Che cosa si intende con il termine Social Engineering?
Il social engineering (o ingegneria sociale) è una tecnica di attacco cyber basata sullo studio del comportamento delle persone. Lo scopo è quello di manipolarle e carpire informazioni sensibili. L’attacco prevede un approccio basato sulla psicologia umana e sfrutta la fiducia, la mancanza di conoscenza e, in generale, le vulnerabilità della vittima per ottenere dati confidenziali, quali password, dettagli sui conti correnti, informazioni aziendali interne e molto altro. Inoltre l’attaccante potrebbe puntare all’estorsione di denaro o persino al furto d’identità.
Quali sono le tecniche utilizzate?
Al giorno d’oggi nessuna azienda è immune agli attacchi informatici. Un tempo la sicurezza informatica aziendale si limitava principalmente ad avanzati hardware e software di protezione. Con il passare degli anni si è assistito a un incremento delle tecniche e delle tipologie di Social Engineering . Quest’ultimo può infatti manifestarsi sotto diverse forme. I canali sfruttati sono quelli più quotidianamente utilizzati dalle persone: email, telefoni, app di messaggistica istantanea, siti web, Social Media, servizi Cloud.
Alcuni esempi
1) Phishing
Il Phishing è un tentativo di truffa che sfrutta la posta elettronica per rubare dati personali delle vittime, le quali, spinte dalla curiosità o tratte in inganno dal mittente dell’email, cliccano su un link malevolo dove inseriscono le proprie credenziali o scaricano un allegato infetto. Generalmente gli attaccanti di questo tipo fingono di essere organizzazioni conosciute (es. banche o servizi utilizzati effettivamente dall’utente) che contattano l’utente con un pretesto studiato in modo tale da far inserire alla vittima le proprie credenziali.
2) Pretexting
Con questa tecnica il criminale contatta la vittima telefonicamente simulando una situazione particolare, fingendosi ad esempio un operatore bancario e tentando di instaurare un rapporto di empatia con la vittima.
3) Baiting
Tramite il Baiting l’hacker utilizza una vera e propria “esca”, lasciando incustodito un supporto di memorizzazione (chiavette USB, cd, hard disk, …) contenente codice malevolo. L’obiettivo è indurre la vittima, spinta dalla curiosità, a inserire il dispositivo nel proprio computer, dando così all’hacker la possibilità di infettare un dispositivo, per poi possibilmente diffondersi nella rete.
4) Tailgating
Questa tecnica riguarda l’accesso fisico all’interno di un’area riservata: il cybercriminale tenta di accedere ad aree aziendali riservate, fingendo ad esempio di aver dimenticato il badge di accesso all’area.