Il social engineering è una tecnica di attacco cyber sempre più sofisticata, in grado di colpire direttamente i dipendenti di un’azienda. La traduzione italiana, ingegneria sociale, lascia ben intendere la natura di questa minaccia alla sicurezza informatica delle aziende. Si tratta di un’arte, ancora prima che una scienza, che consiste nel manipolare le persone toccando leve psicologiche e comportamentali.
Il social engineering, rispetto alle altre modalità di cybercrime, si differenzia per una particolarità:non sfrutta le falle dei sistemi informatici, bensì la debolezza e l’ingenuità delle persone. Con l’aiuto dell’Osservatorio Cybersecurity & Data Protection della POLIMI School of Management, in quest’articolo entreremo nel merito dell’argomento, rispondendo alle tre domande tipiche quando ci si imbatte nel social engineering: cos’è, come riconoscerlo e come difendersi da attacchi di questo tipo.
Il social engineering (o ingegneria sociale) è una tecnica di attacco cyber basata sullo studio del comportamento delle persone col fine di manipolarle e carpire informazioni confidenziali. Il procedimento si basa sulla psicologia umana e sfrutta la fiducia, la mancanza di conoscenza e, in generale, le vulnerabilità della vittima per ottenere dati confidenziali (password, informazioni su conti correnti, informazioni finanziarie), estorcere denaro o persino rubarne l’identità.
Prima di realizzare questi tipi di attacchi basati sul social engineering, il criminale studia accuratamente la personalità e le relazioni della vittima. Quando il target è un’azienda, si compie un’accurata raccolta di informazioni non solo su di essa, ma anche sui dipendenti che lavorano al suo interno. Dopo aver raccolto abbastanza informazioni, ecco che il criminale passa all’attacco.
Il social engineering è efficace perché sfrutta meccanismi psicologici profondamente radicati nel comportamento umano. Il processo di manipolazione segue un pattern ben definito: il cybercriminale raccoglie informazioni sulla vittima, studia le sue abitudini e vulnerabilità, costruisce un rapporto di fiducia apparente e infine sfrutta specifiche leve emotive per ottenere ciò che desidera.
I criminali fanno leva su diverse vulnerabilità comportamentali per manipolare le vittime.
Queste tecniche sono particolarmente insidiose perché bypassano le difese razionali delle persone, facendo appello a reazioni istintive e automatiche che spesso prevalgono sulla logica. La comprensione di queste dinamiche psicologiche è fondamentale per riconoscere e contrastare efficacemente gli attacchi di ingegneria sociale.
Ormai nessuna azienda è immune agli attacchi informatici. Un tempo la sicurezza informatica aziendale si basava su avanzati hardware e software di protezione, ma nel frattempo le tecniche e le tipologie di social engineering si sono evolute. Per comprendere nel dettaglio come funziona l’ingegneria sociale occorre considerarei canali e le modalità con cui i criminali danneggiano le vittime.
Per quanto riguarda i canali, si tratta di strumenti utilizzati quotidianamente dalle persone e sono molteplici:
A questi si aggiungono diverse modalità per portare a termine l’attacco di social engineering:
Il phishing è forse il metodo più noto e riconoscibile tra le diversi modalità di social engineering. Consiste in un tentativo di truffa che sfrutta la posta elettronica per rubare dati personali delle vittime che, spinte dalla curiosità o tratte in inganno dal mittente dell’e-mail, cliccano su un link malevolo dove inseriscono le proprie credenziali o scaricano un allegato infetto.
In genere i mittenti di questo tipo di e-mail fingono di essere organizzazioni conosciute (come banche o servizi utilizzati effettivamente dall’utente) che contattano l’utente dopo aver riscontrato problemi che richiedono l’inserimento delle loro informazioni personali. In alcuni casi si parla di spear phishing, quando l’attacco è particolarmente studiato e targettizzato e l’e-mail proviene da un account o un nominativo apparentemente attendibile e contiene link che rimandano a pagine pressoché identiche a quelle originali.
Il phishing può sfruttare anche strumenti diversi dalla posta elettronica. Infatti, sono sempre più diffusi i tentativi di attacco tramite SMS (Smishing), canali di instant messaging (WhatsApp, Telegram), chiamate vocali (Vishing), Social Media (Social Media Phishing) e persino QR code (Quishing) e tecniche miste (Vishing Ibrido). Inoltre, con l’Intelligenza Artificiale e nuovi strumenti di AI Generativa, i cybercriminali riescono a creare campagne di phishing su larga scala in pochissimo tempo e sempre più sofisticate.
Una delle tecniche più innovative e preoccupanti nel panorama del social engineering è rappresentata dai deepfake. Nel 2021, l’FBI ha pubblicato un avvertimento sulle crescenti minacce di questa tecnologia, utilizzata sempre più frequentemente per attaccare le aziende. Il termine deepfake deriva dalla fusione di “deep learning” e “fake” e indica contenuti multimediali sintetici che utilizzano l’intelligenza artificiale per creare video o immagini iperrealistici di persone che dicono o fanno cose mai effettivamente accadute.
Questi attacchi sfruttano tecnologie avanzate come il Machine Learning e tecniche di face swapping per sostituire volti e creare contenuti praticamente indistinguibili da quelli autentici. I cybercriminali possono utilizzare i deepfake per creare campagne di Phishing estremamente sofisticate, diffondere malware, o addirittura creare contenuti compromettenti per ricattare le vittime o danneggiare la reputazione aziendale.
La prevenzione richiede un alto livello di consapevolezza digitale: bisogna prestare attenzione ai dettagli come movimenti innaturali degli occhi o espressioni meccaniche del viso, verificare sempre le fonti dei contenuti ricevuti (e fare una ricerca online per trovare la fonte originale) e utilizzare tecniche di watermarking (filigranatura, nel senso di per proteggere i propri contenuti multimediali.
In questa tecnica di social engineering il criminale contatta la vittima telefonicamente simulando una situazione particolare (da qui il concetto di pretexting, dall’inglese “creazione di un pretesto”). Per esempio, si finge un dipendente bancario o di un ufficio pubblico e cerca di instaurare una relazione di empatia con la vittima, in modo da ottenere le informazioni di cui ha bisogno.
Questa tecnica di social engineering prevede l’adescamento delle vittime sfruttando la loro curiosità. L’hacker utilizza una vera e propria “esca”, lasciando incustodito un supporto di memorizzazione (chiavette USB, cd, hard disk, …) contenente codice maligno. L’obiettivo è indurre la vittima, spinta dalla curiosità, a inserire il dispositivo nel proprio computer, dando così all’hacker l’accesso all’intera rete aziendale.
In questa pratica di social engineering, i criminali cercano informazioni sensibili setacciando la spazzatura delle vittime alla ricerca di bollette, estratti conto e altri documenti contenenti dati sensibili. Un altro obiettivo degli hacker possono essere anche sistemi dismessi come smartphone, laptop o dispositivi USB guasti che, se non opportunamente resettati, possono essere fonti di informazioni preziose.
Questo metodo prevede che il social engineer offra un servizio o un aiuto in cambio di un benefit. Per esempio, il soggetto malintenzionato può fingersi un tecnico IT e contattare alcuni dipendenti per offrire loro supporto tecnico in cambio di informazioni (ad esempio password) oppure chiedendo loro di disattivare temporaneamente l’antivirus in modo da installare un programma contenente malware.
Questa tecnica di social engineer riguarda l’accesso fisico all’interno di un’area riservata. Il cybercriminale segue un dipendente autorizzato o chiede di entrare fingendo di aver dimenticato il badge di accesso all’area.
Il social engineer sociale sfrutta la vulnerabilità dell’anello debole nelle aziende: la componente umana.
Secondo la Ricerca dell’Osservatorio Cybersecurity & Data Protection, nel 2024 le organizzazioni che adottano piattaforme di e-mail security, come soluzioni antiphishing e antispam, sono il 97% del totale.
Tuttavia, per proteggersi dai social engineer non basta utilizzare tecnologie avanzate. Bisogna infondere una cultura alla sicurezza fra le persone. Dato che questa tecnica di attacco si basa sulla vulnerabilità delle persone, è fondamentale che le aziende adottino strategie mirate alla sensibilizzazione dei dipendenti in materia di sicurezza informatica e privacy. Occorre sviluppare adeguati programmi di formazione, in modo che i dipendenti siano sempre aggiornati e consapevoli dei rischi cyber e della loro costante evoluzione.
Che avvenga in modalità virtuale o fisica, la formazione deve offrire agli utenti competenze, tecniche e metodi sia per prevenire gli attacchi, sia per saper reagire di fronte ad eventuali situazioni critiche. Solo così si può creare una vera e propria cultura alla sicurezza informatica in azienda. Devono essere diffidenti se contattati da uno sconosciuto sospetto, fare attenzione alle e-mail che chiedono pagamenti o aggiornamenti dei dati. Sembrano casi banali, ma l’ingenuità del singolo individuo può essere sufficiente per danneggiare un’intera azienda.
Contenuti suggeriti dell’Osservatorio Cybersecurity & Data Protection
