l Data Breach Investigations Report 2023 di Verizon Business, giunto alla sedicesima edizione, ha analizzato 16.312 incidenti di sicurezza e 5.199 violazioni. Quanto emerso in prima battuta è qui riportato: nel corso degli ultimi due anni sono aumentati in modo esponenziale gli attacchi di social engineering, confermando che il punto debole degli incidenti è, nel 74% dei casi, l’errore compiuto dall’uomo.

Il ruolo del social engineering
Il Data Breach Investigations Report 2023 di Verizon Business si sofferma anche sul peso specifico esercitato dal social engineering, che fa proliferare anche gli attacchi Business Email Compromise, tipici di quei contesti nei quali gli hacker, fingendosi dipendenti di un’azienda nota alla vittima, riescono a sottrarre denaro.

Secondo i dati dell’Internet Crime Complaint Center (IC3), l’importo medio sottratto con un attacco di questo tipo è di 50mila dollari, il che, tenendo conto del numero di attacchi effettuati, ne fa una tecnica capace di generare miliardi di dollari.
Il social engineering, spiega Verizon, include anche il pretexting, ossia attacchi con i quali gli hacker fanno leva sulla vulnerabilità della vittima – spesso creata per l’occasione – al fine di spingerla a rilevare informazioni riservate.
Il quadro che ne emerge indica la necessità di costruire la sicurezza attorno alle persone, non solo a livello hardware e software.

Il ruolo dell’essere umano
L’essere umano rappresenta la vulnerabilità più importante: è difatti il responsabile del 74% delle violazioni. Il social engineering costituisce invece la tecnica più efficace per sfruttare questa la fallacia data dal componente umano. Il report di Verizon sottolinea la necessità di aumentare la consapevolezza dei rischi informatici e delle protezioni necessarie soprattutto nei top manager delle aziende. Essi sono infatti in possesso dei dati più sensibili del sistema imprenditoriale, ma al contempo sono soggetti a eccezioni sui protocolli di sicurezza informatica.
In conclusione sono necessarie tecnologie avanzate atte a proteggere il proprio sistema, ma anche una notevole azione di preparazione e sensibilizzazione dei dipendenti circa i rischi informatici, in modo da scongiurare le possibilità di successo degli attacchi.