Di tecnico ha poco o nulla, eppure uno degli attacchi cyber più efficaci sfrutta l’anello debole: il fattore umano. L’ingegneria sociale infatti è una tecnica di manipolazione psicologica utilizzata per ottenere informazioni riservate o convincere le persone a compiere determinate azioni. Gli attacchi di ingegneria sociale si basano sulla persuasione e sfruttano la fiducia, la paura, l’avidità o l’ignoranza delle persone per raggiungere i propri obiettivi. Proprio per questo, queste tipologie di attacchi sono in grado di eludere le misure tecniche più stringenti.
Personaggi in cerca d’autore
Come i personaggi di Pirandello o Totò Truffa, chi muove un attacco di ingegneria sociale è un attore che recita un ruolo specifico (impersonation), avendo studiato attentamente la parte con il materiale disponibile pubblicamente su Internet e social network o proveniente da un Data Breach. Nel caso specifico si immedesima o impersona in una persona di fiducia, in un collega, cliente, fornitore, Ente Pubblico o addirittura il CEO dell’azienda, magari coadiuvato dalla Intelligenza Artificiale capace di clonare e interagire in audio e video
Tipologie di attacco ingegneria sociale e come difendersi
Phishing
Tecnica in cui l’attaccante invia comunicazioni ingannevoli (spesso email) che sembrano provenire da fonti legittime, come banche o aziende, per indurre la vittima a rivelare informazioni sensibili o a cliccare su link dannosi.
Esempi: Una email che sembra provenire dalla tua banca ti chiede di aggiornare le tue informazioni di accesso cliccando su un link. Il link conduce a un sito web falso che raccoglie le tue credenziali.
Come difendersi:
- Verificare sempre l’indirizzo email del mittente controllando attentamente l’header (qui una mini-guida di uno dei provider più noti)
- Non cliccare su link sospetti e non fornire informazioni sensibili in risposta a email inaspettate
- Usare software anti-phishing e filtri per email.
Whaling
Forma di phishing mirata specificamente a individui di alto profilo all’interno di un’organizzazione, come dirigenti o amministratori. Gli attacchi di whaling sono spesso altamente personalizzati e sofisticati.
Esempio: Una email apparentemente inviata dal CEO di una società chiede al CFO di trasferire fondi su un conto bancario specifico.
Come difendersi:
- Implementare procedure di verifica per richieste di trasferimenti di denaro o informazioni sensibili
- Educare i dirigenti sui rischi di phishing e whaling
- Utilizzare autenticazione a più fattori per transazioni critiche.
Pretexting
Con questa tecnica l’attaccante crea un pretesto (una storia falsa) per ottenere informazioni sensibili dalla vittima. L’attaccante si presenta come una figura di autorità o una persona di fiducia per ingannare la vittima.
Esempio: Un attaccante si spaccia per un tecnico del supporto IT e chiede a un dipendente di fornire la sua password per risolvere un problema urgente
Come difendersi:
- Verificare sempre l’identità di chi richiede informazioni sensibili
- Non fornire mai informazioni sensibili senza confermare la richiesta attraverso canali ufficiali.
Per tutti i punti di cui sopra, vale il consiglio di minimizzare la condivisione pubblica (web, social) di informazioni, soprattutto quelle di contatto (e-mail e telefono), restringendo la visibilità solo a chi appartiene alla propria rete (ad es. Linkedin, Meta, etc.)
Conclusioni
Emblematiche le parole di uno dei più grandi hacker della storia, Kevin Mitnick scomparso di recente :
un’azienda può spendere centinaia di migliaia di dollari in firewall, sistemi di rilevamento delle intrusioni, crittografia e altre tecnologie di sicurezza, ma se un utente malintenzionato riesce a contattare una persona di fiducia all’interno dell’azienda e quella persona obbedisce, e se l’aggressore riesce nel suo intento, allora tutti quei soldi spesi per la tecnologia sono essenzialmente sprecati.
Gli attacchi di ingegneria sociale sfruttano la psicologia umana per indurre le vittime a compiere azioni dannose o a rivelare informazioni sensibili. Per difendersi efficacemente, è fondamentale educare gli utenti sui rischi, implementare misure di sicurezza tecnologiche e adottare pratiche di verifica e controllo rigorose.
Vi invitiamo a consultare la pagina del Garante Privacy dedicata alla Cybersecurity contenente utili consigli pratici e vademecum Cybersecurity – Garante Privacy
