Molto spesso articoli o blog riguardanti la sicurezza informatica elencano serie di accorgimenti tecnici per poter far fronte a determinati rischi informatici. La logica alla base di questi contenuti è: ad un dato problema corrisponde un dato rimedio tecnologico, fine del problema. Questo approccio che noi definiamo Technology-Centric è corretto ma non sufficiente per affrontare il dilemma della Cybersecurity; preferiamo invece affrontarlo con un approccio People-Centric che pone le persone, non tanto le tecnologie, al centro del processo di sicurezza aziendale.
L’obiettivo di questo articolo e dei prossimi è di approfondire la conoscenza su alcune tecniche di attacco informatico per le quali gli utenti sono a tutti gli effetti la sola contromisura e dove la tecnologia su questo campo rimane in panchina.
Queste tipologie di minacce informatiche che mirano esclusivamente gli utenti, utilizzate moltissimo dagli hacker, vengono definite con il termine Social Engineering, in quanto puntano a sfruttare dei comportamenti avventati e imprudenti delle persone per ottenere informazioni o diffondere malware pericolosi, facendo leva sulla persuasione psicologica e sulle debolezze umane.
Social Engineering
Perché il Social Engineering è diventato la tecnica di hacking più utilizzata? Chi attacca si è accorto che è molto più semplice e proficuo sfruttare le vulnerabilità umane che quelle tecnologiche per arrivare ai dati aziendali o recare un danno d’immagine, il ransomware ne è una dimostrazione eclatante, così come il furto di credenziali. Infatti, l’utilizzo sempre più frequente di servizi in Cloud accorcia le distanze tra dati aziendali e pericoli esterni, rendendo l’accesso alle informazioni e al business subordinato all’utilizzo di credenziali.
Il Social Engineering di conseguenza piace molto agli hacker perché permette di aggirare le difese tecnologiche puntando sul fattore umano: molti guadagni in poco tempo e senza fatica.
I contenuti utilizzati per adescare le proprie vittime sono realizzati puntando sui sentimenti degli utenti, ad esempio:
- Curiosità: fake-news su celebrità o su fatti davvero insoliti;
- Paura: PC compromesso;
- Emozione: petizioni a fin di bene;
- Situazioni: offerte di Natale o di altre festività;
- Fretta: account di posta o conti correnti in scadenza.
Si tratta della creazione di una vera e propria truffa per persuadere la vittima e portarla a compiere una determinata azione, quale ad esempio: confermare delle credenziali di accesso per un falso problema all’account di posta o del conto corrente, compilare un form per ottenere login e password oppure inserire una chiavetta USB nel proprio PC.
Metodi e techiche
I metodi e le tecniche di inganno con i quali queste frodi giungono alle persone sono di vario tipo, eccone alcuni:
- Baiting
- Impersonation
- Typosquatting
- Phishing
- Etc.
La contromisura al Social Engineering è prima di tutto la consapevolezza delle persone ed è per questo che consideriamo l’approccio People-Centric vincente per affrontare i problemi legati alla Cybersecurity.