skip to Main Content

Cyber Security, le mille sfumature del social engineering

Cyber Security, Le Mille Sfumature Del Social Engineering

di Pierguido Iezzi

Il social engineering diventa sempre più una minaccia alla cyber security

Non c’è dubbio, la tecnologia oggi ci ha sostituito e battuto in tantissimi campi. Una macchina oggi è in grado di batterci a una partita di scacchi, sa essere più efficiente dell’uomo in una catena di montaggio e – sembra – a breve guiderà meglio di noi… Ma se c’è un ambito dove ancora non è riuscita ad avere la meglio è quello della protezione contro i Cyber attacchi. Gli scammer che popolano la rete lo sanno bene, se riescono a ingannare le loro vittime nel fornire le proprie credenziali per loro il gioco è fatto! Per questo motivo il social engineering non sembra conoscere battute d’arresto. Anzi, sta diventando sempre più un’epidemia e una minaccia alla cyber security.

Il phishing

Ovviamente il metodo che ancora regna incontrastato nel mondo del social engineering è il caro e vecchio Phishing. L’email preparata ad hoc per apparire legittima, che manipola la vittima per ingannarla a rivelare informazioni sensibili. L’obiettivo è far sì che clicchi su link malevoli o apra allegati contenenti malware. Non sono mancati i casi di altissimo profilo nell’anno appena passato di società quotate in borsa che si sono trovate a dover gestire perdite milionarie a causa di Data Breach, nati proprio da una semplice mail di phishing. Uno studio condotto negli Stati Uniti ha evidenziato come il 32% dei Data Breach occorsi nel 2019 dall’altra parte dell’oceano erano originati proprio da mail di phishing; percentuale che arrivava al 50% se venivano presi in considerazione i Cyber Security Incident in senso lato.

Il successo del phishing: costi molto bassi e una percentuale di successo sempre altissima. I dirigenti delle aziende sono sempre più presi di mira

C’è un motivo per cui gli attacchi phishing sono sempre un evergreen: il costo è molto basso e la percentuale di successo rimane sempre altissima. Negli ultimi anni, un trend degno di nota è quello della particolare attenzione messa dal cybercrime nel creare campagne di Phishing indirizzate alle figure dirigenziali delle aziende che prendono di mira. Solitamente queste figure hanno una mole di mail da gestire impegnativa e tendono ad essere occupati, nonché sotto troppa pressione per analizzare di qualsiasi singolo messaggio all’interno della loro cartella di posta in arrivo. Non solo. In virtù del loro ruolo, hanno anche privilegi di accesso praticamente senza limiti, motivo in più perché sono sempre di più appetibili.

IoT, cybercrime, “sniffing” e Social Engineering

Come se non bastassero i canali “tradizionali”, dobbiamo fare i conti con la recente espansione dell’Internet delle cose (IoT). Questo sta rapidamente diventando l’Internet di tutto (IoE), con miliardi di dispositivi “intelligenti”, in molti casi ricchi di funzionalità ma poveri nella cyber security. Nelle nostre case sono sempre più presenti elettrodomestici Smart, connessi alla rete e ai nostri account e si stanno moltiplicando anche le funzionalità – in stile amazon – “one-click” per effettuare acquisti frequenti. Il cybercrime potrebbe facilmente sapere – per esempio nel caso di un frigorifero smart – cosa stava finendo l’utente, “sniffando” dati apparentemente irrilevanti e non criptati dei nodi dei sensori inviati dal frigorifero al controller domotico, che si connette all’utente via Internet attraverso il proprio router domestico a banda larga. Da lì potrebbe inviare messaggi malevoli, simulando un alert dell’elettrodomestico Smart, ma di fatto sottraendo i dati di pagamenti utilizzati per gli acquisti.

La cyber security nell’IoT ancora latita, avvantaggiando i Criminal Hacker

I dispositivi intelligenti IoT sono ancora relativamente nuovi, a differenza della posta elettronica, che esiste da decenni. Di conseguenza, gli utenti non sono ancora sufficientemente sensibilizzati ai comportamenti dannosi che potrebbero originarsi da sistemi di domotica, ma anche quelli legati ad aspetti delle nascenti Smart cities o simili…Quindi, non tengono nelle debite considerazioni gli accorgimenti di cyber security, avvantaggiando di fatto i Criminal Hacker.

La difesa? Tecnologia e Awareness

Ovviamente, nell’era dei Deepfake, dove anche le voci generate digitalmente riescono sempre ad essere più convincenti, approntare una difesa contro il social engineering non può essere un effort unicamente tecnologico o unicamente legato alla formazione (anche se questa ancora la fa da padrone). C’è bisogno di una combinazione per ridurre al minimo il rischio di diventare l’ennesima vittima. Adottare servizi come Il Phishing Simulation Attack, che sottopone a simulazioni di attacco da parte di scammers i dipendenti di un’azienda, effettuati con una certa regolarità possono essere la differenza tra respingere un attacco o trovarsi a fronteggiare un Cyber Security Incident. L’elemento chiave, quindi, è la formazione dei dipendenti, dove ci sono degli step fondamentali che questi non devono ignorare.

Come migliorare la cyber security contro il phishing e il social engineering 

Per migliorare la cyber security contro il phishing e il social engineering sono sufficienti pochi passi:

  1. Segnalare ogni contenuto potenzialmente pericoloso come SPAM. Se pensi di essere oggetto e bersaglio di una campagna di phishing, segnalalo al tuo client di posta contrassegnandolo come SPAM;
  2. Ricevuto un messaggio, verificarne sempre la sua provenienza. Un indicatore possibile di phishing, come abbiamo visto in precedenza, sono gli errori: rileggilo più e più volte se non sei sicuro;
  3. Nel caso in cui viene individuato il chiaro tentativo di phishing, ovviamente, non cliccare su alcun link presente nel messaggio e, tanto meno, non scaricarne eventuali allegati;
  4. Non tenere aperte troppe schede nel tuo browser, abbiamo già visto quanto può essere pericoloso il tabnabbing.

Alcuni suggerimenti per le aziende in particolare

Lato azienda, oltre alla continua formazione non bisogna ignorare questi passaggi:

  1. I dipendenti dovrebbero seguire alla lettera le indicazioni specificate sopra, punto fondamentale per una corretta gestione del rischio;
  2. Aggiornare costantemente i web browser;
  3. Eseguire attività di Vulnerability Assessment per essere certi che i siti web e le web application aziendali siano prive di vulnerabilità potenzialmente attaccabili da un terzo malintenzionato;
  4. Svolgere periodicamente attività di Network Scan per essere certi che la propria infrastruttura IT aziendale sia al riparo da spiacevoli attacchi.

Tuttavia è evidente come il punto fondamentale su cui insistere è quello della formazione, ma come può un’azienda istruire i propri dipendenti a comportarsi. Non dobbiamo neppure sottovalutare misure più lato software come filtri email intelligenti, geo-restrizioni e firewall reactive abbinati a filtri dei contenuti. 

Back To Top