria sociale?
I’ingegneria sociale è utilizzata molto spesso dagli hacker, semplicemente perché è una tecnica efficace. Quando poi viene utilizzato in combinazione con il phishing, diventa ancora più potente e permette ai cybercriminali di mettere le mani su denaro e informazioni sensibili delle vittime, come credenziali di rete e informazioni bancarie. Se si pensa che la maggior parte delle e-mail ricevute da privati e aziende sono e-mail di spam o truffa, si capisce come sia fondamentale integrare la sicurezza informatica con qualsiasi sistema di posta elettronica.
Si stima che il 91% degli attacchi informatici abbia inizio con un messaggio di posta elettronica. Spesso viene sfruttato il senso di urgenza per mettere pressione sulle vittime, affinché compiano azioni avventate, anziché prendersi il tempo di analizzare bene nei dettagli il messaggio per capire che si tratta di una truffa. Solo il 3% degli attacchi avviene tramite malware, mentre il restante 97% degli attacchi avviene tramite social engineering. Negli attacchi più sofisticati e strutturati poi, la vittima riceve un'e-mail, quindi una chiamata telefonica o un messaggio di follow-up.
Il social engineering è illegale?
Il social engineering è un vero e proprio crimine perché utilizza l'inganno per indurre le vittime a divulgare informazioni sensibili, portando poi ad ulteriori illeciti come accesso fraudolento a una rete privata, furto di denaro o furto dell'identità dell'utente per la successiva vendita di dati personali sui mercati del dark web.
Le truffe ai consumatori sono comuni negli attacchi di ingegneria sociale. I truffatori si spacciano per un'organizzazione legittima che offre premi in denaro in cambio di dati finanziari o del pagamento di una piccola somma. Dopo che la vittima ha fornito i suoi dati bancari, i criminali rubano direttamente dal conto in banca del malcapitato oppure vendono il numero della carta di credito sui mercati del dark web. Il furto di identità e il furto di denaro alle vittime sono reati particolarmente gravi.
Una parte del social engineering è classificata come reato e comporta solo multe e pene detentive a breve termine. Se poi i crimini coinvolgono importi economici elevati, o prendono di mira parecchie vittime, possono comportare pene più aspre e multe più salate. Alcuni di questi crimini portano a cause civili che vedono i truffatori condannati in favore delle vittime.
Quanto è comune il social engineering?
Dipende, ma si stima che sia utilizzato all'incirca nel 95%-98% degli attacchi contro privati e aziende. Uno degli obiettivi principali è ottenere l'accesso ad account con privilegi elevati e il 43% degli amministratori dei reparti IT interni alle aziende ha segnalato di essere bersaglio di attacchi di social engineering. I nuovi assunti sono anche più soggetti a questo tipo di attacchi. Le aziende affermano infatti che il 60% dei neoassunti sono obiettivo degli attacchi, piuttosto che membri del personale già in azienda da tempo.
Grazie al successo del social engineering, negli ultimi anni gli attacchi basati su phishing e furto di identità hanno visto un incremento addirittura del 500%. Oltre al furto di identità esistono altri motivi per cui il social engineering rappresenta un vettore di attacco primario:
- Accesso illecito all'account per furto di dati o denaro
- Accesso a conti bancari o carte di credito
- Semplici motivi di disturbo
L'ingegneria sociale è etica?
L’ingegneria sociale è a tutti gli effetti un crimine, per cui c'è ben poco di etico nel prendere di mira privati cittadini e aziende, i truffatori non si fanno scrupoli. Tutti possono essere un bersaglio per i cybercriminali, quindi sia i singoli individui che i dipendenti delle aziende dovrebbero essere consapevoli di come funziona il social engineering. Un utente malintenzionato deve conoscere bene il proprio obiettivo ed eseguire una serie di accurate indagini prima di lanciare una campagna di social engineering. Perciò è importante che gli utenti comprendano come funziona questo tipo di attacco.
Il primo segnale di allarme, che deve farvi pensare al fatto che vi state trovando di fronte ad un probabile attacco di social engineering è che il chiamante nel caso di una telefonata o il mittente dell'e-mail non risponderà a nessuna delle vostre domande e vi scoraggerà dal porre domande di chiarimento sul motivo dell'urgenza della loro richiesta. Le richieste che vi vengono fatte possono sembrare discrete, ma in realtà vi portano a divulgare informazioni sensibili senza rispondere a nessuna delle vostre domande. In una normale transazione finanziaria legittima, la controparte o la banca risponde invece a tutte le vostre domande affinché vi sentiate totalmente a vostro agio nel concludere la transazione.
Un altro segnale di allerta è quando chiedete al truffatore di essere contattati telefonicamente per parlare a voce, ma egli rifiuterà. La maggior parte dei criminali utilizza soltanto il phishing via messaggio e via e-mail, quasi mai conversazioni vocali. Se chiedete di avere una conversazione vocale con il richiedente, l'attaccante rifiuterà. Anche se non è sempre il caso, dovrebbe darvi da pensare che il mittente dell'e-mail non provenga in realtà da un'organizzazione legittima. In ogni caso, dovreste riagganciare la chiamata o interrompere la comunicazione con il mittente dell'e-mail e chiamare direttamente il numero di telefono sul sito Web dell'azienda.
L'unico caso in cui il social engineering è considerato etico, è quando si assume un hacker white-hat per effettuare penetration test sulla rete aziendale al fine di mettere alla prova tutti i dipendenti, e individuare quali sono più a rischio e hanno bisogno di una maggiore formazione riguardo al social engineering. Durante un classico penetration test, l'ethical hacker certificato contatterà i dipendenti per valutare se divulgheranno le proprie credenziali di rete o invierà e-mail di phishing con link a siti web potenzialmente dannosi. Vengono così registrati tutti gli utenti che fanno click sul link, e quelli che vanno oltre, fornendo anche le proprie credenziali di accesso alla rete. Questa attività permette alle aziende di individuare i dipendenti più vulnerabili ad attacchi social engineering così da fornire loro una maggiore formazione sui protocolli e le politiche di sicurezza da seguire.
Qual è il costo di un attacco di social engineering?
Secondo l'FBI (Federal Bureau of Investigations), il social engineering costa alle aziende 1,6 miliardi di dollari a livello globale, con una spesa media di 11,7 milioni di dollari all'anno per i crimini legati alla sicurezza informatica.
Ciò che va a pesare sui costi è spesso il tempo impiegato dalle aziende per rilevare una violazione dei dati, che è mediamente di 146 giorni. In un attacco di social engineering è molto più complicato per gli amministratori e per l'infrastruttura di sicurezza determinare quando un dipendente cade nella trappola dei truffatori. Qualsiasi dipendente con accesso all'infrastruttura aziendale, quando cade nella trappola del social engineering e magari installa software dannoso, fornisce le proprie credenziali ai truffatori, o divulga dati sensibili, può lasciare l'ambiente vulnerabile agli aggressori.