Home » Blog » Ingegneria sociale: occhio alle nostre debolezze

Ingegneria sociale: occhio alle nostre debolezze

Gli specialisti informatici si occupano di garantire la sicurezza Informatica, ma spesso le vulnerabilità maggiori non si trovano nella rete, bensì a 40 centimetri dallo schermo, dove gli utenti in carne e ossa interagiscono con la tecnologia. I truffatori lo sanno molto bene, infatti sfruttano le tipiche qualità dell’uomo e i comportamenti più comuni come la fiducia nel prossimo, la disponibilità, il rispetto, la fierezza, la riconoscenza, l’evitare i conflitti o la paura, tutto per riuscire ad avere accesso illegalmente ai sistemi dei malcapitati, usando il metodo dell’ingegneria sociale, che provoca ogni anno miliardi di danni. Quindi per le aziende è indispensabile riuscire a sensibilizzare i lavoratori su questo tema ed avere delle chiare linee guida per sapere come gestire le informazioni confidenziali.

Che cos’è l’ingegneria sociale?

L’ingegneria sociale è composta da diversi trucchetti psicologici, per strappare ai lavoratori informazioni importanti. Si utilizzano queste tecniche per infiltrarsi nei sistemi informatici e avere accesso ai dati sensibili di un’azienda: si parla così anche di social hacking. L’ingegneria sociale viene utilizzata per indurre
i dipendenti ad azioni sconsiderate, come ad esempio l’installazione di un programma sconosciuto o transazioni finanziarie sospette. Normalmente non è richiesto un contatto diretto tra il truffatore e la vittima. Anche le email di phishing che mirano a ingannare gli utenti, si basano la maggior parte sull’ingegneria sociale.
Anche la password più sicura offre poca sicurezza, se è detta mentre si parla con gli sconosciuti Un classico esempio è ricevere una mail di un presunto amministratore di sistema a cui serve la password della segreteria per risolvere velocemente un problema improvviso.

Come funziona l’ingegneria sociale?

L’idea dell’ingegneria sociale sembra banale, ma si dimostra nella pratica uno dei metodi più efficaci di infiltrazione perché fa leva sulle caratteristiche positive e negative, che si trovano in quasi tutte le persone. Molte persone hanno difficoltà a rifiutare di fare un favore in una situazione di emergenza e per paura di reagire in modo sbagliato in situazioni sconosciute, molti decidono di collaborare.
Ma non sono sempre le qualità dell’uomo ad essere al centro dei tentativi di manipolazione. Spesso la tendenza ad evitare conflitti comporta che vengano eseguite azioni poco sicure contro ogni buon senso. La paura invece fa compiere azioni avventate, come ad esempio quella di fornire informazioni dettagliate sul router e sulla sua configurazione ad un presunto tecnico al telefono che prospetta un pomeriggio senza Internet. Chiamate di questo tipo intimidiscono soprattutto i lavoratori con poche conoscenze informatiche perché sono piene di termini tecnici a loro sconosciuti. I social hacker si approfittano anche della paura dei superiori, infatti un tipico trucco è fingere un ordine di pagamento da parte del capo.
Per ingannare le loro vittime, i truffatori si fingono solitamente colleghi, superiori o candidati. Gli hacker si fingono impiegati del servizio che deve raccogliere informazioni sul grado di soddisfazione dei clienti o che deve condurre per conto di un istituto di ricerca un sondaggio del settore.
I così chiamati ingegneri sociali non si limitano necessariamente ad un unico contatto. È possibile che comincino con chiedere alcuni piccoli favori o continuare a farsi risentire di tanto in tanto. Il tentativo di hacking vero e proprio avviene solo quando si è instaurato un certo rapporto di fiducia e l’hacker ha raccolto le informazioni necessarie per poter ingannare la vittima facilmente. Tra le possibili fonti di informazione rientrano, oltre alla pagina aziendale, i social network come Facebook o LinkedIn e alcuni criminali si spingono addirittura molto oltre con il dumpster diving, ricercando nel cestino della vittima documenti di lavoro buttati senza pensarci troppo. L’ingegneria sociale per e-mail o per telefono è molto comune perché permette l’automatizzazione di questi attacchi con pochi accorgimenti tecnici. Il rischio di rivelare inavvertitamente segreti aziendali o

dati di accesso esiste anche nei mezzi pubblici o in luoghi come bar, ristoranti o locali, quando più colleghi conversano in un’atmosfera rilassata sui numeri, i processi o i contatti dell’azienda. Anche i dipendenti che hanno conversazioni di lavoro al telefono discutono spesso di informazioni riservate alla luce del giorno e senza preoccuparsi di possibili ascoltatori.

Software per l’Ingegneria sociale automatizzata

Una variante dell’ingegneria sociale basata su un software si appoggia su programmi dannosi specifici, che impauriscono gli utenti e li inducono così a compiere precise azioni: si parla in questo caso di scareware. I programmi di questo tipo seguono questo schema: gli utenti vengono informati da un software su una specifica minaccia e gli viene mostrata allo stesso tempo una semplice soluzione, che comprende in genere l’azione voluta dall’hacker. Spesso lo scareware viene posizionato prima sul computer della vittima. Un punto di appoggio è offerto qui dalla fiducia riposta in marchi conosciuti, aziende o istituzioni. Per invogliare l’utente ad installare spontaneamente un malware, i truffatori usano, tra gli altri, nomi e loghi che si confondono facilmente con prodotti famosi affidabili.
Così uno scareware si può ad esempio nascondere in un programma antivirus gratuito, che comunica all’utente, dopo l’installazione, una serie di infezioni fittizie e offre come soluzione al problema il download della versione completa a pagamento.

page26image4210693680

L’uso di scareware non prevede necessariamente un’infiltrazione nel sistema, ma può anche iniziare ad esempio tramite un’animazione su un sito, che fa credere alla vittima di aver subito un attacco hacker. Le “misure di sicurezza” offerte dallo scareware comprendono in questo caso il download di un trojan, che consente poi l’attacco vero e proprio. In una variazione di questo schema di attacco il messaggio di errore non viene mostrato sul sito, ma viene semplicemente attivato come un avviso del browser. Sono anche possibili delle finestre pop-up, che imitano i conosciuti avvisi del sistema di Windows.

Come tutelarsi in azienda

Per proteggere efficacemente la propria azienda dall’ingegneria sociale, bisogna sensibilizzare i dipendenti partendo da quelli che sono in possesso di informazioni riservate. Inoltre si consiglia di stabilire delle regole per procedere con i dati aziendali sensibili. I procedimenti standard per compiti amministrativi danno sicurezza ai lavoratori e indicano come ci si dovrebbe comportare in caso di situazioni critiche. Se ai dipendenti viene suggerito di non chiedere mai password personali dell’azienda per e-mail o al telefono, sarà difficile per i truffatori avervi accesso tramite uno di questi canali.
Visto che l’ingegneria sociale si basa sull’errore umano, non è possibile eliminare del tutto il rischio solo ricorrendo a misure preventive.
• Diffidare di persone che non fanno parte dell’azienda, più un’azienda è grande, più è facile per persone non appartenenti all’azienda, dire di essere dei lavoratori o dei fornitori. Di solito diffidando degli estranei diminuisce il rischio di rivelare informazioni riservate dell’azienda, infatti si dovrebbero fornire dati sensibili solo ai colleghi,

page27image135280

Ai dipendenti dovrebbe essere chiaro dove è possibile utilizzare e salvare i dati sensibili e quali informazioni dovrebbero in ogni caso rimanere segrete la cui identità è nota. Mai dare informazioni sensibili al telefono, soprattutto nel caso si tratti di telefonate in entrata o di interlocutori sconosciuti. Anche informazioni apparentemente secondarie possono aiutare i truffatori a raccogliere informazioni sull’azienda e trarre magari in inganno altri colleghi.
  • Di Fronte ad un’email con mittente sconosciuto o non chiaramente identificabile, si consiglia di procedere con cautela. I lavoratori dovrebbero consultare in ogni caso il reparto IT, prima di rispondere a messaggi simili. Se nel messaggio viene richiesto il compimento di un’azione inaspettata, ad esempio si chiede di effettuare eccezionalmente un bonifico, si consiglia di chiamare il presunto mittente per verificare la situazione.
  • Cautela nel cliccare sui link e nell’aprire gli allegati delle e-mail. I truffatori utilizzano tecniche di questo tipo per ottenere dati conosciuti: bancari, password o codici cliente.
• Si consiglia sempre di stare attenti ad aprire gli allegati, perché possono contenere malware, che si installano a vostra insaputa, fornendo accesso al sistema a persone non autorizzate. È possibile ridurre questo rischio, esortando i dipendenti ad aprire solo allegati alle e-mail di mittenti
• La preparazione di attacchi di ingegneria sociale avviene generalmente molto prima rispetto all’attacco vero e proprio. Oltre al sito aziendale, anche i social network offrono spesso ai truffatori informazioni sufficienti per confezionare i loro tentativi di manipolazione in una storia credibile. Generalmente vale il fatto che più un dipendente fornisce informazioni su di sé in rete, più si espone ai rischi dell’ingegneria sociale diventando un facile bersaglio. Per questo bisognerebbe informare i dipendenti e stabilire delle chiare regole su come procedere per i contenuti relativi all’azienda sui social network.
La complessità del tema e la varietà degli schemi di attacco rendono però impossibile per i dipendenti essere preparati a tutti i possibili tipi di attacchi di ingegneria sociale.
Tenere regolarmente corsi sulla protezione dei dati aiuta a riportare l’attenzione su questo tema e crea una maggiore consapevolezza dei potenziali rischi.
Comunque, attenzione a non esagerare con le misure di prevenzione, può diventare difficile ottenere una collaborazione proficua, se si lavora in un clima dove regna una costante paura di sbagliare e diffidenza generale nei confronti degli altri.