Cos'è l'ingegneria sociale?

L'ingegneria sociale si affida alla natura umana, piuttosto che all'hacking tecnico per indurre con l'inganno le persone a compromettere la sicurezza personale o aziendale.

Disegno isometrico che mostra diversi impiegati di un ufficio, che utilizzano tutti IBM Security
Cos'è l'ingegneria sociale?

L'ingegneria sociale induce con l'inganno le persone a condividere informazioni che non dovrebbero condividere, scaricare software che non dovrebbero scaricare, visitare siti Web che non dovrebbero visitare, inviando denaro a criminali o commettendo altri errori che compromettono gli asset o la sicurezza personali o dell'organizzazione.

Un'email che sembra provenire da un vendor attendibile, che richiede l'aggiornamento delle informazioni relative alla carta di credito, un messaggio sulla segreteria telefonica che afferma di provenire dall'Agenzia delle entrate, un'offerta di ricchezze da un potentato straniero; questi sono solo alcuni esempi di ingegneria sociale.

Poiché l' ingegneria sociale sfrutta le debolezze umane piuttosto che le vulnerabilità tecniche o del sistema digitale, a volte viene definita ‘hacking umano’.

In molti casi, i criminali informatici utilizzano tattiche di ingegneria sociale per ottenere il genere di dati personali—credenziali di accesso, numeri di carte di credito, numeri di conti bancari, codici fiscali—di cui avvalersi per perpetrare un furto di identità tramite cui poter fare acquisti con il denaro o il credito di altre persone, richiedere prestiti a nome di qualcun altro, fare domanda per l'indennità di disoccupazione per altre persone e così via. Ma un attacco di ingegneria sociale può anche essere il primo stadio di un attacco informatico di più vasta portata. Ad esempio, un criminale informatico potrebbe convincere con l'inganno una vittima a condividere nome utente e password e, quindi, servirsi di tali credenziali per impiantare un ransomware sulla rete del datore di lavoro della vittima.

L'ingegneria sociale è allettante per i criminali informatici, perché consente loro di accedere a reti, dispositivi e account digitali evitando il difficile lavoro tecnico di hackerare firewall, software antivirus e altri controlli di sicurezza informatica. Questo è uno dei motivi per cui l'ingegneria sociale oggi è la causa principale di compromissione della rete, secondo il report State of Security 2021 di ISACA. È anche uno dei più costosi: secondo il report Cost fo a Data Breach 2021 di IBM, le violazioni dei dati causate da attacchi di ingegneria sociale costano alle aziende in media 4,47 milioni di dollari.


Come e perché l'ingegneria sociale funziona

Le tattiche e le tecniche di ingegneria sociale sono fondate sulla scienza della motivazione umana. Manipolano le emozioni e gli impulsi delle vittime in modi collaudati per spingere le persone a compiere azioni contrarie ai loro migliori interessi.

La maggior parte degli attacchi di ingegneria sociale impiega una o più delle seguenti tattiche:

  • Fingere di essere un marchio attendibile: i truffatori spesso impersonano o 'effettuano lo spoofing di' aziende che le vittime conoscono, di cui si fidano e con cui forse attuano spesso o regolarmente operazioni commerciali—così regolarmente che seguono le istruzioni fornite da questi marchi di riflesso, senza prendere le dovute precauzioni. Alcuni truffatori di ingegneria sociale utilizzano kit ad ampia diffusione per la preparazione di siti web fittizi, che assomigliano a quelli di importanti marchi o aziende.
  • Fingere di essere un'agenzia governativa o un'autorità: le persone si fidano, rispettare o temono l'autorità (a vari livelli). Gli attacchi di ingegneria sociale approfittano di questi impulsi con messaggi che sembrano o dichiarano di provenire da agenzie governative (ad esempio un organo investigativo nazionale o l'Agenzia delle entrate), figure politiche o addirittura celebrità.
  • Incutere paura o un senso di urgenza: le persone tendono ad agire in modo avventato quando sono spaventate o in preda alla fretta. Le truffe di ingegneria sociale possono utilizzare varie tecniche per indurre paura o un senso di urgenza nelle vittime, ad esempio dicendo alla vittima che una recente transazione di credito non è stata approvata, che un virus ha infettato il suo computer, che un'immagine utilizzata sul sito Web viola i diritti di copyright, ecc. L'ingegneria sociale può anche appellarsi alla paura di essere disconnessi (FOMO-fear of missing out) delle vittime, che crea un diverso tipo di urgenza.
  • Fare leva sull'avidità:  La truffa del principe nigeriano—un'email in cui qualcuno, che afferma di essere un reale nigeriano che cerca di fuggire dalla sua nazione, offre un enorme premio in denaro in cambio delle informazioni sul conto bancario del destinatario o di un piccolo pagamento in anticipo, è uno degli esempi più noti di ingegneria sociale che fa leva sull'avidità. (Proviene anche da una presunta autorità e crea un senso di urgenza—una potente combinazione.) Questa truffa è vecchia quanto l'email stessa, ma nel 2018 fruttava ancora 700.000 dollari l'anno.
  • Fare appello al buon cuore o alla curiosità: i piani dell'ingegneria sociale possono anche appello sugli aspetti migliori della natura delle vittime. Ad esempio, un messaggio che sembra provenire da un amico o da un sito di social network può offrire aiuto tecnico, chiedere la partecipazione a un sondaggio, sostenere che il post dei destinatari è diventato virale e fornire un link contraffatto a un sito Web o per il download di malware.

Tipi di attacchi di ingegneria sociale

Phishing

Gli attacchi phishing sono messaggi digitali o vocali che tentano di indurre con l'inganno i destinatari a condividere informazioni sensibili, scaricare software intenzionalmente dannoso, trasferire denaro o asset alla persona sbagliata o intraprendere altre azioni dannose. I truffatori creano abilmente messaggi di phishing in modo che abbiano caratteristiche grafiche e sonore che li facciano sembrare provenienti da un'organizzazione o da un individuo affidabile o credibile, a volte anche da un individuo che il destinatario conosce personalmente.

Esistono molti tipi di truffe di phishing:

  • Email di phishing in massa vengono inviate a milioni di destinatari contemporaneamente. Sembrano inviate da una grande e nota azienda o organizzazione —una banca nazionale o mondiale, un grande rivenditore al dettaglio online, ecc.—e presentano una richiesta generica, ad esempio 'stiamo riscontrando un problema nell'elaborazione del tuo acquisto, ti preghiamo di aggiornare le informazioni relative alla tua carta di credito'.
  • Spear phishing si rivolge a uno specifico individuo, normalmente un individuo con accesso privilegiato a informazioni sugli utenti, alla rete di computer o ai fondi aziendali. Un truffatore ricercherà la vittima designata—spesso utilizzando i social media—per creare un messaggio che sembri provenire da qualcuno che la vittima designata conosce e di cui si fida o che faccia riferimento a situazioni con cui la vittima designata ha familiarità. Il whaling è un tipo di spear phishing che prende di mira un individuo di alto profilo, ad esempio un CEO o un politico. Nell'attacco di tipo BEC (business email compromise - compromissione dell'email di business), l'hacker utilizza credenziali compromesse per inviare messaggi email dall'account email effettivo di un'autorità, rendendo la truffa molto più difficile da rilevare.
  • Voice phishing o vishing, è un attacco phishing condotto tramite chiamate telefoniche. Gli individui tipicamente sperimentano il vishing nella forma di chiamate registrate minacciose che si dichiara provengano da un organo investigativo nazionale. Ma X-Force di IBM ha recentemente stabilito che l'aggiunta di vishing a una campagna di phishing mirata può triplicare il successo della campagna.
  • SMS phishing o smishing, è un tipo di attacco di phishing tramite messaggio di testo.
  • Phishing tramite motore di ricerca è un attacco che coinvolge gli hacker che creano siti Web dannosi con alti livelli di classifica nei risultati di ricerca di Google per termini di ricerca popolari.
  • Angler phishing è un attacco phishing tramite account di social media fittizi, mascherati da account ufficiali dei team del servizio ai clienti o del supporto clienti di aziende affidabili.

Secondo il report Cost of a Data Breach 2021 di IBM, il phishing è il metodo più comune per diffondere malware e la seconda causa più comune di violazioni dei dati.

Adescamento

L'adescamento adesca (nessun gioco di parole) le vittime portandole a cedere consapevolmente o inconsapevolmente informazioni sensibili o a scaricare codice nocivo, tentandole con un'offerta di gran valore o addirittura con un oggetto prezioso.

La truffa del principe nigeriano è probabilmente l' esempio più noto di questa tecnica ingegneria sociale. Esempi più attuali includono i download di giochi, musica o software gratuiti, ma infettati da malware. Ma alcune forme di adescamento sono poco originali. Ad esempio, alcuni truffatori si limitano a lasciare unità USB infettate da malware dove le persone le troveranno, le prenderanno e le utilizzeranno perché ‘ehi, è un'unità USB gratis’.

Tailgating

Nel tailgating, detto anche ‘piggybacking’, una persona non autorizzata segue da vicino una persona autorizzata in un'area contenente informazioni sensibili o asset di valore. Il tailgating può essere fisico, ad esempio seguire un dipendente attraverso una porta aperta. Ma il tailgating può essere anche digitale, come quando una persona lascia un computer incustodito mentre è ancora connesso a una rete o un account privati.

Pretexting

Nella tecnica del pretexting, il truffatore crea una situazione fittizia per la vittima e si presenta come la persona giusta per risolverla. Molto spesso (e molto ironicamente) il truffatore afferma che la vittima è stata colpita da una violazione della sicurezza e, quindi, si offre di risolvere la situazione se la vittima fornirà informazioni importanti sull'account o concederà il controllo del proprio computer o dispositivo. (Tecnicamente parlando, quasi ogni attacco di ingegneria sociale comporta un qualche livello di utilizzo della tecnica del pretexting.)

Quid pro quo

In una truffa quid pro quo, gli hacker propongono un bene o un servizio desiderabile in cambio delle informazioni sensibili della vittima. False vincite di concorsi o premi fedeltà apparentemente innocenti ("grazie per il tuo pagamento — abbiamo un regalo per te") sono esempi di stratagemmi quid pro quo.

Scareware

Considerato anche una forma di malware, lo scareware è un software che utilizza la paura per indurre con l'inganno le persone a condividere di informazioni riservate o scaricare malware. Lo scareware spesso assume la forma di un avviso da parte delle forze dell'ordine in cui l'utente viene accusato di un crimine o di un finto messaggio da parte del supporto tecnico che informa l'utente della presenza di un malware sul suo dispositivo.

Attacco watering hole

Facendo riferimento alla frase 'somebody poisoned the watering hole - qualcuno ha avvelenato l'abbeveratoio', gli hacker immettono codice nocivo in una pagina web legittima, frequentata dalle loro vittime designate. Gli attacchi watering hole sono responsabili di tutto, dal furto di credenziali ai download involontari di ransomware drive-by.


Difese di ingegneria sociale

Gli attacchi di ingegneria sociale sono notoriamente difficili da impedire, perché si basano sulla psicologia umana piuttosto che sui percorsi tecnologici. Anche la superficie di attacco è di fondamentale importanza: in un'organizzazione di maggiori dimensioni, l'errore di un singolo dipendente può compromettere l'integrità dell'intera rete aziendale. Alcune delle procedure che gli esperti consigliano per ridurre il rischio e la possibilità di successo delle truffe basate sull'ingegneria sociale includono:

 

  • Formazione sulla sicurezza: molti utenti non sanno come identificare gli attacchi di ingegneria sociale. E, in un momento in cui gli utenti scambiano frequentemente informazioni personali per ottenere in cambio beni e servizi, non si rendono conto che consegnando informazioni apparentemente banali, quali ad esempio un numero di telefono o la data di nascita, possono permettere agli hacker di violare un account. La formazione sulla sicurezza, combinata con politiche di sicurezza dei dati, può aiutare i dipendenti a capire come proteggere i loro dati sensibili e come rilevare e rispondere agli attacchi di ingegneria sociale in corso.
  • Politiche di controllo degli accessi: politiche e tecnologie sicure per il controllo degli accessi, che includono autenticazione a più fattori, autenticazione adattiva e un approccio di sicurezza zero trust, possono limitare l'accesso dei criminali informatici ad asset e informazioni sensibili sulla rete aziendale, anche nel caso in cui ottengano le credenziali di accesso dell'utente.
  • Tecnologie di sicurezza informatica: filtri antispam e gateway di email sicuri possono impedire che alcuni attacchi di phishing raggiungano i dipendenti, per prima cosa. Firewall e software antivirus possono ridurre l'estensione di qualsiasi danno causato dagli aggressori che hanno ottenuto accesso alla rete. Mantenendo i sistemi operativi aggiornati con le patch più recenti si possono anche eliminare alcune vulnerabilità sfruttate dagli aggressori mediante l'ingegneria sociale. E soluzioni avanzate di rilevamento e risposta, tra cui EDR (endpoint detection and response) e XDR (extended detection and response), possono aiutare i team della sicurezza a rilevare e neutralizzare rapidamente minacce alla sicurezza che infettano la rete mediante tattiche di ingegneria sociale.