L'ingegneria sociale induce con l'inganno le persone a condividere informazioni che non dovrebbero condividere, scaricare software che non dovrebbero scaricare, visitare siti Web che non dovrebbero visitare, inviando denaro a criminali o commettendo altri errori che compromettono gli asset o la sicurezza personali o dell'organizzazione.
Un'email che sembra provenire da un vendor attendibile, che richiede l'aggiornamento delle informazioni relative alla carta di credito, un messaggio sulla segreteria telefonica che afferma di provenire dall'Agenzia delle entrate, un'offerta di ricchezze da un potentato straniero; questi sono solo alcuni esempi di ingegneria sociale.
Poiché l' ingegneria sociale sfrutta le debolezze umane piuttosto che le vulnerabilità tecniche o del sistema digitale, a volte viene definita ‘hacking umano’.
In molti casi, i criminali informatici utilizzano tattiche di ingegneria sociale per ottenere il genere di dati personali—credenziali di accesso, numeri di carte di credito, numeri di conti bancari, codici fiscali—di cui avvalersi per perpetrare un furto di identità tramite cui poter fare acquisti con il denaro o il credito di altre persone, richiedere prestiti a nome di qualcun altro, fare domanda per l'indennità di disoccupazione per altre persone e così via. Ma un attacco di ingegneria sociale può anche essere il primo stadio di un attacco informatico di più vasta portata. Ad esempio, un criminale informatico potrebbe convincere con l'inganno una vittima a condividere nome utente e password e, quindi, servirsi di tali credenziali per impiantare un ransomware sulla rete del datore di lavoro della vittima.
L'ingegneria sociale è allettante per i criminali informatici, perché consente loro di accedere a reti, dispositivi e account digitali evitando il difficile lavoro tecnico di hackerare firewall, software antivirus e altri controlli di sicurezza informatica. Questo è uno dei motivi per cui l'ingegneria sociale oggi è la causa principale di compromissione della rete, secondo il report State of Security 2021 di ISACA. È anche uno dei più costosi: secondo il report Cost fo a Data Breach 2021 di IBM, le violazioni dei dati causate da attacchi di ingegneria sociale costano alle aziende in media 4,47 milioni di dollari.
Le tattiche e le tecniche di ingegneria sociale sono fondate sulla scienza della motivazione umana. Manipolano le emozioni e gli impulsi delle vittime in modi collaudati per spingere le persone a compiere azioni contrarie ai loro migliori interessi.
La maggior parte degli attacchi di ingegneria sociale impiega una o più delle seguenti tattiche:
Gli attacchi phishing sono messaggi digitali o vocali che tentano di indurre con l'inganno i destinatari a condividere informazioni sensibili, scaricare software intenzionalmente dannoso, trasferire denaro o asset alla persona sbagliata o intraprendere altre azioni dannose. I truffatori creano abilmente messaggi di phishing in modo che abbiano caratteristiche grafiche e sonore che li facciano sembrare provenienti da un'organizzazione o da un individuo affidabile o credibile, a volte anche da un individuo che il destinatario conosce personalmente.
Esistono molti tipi di truffe di phishing:
Secondo il report Cost of a Data Breach 2021 di IBM, il phishing è il metodo più comune per diffondere malware e la seconda causa più comune di violazioni dei dati.
L'adescamento adesca (nessun gioco di parole) le vittime portandole a cedere consapevolmente o inconsapevolmente informazioni sensibili o a scaricare codice nocivo, tentandole con un'offerta di gran valore o addirittura con un oggetto prezioso.
La truffa del principe nigeriano è probabilmente l' esempio più noto di questa tecnica ingegneria sociale. Esempi più attuali includono i download di giochi, musica o software gratuiti, ma infettati da malware. Ma alcune forme di adescamento sono poco originali. Ad esempio, alcuni truffatori si limitano a lasciare unità USB infettate da malware dove le persone le troveranno, le prenderanno e le utilizzeranno perché ‘ehi, è un'unità USB gratis’.
Nel tailgating, detto anche ‘piggybacking’, una persona non autorizzata segue da vicino una persona autorizzata in un'area contenente informazioni sensibili o asset di valore. Il tailgating può essere fisico, ad esempio seguire un dipendente attraverso una porta aperta. Ma il tailgating può essere anche digitale, come quando una persona lascia un computer incustodito mentre è ancora connesso a una rete o un account privati.
Nella tecnica del pretexting, il truffatore crea una situazione fittizia per la vittima e si presenta come la persona giusta per risolverla. Molto spesso (e molto ironicamente) il truffatore afferma che la vittima è stata colpita da una violazione della sicurezza e, quindi, si offre di risolvere la situazione se la vittima fornirà informazioni importanti sull'account o concederà il controllo del proprio computer o dispositivo. (Tecnicamente parlando, quasi ogni attacco di ingegneria sociale comporta un qualche livello di utilizzo della tecnica del pretexting.)
In una truffa quid pro quo, gli hacker propongono un bene o un servizio desiderabile in cambio delle informazioni sensibili della vittima. False vincite di concorsi o premi fedeltà apparentemente innocenti ("grazie per il tuo pagamento — abbiamo un regalo per te") sono esempi di stratagemmi quid pro quo.
Considerato anche una forma di malware, lo scareware è un software che utilizza la paura per indurre con l'inganno le persone a condividere di informazioni riservate o scaricare malware. Lo scareware spesso assume la forma di un avviso da parte delle forze dell'ordine in cui l'utente viene accusato di un crimine o di un finto messaggio da parte del supporto tecnico che informa l'utente della presenza di un malware sul suo dispositivo.
Facendo riferimento alla frase 'somebody poisoned the watering hole - qualcuno ha avvelenato l'abbeveratoio', gli hacker immettono codice nocivo in una pagina web legittima, frequentata dalle loro vittime designate. Gli attacchi watering hole sono responsabili di tutto, dal furto di credenziali ai download involontari di ransomware drive-by.
Gli attacchi di ingegneria sociale sono notoriamente difficili da impedire, perché si basano sulla psicologia umana piuttosto che sui percorsi tecnologici. Anche la superficie di attacco è di fondamentale importanza: in un'organizzazione di maggiori dimensioni, l'errore di un singolo dipendente può compromettere l'integrità dell'intera rete aziendale. Alcune delle procedure che gli esperti consigliano per ridurre il rischio e la possibilità di successo delle truffe basate sull'ingegneria sociale includono:
Metti alla prova i dipendenti attraverso esercizi di phishing, vishing e ingegneria sociale
Proteggi la tua organizzazione da minacce interne malevole o non intenzionali.
Proteggi i tuoi utenti, i tuoi asset e i tuoi dati tramite la gestione e la prevenzione delle frodi prima che si verifichino.
Proteggi i tuoi dipendenti dagli attacchi di phishing che possono compromettere la sicurezza della tua organizzazione.
Penetrazione di applicazioni, reti, hardware e personale per scoprire ed eliminare eventuali vulnerabilità.
Identifica, stabilisci la priorità e gestisci la riparazione dei difetti che potrebbero esporre i tuoi asset più critici.
Soluzioni di intelligence sulle minacce globali, con prodotti e competenze leader del settore.
Insight ricavati da 537 violazioni reali aiutano a comprendere il rischio informatico in un mondo che cambia.
Il ransomware tiene in ostaggio i dispositivi e i dati delle vittime fino al pagamento del riscatto.
Le truffe di phishing espongono privati e aziende a notevoli rischi finanziari e per la sicurezza.
Una qualche forma di malware, abbreviazione di 'malicious software - software dannoso', è alla radice di quasi tutti i tipi di attacco informatico.
La sicurezza dei dati protegge le informazioni digitali da accesso non autorizzato, danneggiamento o furto.
Gli attacchi informatici sono tentativi di sottrarre, esporre, modificare, disabilitare o distruggere informazioni tramite un accesso non autorizzato a sistemi di computer.
L'autenticazione a più fattori rafforza la sicurezza, soddisfa i requisiti di conformità normativa e supporta una strategia di sicurezza zero-trust