25 marzo 2025
Una donna entra nell'atrio di un ufficio aziendale. È la prima volta che mette piede in questo edificio. Nessuno qui l'ha mai vista prima. Non è una dipendente. Non è ospite di nessuno. Non ha credenziali.
Ma, dal modo in cui la gente reagisce alla sua presenza, non si direbbe. In realtà non reagiscono affatto. La ignorano stancamente, come se fosse un apparecchio da ufficio particolarmente noioso: nemmeno come un biliardino della sala ristoro, ma proprio come una pianta in vaso di plastica imbullonata al pavimento che sta sempre lì e non merita nemmeno che ci si fermi a guardarla.
Senza ostacoli, si dirige verso la reception.
"Salve", saluta un po' timidamente.
La testa dell'addetta alla reception si alza di scatto dal suo monitor, con un'impazienza che suggerisce che sia felice per la distrazione (perché Jerry della contabilità sta ancora cliccando "Rispondi a tutti" a e-mail che dovrebbero essere private.)
Il sollievo lascia rapidamente il posto alla perplessità mentre accoglie la sconosciuta alla sua scrivania. Aggrotta le sopracciglia mentre cerca di ricordare chi è la visitatrice (senza riuscirci)
"Scusi per il disturbo", continua la donna, "ma ho un colloquio nell'ufficio accanto e ho rovesciato il caffè sul mio curriculum. Posso chiederle di stamparmene una nuova copia? Ho il file proprio qui."
La donna tira fuori una chiavetta USB con un gesto plateale. Ta-da! Il volto della receptionist si addolcisce in un sorriso. Naturalmente aiuterà questa poveretta. Dopo le imprecazioni che ha lasciato volare nel traffico dell'ora di punta di Los Angeles questa mattina, ha proprio bisogno di un po' di karma positivo.
La receptionist inserisce la chiavetta USB nel suo computer senza pensarci due volte. Le due fanno chiacchierano mentre lei si dirige verso l'unico file presente sull'unità e fa doppio clic, innescando una complessa catena di eventi che porterà, entro la fine della giornata, a compromettere l'intera rete.
Il curriculum, infatti, non è affatto un curriculum, ma un malware abilmente camuffato che ora si sta installando segretamente sul computer della receptionist. Lei non sospetta nulla, e chi può biasimarla? La donna sembra gentile e i suoi genitori l'hanno educata a cercare di aiutare sempre gli altri.
Rafforza la tua intelligence sulla sicurezza
Rimani al passo con le minacce con notizie e insight su sicurezza, AI e altro ancora, ogni settimana con la newsletter Think.
Quello che abbiamo appena letto è basato su una storia vera, in cui io ero la visitatrice che ha ingannato una segretaria ben intenzionata facendole compromettere la sua azienda. Nessuna buona azione rimane impunita, giusto?
Vorrei sottolineare che in realtà non ho infettato il computer di nessuno con un ransomware ed ero autorizzata a essere lì: l'azienda mi aveva assunto per fare una valutazione fisica dei locali, la mia specialità. E come possiamo vedere, ho effettivamente trovato alcuni punti deboli.
Ma solitamente trovo dei punti deboli quando faccio valutazioni fisiche o digitali, soprattutto i punti deboli di ingegneria sociale.
Nonostante tutti i corsi di formazione, gli avvisi delle forze dell'ordine, le storie di rapine multimilionarie e gli avvertimenti degli esperti (come me!), gli attacchi di ingegneria sociale continuano a coglierci alla sprovvista.
Si potrebbe pensare che sia abbastanza semplice: "Non accettare chiavette USB dagli sconosciuti", ma l'ingegneria sociale funziona proprio perché sfrutta i nostri istinti più umani, come il desiderio di aiutare gli altri.
E i truffatori sfruttano anche altre emozioni.
Gli aggressori fanno leva sulla curiosità delle persone, presentando storie improbabili e promettendo favolose ricompense che invogliano le vittime a scoprire cosa succede dopo.
Vediamo spesso questa tattica nelle truffe di "pig butchering", in cui gli aggressori si spacciano per ricchi investitori con una "opportunità" che sicuramente farà guadagnare milioni alla vittima. (Non succederà.)
Gli aggressori evocano la paura, spesso fingendosi un capo, un poliziotto o un'altra figura autoritari, e minacciando la perdita del lavoro o il carcere se la vittima non fa come gli viene detto. Questa veste funziona fin troppo bene perché ci viene insegnato a obbedire alle autorità praticamente dal momento in cui nasciamo.
Gli aggressori utilizzano la minaccia della scarsità, proprio come le televendite della vecchia scuola: "Fai in fretta! Fino ad esaurimento scorte!»
Ad esempio, intorno all'orario di apertura dei periodi di iscrizione, i truffatori spesso si spacciano per rappresentanti delle risorse umane o dell'assicurazione sanitaria: "La finestra per iscriversi a un piano si sta chiudendo, quindi è meglio che mi dia subito il suo numero di previdenza sociale!"
Gli aggressori costringono le vittime con la prova sociale. La maggior parte di noi vuole confondersi con la folla. Se riceviamo un'e-mail (abbastanza sospetta) in cui affermiamo di essere l'ultima persona della nostra organizzazione a partecipare al sondaggio sui dipendenti (sorprendentemente invadente), non ci facciamo venire nessun dubbio.
È proprio come la pressione sociale che si sente al liceo: Lo fanno tutti! Solo che, in questo caso, il "lo fanno tutti" significa "consegnare la propria password a un hacker" invece di "fumarsi una sigaretta in bagno".
Per suscitare queste emozioni, i truffatori inventano pretesti (storie false) e personaggi (ruoli che interpretano). Ad esempio:
"Sono Susan del reparto IT. Forse non hai mai sentito parlare di me perché sono nuova, ma hai saputo della migrazione della posta elettronica, vero? Devo configurare il tuo nuovo account. Sei l'ultimo del tuo reparto. Mi servirebbe la tua password...”
A volte penso che, se queste persone aprissero una compagnia teatrale, il numero di attacchi di ingegneria sociale verrebbe dimezzato. Sarebbe una sana valvola di sfogo per le loro fantasie. Però un po' li capisco, anche a me piace indossare parrucche quando entro negli edifici dei clienti.
Comunque, non per essere pessimista, ma dobbiamo affrontare i fatti. Non riusciremo mai a sconfiggere completamente l'ingegneria sociale. Non svilupperemo mai un filtro antispam che gli aggressori non possano ingannare con un travestimento intelligente. Non esisterà mai un test infallibile per distinguere i falsi dagli elementi o dai personaggi autentici, che si tratti di un messaggio della tua banca o di una signora maldestra con un curriculum macchiato di caffè.
Finché le persone avranno emozioni, i truffatori ne approfitteranno. (Forse i nostri signori dell'AI devono sbrigarsi.)
Questa sicuramente è una buona notizia per me in quanto Chief People Hacker, ma non tanto per tutti gli altri.
Il lato positivo è che gli anni che ho passato a spacciarmi per un truffatore mi hanno insegnato che più ostacoli poniamo ai potenziali aggressori, meno è probabile che ci colgano alla sprovvista.
Per farlo, ecco alcuni dei metodi più efficaci con cui la tua organizzazione può tenere a bada gli attacchi di ingegneria sociale.
Il motivo per cui gli attacchi di ingegneria sociale si basano su emozioni forti, come la paura e la pressione sociale, è di indurre le persone ad agire senza pensare.
"Oh no, il mio capo dice che saremo nei guai seri se non pago immediatamente questa fattura salatissima. Meglio che me ne occupi subito!"
Il mio consiglio è sempre fare un bel respiro e valutare qualsiasi testo, e-mail, telefonata o altro messaggio. È più facile a dirsi che a farsi, ma è la difesa più efficace contro gli attacchi di ingegneria sociale. Se la maggior parte delle persone leggesse attentamente le proprie e-mail e si facesse qualche domanda prima di reagire, inizierebbe a vedere chiaramente i segnali di allarme.
"Un attimo. I nostri pagamenti ai fornitori di solito non sono così grandi. E perché il mio capo mi sta inviando un'e-mail diretta invece di avvisarmi tramite il sistema contabile? Meglio che chieda."
Un altro consiglio: per chiedere delucidazioni riguardo a richieste sospette, è bene utilizzare un canale di comunicazione diverso. Se il tuo capo ha inviato un'e-mail strana, chiamalo per confermare. Se il messaggio originale è un attacco di ingegneria sociale, rispondere direttamente ti porterebbe direttamente a comunicare con i truffatori.
Sembra ovvio, ma fin troppe organizzazioni si affidano a corsi di formazione generici sulla sicurezza informatica che non descrivono i veri attacchi che i dipendenti dovranno affrontare.
Non saprei dire quante volte ho esaminato la formazione di un cliente solo per scoprire che è estremamente datata e si concentra su cose che gli aggressori non fanno nemmeno più. (I principi nigeriani ormai sono fuori moda, mentre la novità sono gli investimenti in criptovalute.)
I corsi di sensibilizzazione devono basarsi sia sulle migliori pratiche standard del settore che sul contesto unico della sua organizzazione. Ricevi tipi di telefonate specifici? I truffatori usano pretesti e identità particolari quando prendono di mira i tuoi dipendenti? Incorporali nella formazione sulla consapevolezza della sicurezza.
Un tipo di formazione che riceve meno attenzione di quanto meriti è l'uso di esercizi di cyber range.
I cyber range sono ambienti fisici o virtuali che simulano reti del mondo reale e attacchi informatici. Li utilizziamo per eseguire simulazioni di crisi informatiche, in cui sottoponiamo dirigenti e altri membri del team a un attacco simulato, come un'infezione da ransomware, e vediamo come rispondono.
Se pensi che io stia solo promuovendo Big Cyber Range, permettimi di spiegarmi meglio: forse il beneficio più grande di una simulazione di crisi informatica è che aiuta a capire cosa manca nei vostri piani di risposta alla crisi.
Molte organizzazioni si presentano ai nostri cyber range con un piano in atto, ma quando si arriva al dunque, si accorgono subito che ci sono enormi lacune: tattiche che non avevano considerato, responsabilità mai assegnate, piani di comunicazione mai chiariti.
Eseguendo una simulazione di crisi informatica, i team possono determinare chi è responsabile di cosa e chi collabora con chi prima che gli hacker bussino alla porta. In questo modo, nessuno rimarrà a bersi il suo caffè nella sala ristoro mentre la rete brucia tutto intorno, come il cane del meme "This is fine".
Uno dei modi più semplici per fermare gli aggressori è richiedere la verifica per ogni richiesta importante o insolita: pagare le fatture, condividere informazioni riservate, aiutare il CEO ad acquistare buoni regalo iTunes per il personale delle pulizie.
(Ok, quest'ultimo caso è sicuramente una truffa.)
Il problema è che molte organizzazioni utilizzano fattori di verifica facili da indovinare, come compleanni o date di inizio. Raccomando invece fattori molto più difficili da falsificare o scoprire.
Ad esempio, l'estate scorsa, un dirigente della Ferrari ha sventato un tentativo di truffa vishing (phishing vocale) chiedendo ai truffatori (che stavano usando strumenti di clonazione vocale per spacciarsi per CEO!) quale libro gli era stato consigliato di recente dal vero CEO. I truffatori, presi alla sprovvista, hanno subito riattaccato.
Ma, a meno che tu non gestisca una biblioteca, probabilmente non potrai basare tutte le verifiche sui consigli sui libri. Però ci sono altre cose che si possono fare. Uno dei miei clienti utilizzava password a rotazione che venivano cambiate ogni lunedì. Sfortunatamente, questo era l'unico fattore di verifica che hanno usato, quindi sono riuscita comunque a violare il loro sistema inducendo qualcuno a darmi la password.
E questo mi porta al punto successivo: gli strati. Non chiedere un solo fattore di verifica. Chiedine due o tre. Quanto più è elevata la posta in gioco della richiesta, tanti più fattori dovresti richiedere. È molto più difficile per i truffatori ingannare qualcuno quando devono raccogliere più informazioni.
È possibile sottoporre tutti a una formazione all'avanguardia e sviluppare politiche a prova di bomba. Se le persone non hanno gli strumenti di cui hanno bisogno per mettere in pratica ciò che gli viene insegnato, è tutto inutile.
Torniamo un momento alla storia che ho raccontato prima. Mi sono presa qualche libertà creativa. Non è vero che nessuno mi ha notata. Una persona lo ha fatto, la donna che ho seguito nell'edificio.
Vedi, per entrare, i dipendenti dovevano passare un badge. Io non ne avevo uno, quindi ho dovuto usare l'antica arte del tallonare la gente, cioè seguire qualcuno così da vicino da indurlo a tenere aperta la porta perché sbattermela in faccia sarebbe maleducato.
Mentre seguivo questa donna, ho capito subito che si era accorta che qualcosa non andava. L'occhiataccia che mi ha lanciato valeva più di mille parole. Immaginando che la mia copertura fosse saltata, mi ero già immaginata di venire lanciata fuori da una guardia nerboruta, stile cartone animato.
Con mia grande sorpresa, ciò non è accaduto. Ho potuto svolazzare in giro a distribuire USB come la fatina del malware per ore, prima di andare in scena con il gran finale al banco della reception.
E, mentre ero lì a guardare l'addetta della reception stampare il mio curriculum, ho assistito a parte di una curiosa conversazione che si svolgeva proprio dietro di me. Qualcuno stava descrivendo una persona che aveva visto, che suonava molto simile a me. Il mio outfit. La mia altezza. Il colore dei miei capelli.
Con attenzione, rapidamente, mi sono guardata alle spalle. Ed eccola lì. La donna della porta, che mi descriveva a una guardia di sicurezza che scorreva i feed delle telecamere del suo laptop. Mi cercava mentre io ero a pochi metri di distanza.
In qualche modo sono comunque riuscita a sgattaiolare via senza farmi scoprire.
Quando sono tornata a discutere i risultati della mia valutazione con il mio cliente, la prima cosa che ho chiesto è stata: "Perché ci è voluto così tanto tempo?". La donna mi ha notato mentre entravo nell'edificio, ma mi ha denunciato solo tre o quattro ore dopo.
Abbiamo fatto delle ricerche e abbiamo scoperto che voleva denunciarmi molto prima. Solo che non sapeva come fare. Le ci sono volute un paio d'ore per trovare l'indirizzo e-mail giusto e un altro paio perché la sicurezza le rispondesse.
Questa è una cosa che succede spesso: una persona mi sorprende mentre mi accodo per l'ingresso. Io dico: "Grazie!" con la mia voce più flautata, questa persona mi guarda dall'alto in basso, non mi riconosce. Ma cosa deve fare?
Non sa cosa dire. Non sa come impedire a qualcuno di seguirlo, o come rifiutare educatamente la richiesta di uno sconosciuto di usare una stampante. Non è detto che le persone siano educate a mettere in discussione gli altri né tanto meno a dire "no" senza mezzi termini, perché voler aiutare fa parte della natura umana.
Il mio punto è che non è sufficiente emettere comandi come "Non far entrare estranei nell'edificio" o "Segnala le persone sospette alla sicurezza". Spiega esattamente ai clienti come si svolgerà questo processo e offri loro l'opportunità di esercitarsi come parte della loro formazione.
Se vedi qualcuno che si aggira senza un badge identificativo e non ha un aspetto familiare, fermalo. Chiedi: "Posso aiutarla? La accompagno a fare il check-in." Se qualcuno chiede di usare una stampante, dica: "Prima devo farle avere un badge, è solo una formalità! Andiamo ai controlli di sicurezza."
E non aspettarti che la gente impari a memoria questi passaggi. È facile agitarsi quando ci si trova di fronte alla realtà. Assicurati che ogni postazione, ogni dispositivo e scrivania, abbia una guida prontamente disponibile per rispondere agli attacchi di ingegneria sociale fisici e digitali. Includi numeri di telefono importanti, indirizzi e-mail e istruzioni dettagliate per la segnalazione.
Se quella donna fosse stata in grado di agire non appena mi ha visto, non sarei mai riuscita a ingannare l'addetta della reception.
Quindi, a pensarci bene, la colpa è sua, non mia.