Cos'è l'ingegneria sociale?

Cos'è l'ingegneria sociale?

Gli attacchi di ingegneria sociale manipolano le persone inducendole a condividere informazioni che non dovrebbero condividere, a scaricare software che non dovrebbero scaricare, a visitare siti web che non dovrebbero visitare, a inviare denaro a criminali o a commettere altri errori che compromettono la loro sicurezza personale o quella dell'organizzazione.

Un'e-mail che sembra provenire da un collega fidato e che richiede informazioni sensibili, un messaggio vocale minaccioso che afferma di provenire dall'Agenzia delle entrate, una ricca offerta di denaro da parte di un potentato straniero sono solo alcuni esempi di ingegneria sociale. Poiché l'ingegneria sociale utilizza la manipolazione psicologica e sfrutta l'errore o la debolezza umana piuttosto che le vulnerabilità tecniche o digitali del sistema, viene talvolta definita "hacking umano".

I criminali informatici spesso impiegano tattiche di ingegneria sociale per ottenere dati personali o informazioni finanziarie (credenziali di accesso, numeri di carte di credito, numeri di conti bancari, numeri di previdenza sociale). Utilizzano le informazioni rubate per il furto di identità, con cui riescono a effettuare acquisti con il denaro o il credito di altre persone, richiedere prestiti a nome di altri, ottenere i sussidi di disoccupazione di altre persone e altro ancora.

Ma un attacco di ingegneria sociale può anche essere la prima fase di un attacco informatico su larga scala. Ad esempio, un criminale informatico potrebbe indurre una vittima a condividere un nome utente e una password e quindi utilizzare tali credenziali per installare ransomware sulla rete del datore di lavoro della vittima.

L'ingegneria sociale è attraente per i criminali informatici perché consente loro di accedere a reti, dispositivi e account digitali senza dover svolgere il difficile lavoro tecnico di aggirare firewall, software antivirus e altri controlli di cybersecurity.

Questo è uno dei motivi per cui l'ingegneria sociale è oggi la principale causa di compromissione della rete, secondo il report State of Cybersecurity 2022 di ISACA. Secondo il report Cost of a Data Breach di IBM, le violazioni causate da strategie di ingegneria sociale (come il phishing e la compromissione delle e-mail aziendali) sono tra le più onerose.

Newsletter Think

Il tuo team sarebbe in grado di rilevare in tempo il prossimo zero-day?

Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'informativa sulla privacy IBM.

https://www.ibm.com/it-it/privacy

Come e perché l'ingegneria sociale funziona

Le tattiche e le tecniche di ingegneria sociale sono fondate sulla scienza della motivazione umana. Manipolano le emozioni e gli impulsi delle vittime in modi collaudati per spingere le persone a compiere azioni contrarie ai loro migliori interessi.

La maggior parte degli attacchi di ingegneria sociale impiega una o più delle seguenti tattiche:

  • Spacciarsi per un marchio affidabile: i truffatori spesso impersonano o "effettuano lo spoofing" di aziende che le vittime conoscono, di cui si fidano e con cui forse attuano spesso o regolarmente operazioni commerciali, così regolarmente che seguono le istruzioni fornite da questi marchi di riflesso, senza prendere le dovute precauzioni. Alcuni truffatori di ingegneria sociale utilizzano kit ad ampia diffusione per la preparazione di siti web fittizi, che assomigliano a quelli di importanti marchi o aziende.

  • Fingere di essere un'agenzia governativa o un'autorità: le persone si fidano, rispettare o temono l'autorità (a vari livelli). Gli attacchi di ingegneria sociale sfruttano questi istinti con messaggi che sembrano o dichiarano di provenire da agenzie governative (come l'FBI o l'IRS), figure politiche o addirittura celebrità.

  • Incutere paura o senso di urgenza: le persone tendono ad agire in modo avventato quando sono spaventate o hanno fretta. Le truffe di ingegneria sociale possono utilizzare diverse tecniche per indurre paura o senso di urgenza nelle vittime, ad esempio dicendo alla vittima che una recente transazione di credito non è stata approvata, che un virus ha infettato il suo computer, che un'immagine utilizzata sul sito web viola i diritti di copyright, ecc. L'ingegneria sociale può anche appellarsi alla paura di essere esclusi (FOMO, Fear Of Missing Out) delle vittime, che crea un diverso tipo di urgenza.

  • Fare leva sull'avidità: la truffa del principe nigeriano (un'e-mail in cui una persona afferma di essere un reale nigeriano che cerca di fuggire dal suo paese e offre un enorme premio in denaro in cambio delle informazioni sul conto bancario del destinatario o di un piccolo pagamento in anticipo) è uno degli esempi più noti di ingegneria sociale che fa leva sull'avidità. Senza contare che proviene anche da una presunta autorità e crea un senso di urgenza: una potente combinazione. Questa truffa è vecchia quanto la posta elettronica stessa, ma nel 2018 fruttava ancora 700.000 dollari l'anno.

  • Fare appello al buon cuore o alla curiosità: gli stratagemmi di ingegneria sociale possono anche fare appello agli aspetti migliori della natura delle vittime. Ad esempio, un messaggio che sembra provenire da un amico o da un sito di social network può offrire aiuto tecnico, chiedere la partecipazione a un sondaggio, sostenere che il post dei destinatari è diventato virale e fornire un link contraffatto a un sito web o per il download di malware.

Tipi di attacchi di ingegneria sociale

Phishing

Gli attacchi di phishing sono messaggi digitali o vocali che tentano di indurre con l'inganno i destinatari a condividere informazioni sensibili, scaricare software intenzionalmente dannoso, trasferire denaro o asset alla persona sbagliata o intraprendere altre azioni dannose. I truffatori creano messaggi di phishing per far sembrare che provengano da un'organizzazione o da un individuo affidabile o credibile, a volte anche da un individuo che il destinatario conosce personalmente.

Esistono molti tipi di phishing scam:

  • Bulk phishing tramite e-mail che vengono inviate a milioni di destinatari contemporaneamente. Sembrano inviate da una grande e nota azienda o organizzazione, come una banca nazionale o globale, un grande rivenditore online, un popolare fornitore di pagamenti online e così via. In queste e-mail fanno una richiesta generica come "abbiamo difficoltà a elaborare il tuo acquisto, aggiorna le tue informazioni di credito". Spesso, questi messaggi includono un collegamento dannoso che porta il destinatario a un sito web falso che acquisisce il nome utente, la password, i dati della carta di credito e altro del destinatario.

  • Lo spear phishing si rivolge a uno specifico individuo, solitamente uno con accesso privilegiato a informazioni sugli utenti, alla rete di computer o ai fondi aziendali. Un truffatore ricerca la vittima designata, spesso utilizzando informazioni reperite su LinkedIn, Facebook o altri social media, per creare un messaggio che sembri provenire da qualcuno che la vittima designata conosce e di cui si fida o che faccia riferimento a situazioni con cui la vittima ha familiarità. Il whale phishing è un tipo di spear phishing che prende di mira un individuo di alto profilo, ad esempio un CEO o un politico. Nell'attacco di tipo BEC (compromissione dell'e-mail aziendale), l'hacker utilizza credenziali compromesse per inviare messaggi e-mail dall'account di posta effettivo di un'autorità, rendendo la truffa molto più difficile da rilevare.

  • Il voice phishing, or vishing è un attacco phishing condotto tramite chiamate telefoniche. Le persone solitamente si imbattono nel vishing nella forma di chiamate registrate minacciose che si dichiara provengano da un organo investigativo nazionale.

  • Lo smishing, ovvero phishing tramite SMS, è un tipo di attacco di phishing tramite messaggio di testo.

  • Phishing sui motori di ricerca è un attacco che vede gli hackers creare siti web dannosi che si posizionano in alto nei risultati di ricerca per termini di ricerca popolari.

  • L'angler phishing è un attacco phishing tramite account di social media fittizi, mascherati da account ufficiali dei team del servizio ai clienti o del supporto clienti di aziende affidabili.

Secondo IBM® X-Force Threat Intelligence Index, il phishing è il principale vettore di infezione del malware, identificato nel 41% di tutti gli incidenti. Secondo il report Cost of a Data Breach, il phishing è il vettore di attacco iniziale che porta alle violazioni dei dati più onerose.

Baiting

L'adescamento adesca (non è un gioco di parole) le vittime a fornire consapevolmente o inconsapevolmente informazioni sensibili o a scaricare codice maligno, tentandole con un'offerta di valore o addirittura con un oggetto di valore.

La truffa del principe nigeriano è probabilmente l'esempio più noto di questa tecnica di ingegneria sociale. Esempi più attuali includono download di giochi, musica o software gratuiti ma infetti da malware. Ma alcune forme di adescamento sono a dir poco ingegnose. Ad esempio, alcuni attori delle minacce lasciano unità USB infettate da malware che le persone trovano e utilizzano, credendo di essere state fortunate nell'aver trovato una chiavetta USB gratuita.

Tailgating

Nel tailgating, detto anche "piggybacking", una persona non autorizzata segue da vicino una persona autorizzata in un'area contenente informazioni sensibili o asset di valore. Il tailgating può essere condotto di persona: ad esempio, un attore di minacce può seguire un dipendente attraverso una porta non chiusa a chiave. Ma il tailgating può essere anche digitale, come quando una persona lascia un computer incustodito mentre è ancora connesso a una rete o un account privati.

Pretexting

Nella tecnica del pretexting, il truffatore crea una situazione fittizia per la vittima e si presenta come la persona giusta per risolverla. Molto spesso (e molto ironicamente) il truffatore afferma che la vittima è stata colpita da una violazione della sicurezza e, quindi, si offre di risolvere la situazione se la vittima fornirà informazioni importanti sull'account o concederà il controllo del proprio computer o dispositivo. Tecnicamente parlando, quasi ogni attacco di ingegneria sociale comporta un qualche livello di utilizzo della tecnica del pretexting.

Quid pro quo

In una truffa quid pro quo, gli hacker propongono un bene o un servizio desiderabile in cambio delle informazioni sensibili della vittima. False vincite di concorsi o premi fedeltà apparentemente innocenti ("grazie per il tuo pagamento, abbiamo un regalo per te") sono esempi di stratagemmi quid pro quo.

Scareware

Considerato anche una forma di malware, lo scareware è un software che sfrutta la paura per indurre con l'inganno le persone a condividere informazioni riservate o a scaricare malware. Lo scareware assume spesso la forma di un falso avviso delle forze dell'ordine che accusano l'utente di un crimine o di un finto messaggio dell'assistenza tecnica che avverte l'utente della presenza di malware sul suo dispositivo.

Watering hole attack

Facendo riferimento alla frase "somebody poisoned the watering hole" - "Qualcuno ha avvelenato la pozza d'acqua", gli hacker immettono codice nocivo in una pagina web legittima, frequentata dalle loro vittime designate. Gli attacchi watering hole sono responsabili di tutto, dal furto di credenziali ai download involontari di ransomware drive-by.

Difese di ngegneria sociale

Gli attacchi di ingegneria sociale sono notoriamente difficili da impedire, perché si basano sulla psicologia umana piuttosto che sui percorsi tecnologici. Anche la superficie di attacco è di fondamentale importanza: in un'organizzazione di maggiori dimensioni, l'errore di un singolo dipendente può compromettere l'integrità dell'intera rete aziendale. Alcune delle procedure che gli esperti consigliano per ridurre il rischio e il successo delle truffe dell'ingegneria sociale includono:

  • Formazione sulla sicurezza: molti utenti non sanno come identificare gli attacchi di ingegneria sociale. E, in un momento in cui gli utenti scambiano frequentemente informazioni personali per ottenere in cambio beni e servizi, non si rendono conto che consegnando informazioni apparentemente banali, quali ad esempio un numero di telefono o la data di nascita, possono permettere agli hacker di violare un account. La formazione sulla sicurezza, combinata con politiche di sicurezza dei dati, può aiutare i dipendenti a capire come proteggere i loro dati sensibili e come rilevare e rispondere agli attacchi di ingegneria sociale in corso.

  • Politiche di controllo degli accessi: politiche e tecnologie sicure per il controllo degli accessi, che includono autenticazione a più fattori, autenticazione adattiva e un approccio di sicurezza zero trust possono limitare l'accesso dei criminali informatici ad asset e informazioni sensibili sulla rete aziendale, anche nel caso in cui ottengano le credenziali di accesso dell'utente.

  • Tecnologie di cybersecurity: filtri antispam e gateway di e-mail sicuri possono innanzitutto impedire che alcuni attacchi di phishing raggiungano i dipendenti. Firewall e software antivirus possono ridurre l'estensione di qualsiasi danno causato dagli aggressori che hanno ottenuto accesso alla rete. Mantenendo i sistemi operativi aggiornati con le patch più recenti, si possono anche eliminare alcune vulnerabilità utilizzate dagli aggressori tramite l'ingegneria sociale. Inoltre, soluzioni avanzate di rilevamento e risposta, tra cui Rilevamento e risposta degli endpoint (EDR) e rilevamento e risposta estesi (XDR), possono aiutare i team della sicurezza a rilevare e neutralizzare rapidamente minacce alla sicurezza che infettano la rete tramite tattiche di ingegneria sociale.

Techsplainers | Podcast | Cos'è l'ingegneria sociale?

Ascolta: Cos'è l'ingegneria sociale?

Segui Techsplainers: Spotify, Apple Podcast e Casted.
Trova altri episodi
Soluzioni correlate
Servizi di risposta agli incidenti

Migliora il programma di risposta agli incidenti della tua organizzazione, minimizza l'impatto delle violazioni e ottieni una risposta rapida agli incidenti di cybersecurity.

 Esplora i servizi di risposta agli incidenti
Soluzioni di rilevamento e risposta alle minacce

Utilizza le soluzioni IBM per il rilevamento e la risposta alle minacce per rafforzare la sicurezza e accelerare il rilevamento delle minacce.

 Esplora le soluzioni di rilevamento delle minacce
Soluzioni IBM QRadar SOAR

Ottimizza i processi decisionali, migliora l'efficienza del SOC e accelera la risposta agli incidenti con una soluzione di orchestrazione e automazione intelligente.

 Scopri QRadar SOAR
Prossimi passi

Migliora il programma di risposta agli incidenti della tua organizzazione, minimizza l'impatto delle violazioni e ottieni una risposta rapida agli incidenti di cybersecurity.

 Esplora i servizi di risposta agli incidenti Scopri di più su IBM X-Force