Il social engineering è, nell’ambito delle tematiche di sicurezza informatica, una delle pratiche più insidiose da contrastare perché non coinvolge solamente aspetti tecnologici, ma anche (o soprattutto) il comportamento individuale delle persone.
Si tratta di una vera e propria attività fraudolenta volta a carpire informazioni utili all’utente, traendolo in inganno, di norma utilizzata per superare quei sistemi di protezione aziendali (informatici e non) senza rilevanti vulnerabilità e, quindi, difficili da violare con l’utilizzo dei consueti software malevoli.
Quando il sistema IT è adeguatamente protetto, il soggetto malintenzionato cercherà, quindi, di “aggirare l’ostacolo”, procurandosi le informazioni di cui necessita attraverso, appunto, un attacco di social engineering (o, se preferite, all’italiana, di ingegneria sociale), cioè tentando di ingannare l’essere umano e non la macchina.
Per difendersi da questo tipo di attacco, occorre programmare un’adeguata formazione all’interno dell’azienda, affinché il personale, soprattutto quello più esposto a questa tipologia di rischio, abbia conoscenze adeguate per riconoscere di essere di fronte ad una tattica di social engineering e riesca, pertanto, a contrastare l’iniziativa fraudolenta in modo efficace.
E’ appena il caso di precisare che questa specifica attività di formazione rientra a pieno titolo tra quelle misure di sicurezza che l’art. 32 del GDPR prescrive in capo ai Titolari del trattamento (o ai loro DPO, laddove presenti).
Quali sono le più comuni strategie del social engineer?
Il social engineer è un soggetto che mente sulla propria identità, fingendosi ciò che non è per ingannare gli altri: così facendo, elude i sistemi di sicurezza messi in atto dalle aziende e ricava informazioni che non potrebbe mai ottenere con la sua reale identità.
Le più note e usate le tecniche di social engineering sono le seguenti:
- messaggi dotati di autorevolezza: l’utente riceve un messaggio con la richiesta di svolgere una specifica azione (confermare una password, verificare l’account, etc.) da un Ente o da un soggetto notoriamente affidabile e/o dotato di una certa autorevolezza (una banca, ad esempio, o un proprio fornitore); nel messaggio, il social engineer replica loghi e grafica tipici del soggetto che sta fingendo di essere e, quindi, può far cadere in errore l’interlocutore, specie se disattento (perché occupato da molteplici compiti e a corto di tempo o perché scambia già, nel quotidiano, numerose comunicazioni con quel soggetto, etc.). Ricadono in questa ipotesi i tipici messaggi di phising che replicano grafica e simboli di note banche o di altri operatori ritenuti molto autorevoli;
- meccanismo basato sul senso di colpa: in questo caso, il social engineer cerca di generare un senso di colpa nell’utente, spingendolo a fare azioni particolari o inconsuete (ad esempio, facendogli credere di essere a conoscenza dei suoi download illeciti, lo obbliga a pagare una multa on-line in modo da ottenere non solo un pagamento immediato ma anche i dati associati a tale pagamento);
- simulazione di una situazione di urgenza o di panico: in questo caso, tramite email si viene, ad esempio, avvisati di un nuovo e pericoloso virus che è in grado di mettere fuori uso uno o più sistemi IT e si viene invitati, con una certa urgenza, a scaricare un allegato che dovrebbe permettere di difendersi dalla minaccia. Il file contiene, invece, un malware in grado di insinuarsi nella rete locale e carpire informazioni;
- sfruttare l’ignoranza tecnologica dell’interessato: il social engineer invia un messaggio con una terminologia particolarmente ricercata e molto tecnica, creando i presupposti per portare la vittima a compiere un’azione non sufficiente ponderata perché non realmente compresa dall’utente;
- proposte di offerte vantaggiose: l’utente è spinto a visitare un determinato sito che propone acquisti a prezzi che sembrano “imperdibili”. Solitamente, però, l’escamotage serve per indurre l’utente a scaricare un software malevolo;
- proporre un aiuto o far leva sui buoni sentimenti: a volta l’attacco di social engineering viene sferrato simulando la fornitura di un servizio gratuito o offrendo un aiuto ad una persona qualsiasi in azienda (per esempio facendosi passare per un operatore di help-desk). In questo modo, la vittima, sentendosi al sicuro, seguirà passo passo le istruzioni che le verranno date, mettendo a disposizione informazioni importanti che mai avrebbe divulgato. Facendo, inoltre, leva sui buoni sentimenti, si riesce altrettanto facilmente ad indurre un utente a fare donazioni (magari comunicando anche propri dati di pagamento riservati) a favore di persone in difficoltà del tutto inesistenti.
Quali sono le contromisure?
Tutte le sopra descritte metodologie di attacco sfruttano, con tutta evidenza, tecniche di manipolazione psicologica, per difendersi dalle quali vi è solo un’arma: aumentare la consapevolezza delle persone tramite la formazione.
Di solito, infatti, le usuali tecnologie di sicurezza informatica (firewall o antivirus) non sortiscono alcun effetto, dato che l’anello debole è l’essere umano e, dunque, la consapevolezza dell’esistenza di certe tecniche ed una “sana diffidenza” sono fondamentali per contrastare il social engineering.
Le best practices da seguire per limitare i rischi di questo tipo attacchi in ambito aziendale sono:
- sviluppare e diffondere un’adeguata policy, stabilendo procedure chiare ma cogenti per tutto il personale, nella quale sia chiaramente specificato dove, come, quando e da chi devono essere trattati i dati;
- capire quali sono le informazioni più importanti da difendere e valutare il loro livello di esposizione verso l’esterno;
- stabilire protocolli di sicurezza, politiche e procedure per i dati strategici e più rilevanti per la vita dell’azienda;
- verificare periodicamente se le regole di comportamento adottate sono seguite dal personale e rimangono valide nel tempo (eseguendo periodicamente anche dei test di vulnerabilità);
- aspetto solitamente molto sottovalutato e per questo molto sfruttato dai social engineers: regolamentare molto attentamente la fase di gestione dei rifiuti, individuando aree protette ed accessibili solo da personale di pulizia autorizzato, dato che i rifiuti informatici sono una preziosa fonte di dati quando non vengono adeguatamente smaltiti.
E’, comunque, opportuno che il personale venga istruito, a livello generale, a
- diffidare da email o telefonate non richieste da persone che chiedono informazioni su dipendenti o riguardo l’azienda (anche finanziarie), documentandosi previamente su chi sia l’interlocutore e verificandone l’effettiva identità;
- non diffondere informazioni strategiche in rete senza verificare il livello di sicurezza e attendibilità del sito;
- controllare sempre la URL dei siti web;
- evitare, naturalmente, di aprire allegati o file eseguibili di dubbia provenienza;
- informare tempestivamente gli amministratori di rete e i responsabili IT di eventuali anomalie o casi dubbi;
- se sono state comunicate delle password, cambiarle su tutti gli account in cui viene usata la medesima combinazione.
In caso si cada vittima di un attacco di social engineering può, comunque, essere utile ed opportuno anche contattare la Polizia Postale sia per denunciare il fatto accaduto sia per avere eventuali suggerimenti di comportamento, data l’esperienza e la casistica acquisita nel tempo da questi uffici proprio in tale materia.