Con l’espressione Social Engineering si identifica una tecnica di attacco cyber non basata su hacking, falle o vulnerabilità dei sistemi informatici bensì sulla manipolazione delle persone attraverso leve psicologiche e comportamentali. In pratica, Social Engineering significa sfruttare la psicologia e le emozioni delle persone per ottenere certi comportamenti da cui il malintenzionato ottenga un vantaggio indebito, che sia l’accesso ai locali dell’azienda o, come più frequentemente accade, l’acquisizione di informazioni confidenziali. Giusto a titolo d’esempio, chiamare telefonicamente un dipendente fingendo di essere l’help desk aziendale per ottenere le credenziali di accesso al sistema è una forma, piuttosto comune e rudimentale, di Social Engineering, così come lo è il phishing, con cui chiunque usi l’e-mail con una certa costanza ha avuto a che fare.
Il fenomeno è molto diffuso e desta senz’altro una certa preoccupazione, sia a livello personale sia aziendale: tramite il Social Engineering, i malintenzionati possono infatti tentare di accedere a un home banking personale così come ai server di un’azienda. Il recente rapporto Clusit del 2020 posiziona la categoria Phishing/Social Engineering al quarto posto tra le tecniche di attacco cyber più significative e balza all’occhio soprattutto l’incremento rispetto all’anno precedente: +81,9%, che non solo è l’incremento più alto tra tutte le tecniche prese in considerazione (malware, vulnerabilità, DDoS, 0-day…), ma ne dimostra in modo inequivocabile l’efficacia. A titolo di curiosità, va segnalato che nell’area del phishing, che da sola rappresenta l’80% di tutti gli attacchi di Social Engineering, un segmento in rapida ascesa è quello dei BEC Scam (Business e-mail Compromise), un fenomeno fortemente accelerato dalla pubblicazione, a gennaio 2019, di #Collection1, ovvero una raccolta di 700 milioni di indirizzi e-mail e decine di milioni di password. BEC Scam consiste nella compromissione di account aziendali al fine di trarre in inganno le vittime (spesso, appartenenti alla stessa azienda) e indurle a pagamenti fraudolenti: a testimonianza dell’efficacia di tali tecniche l’FBI ha stimato il danno economico negli ultimi 5 anni in 12 miliardi di dollari.
Come si manifesta il Social Engineering
La pericolosità delle varie tecniche di Social Engineering è dettata dal fatto che l’azienda può aver implementato ogni forma di difesa per il proprio data center, può disporre dei migliori strumenti e policy ferree di sicurezza, ma anche di soluzioni di Endpoint Protection funzionali a un digital workplace sicuro, eppure cadere vittima di tecniche sofisticate di Social Engineering. Il motivo è chiaro: se è vero che lo strumento di protezione può intercettare e bloccare alcune ‘manifestazioni’ di Social Engineering come il phishing nelle e-mail aziendali, difficilmente può bloccare un bonifico eseguito intenzionalmente da una persona che ha facoltà di farlo poiché tratta in inganno dalla telefonata di un (finto) superiore.
L’efficacia del Social Engineering, testimoniata dai numeri di cui sopra, è alla base di tecniche sempre più sofisticate, ma che in ogni caso partono dalla raccolta del maggior numero possibile di informazioni sull’azienda e sulla vittima, cui segue l’identificazione di eventuali vulnerabilità e la selezione delle tecniche psicologiche atte a ottenere il comportamento voluto: l’e-mail del (finto) superiore fa perno sull’autorevolezza del messaggio, quella con l’offerta imperdibile tocca la sfera di avere l’occasione della vita, per non parlare di quella che annuncia la presenza di un virus nel PC nella speranza di indurre a un certo comportamento (le solite credenziali, lo scaricamento di un malware…) per via, al tempo stesso, di inesperienza e credulità.
In questo scenario, e sulla base di queste premesse, si sono sviluppate le tecniche più comuni e note di Social Engineering: tra queste, il notissimo phishing – con la variante dello spear phishing, che si verifica quando l’attacco è finemente targettizzato, provenendo da una persona/account conosciuta e ritenuta attendibile; il trashing, che come suggerisce il termine consiste nel ‘setacciare’ la spazzatura alla ricerca di informazioni sensibili dalle bollette, dagli estratti conto o da altri documenti; il baiting, che consiste nell’usare delle esche infettate da Malware (come un CD o una chiavetta USB) per attirare l’attenzione della vittima e indurla a un certo comportamento (ad esempio, introdurre il suddetto CD o chiavetta USB nel proprio computer aziendale; e il plextering, che si verifica quando il malintenzionato cerca di creare un certo livello di fiducia mediante una conversazione al fine di ottenere informazioni riservate. L’elenco potrebbe andare avanti a lungo.
La soluzione? Soprattutto, Security Awareness
Abbiamo già accennato al fatto che i classici strumenti di difesa possono essere efficaci contro qualche forma di Social Engineering (il phishing, per esempio), ma non lo sono in tutti i casi. Una semplice Multi Factor Authentication, per esempio, evita che scrivere username e password su un foglio di carta consenta ad altri di accedere al proprio account, ma non può nulla nel caso in cui, credendo di essere al telefono col proprio superiore, si condivida anche il codice OTP. In ogni caso, una costante revisione dei processi aziendali finalizzata a rilevare eventuali vulnerabilità può essere utile, così come lo è la verifica dell’applicazione del principio di separation of duties nell’ambito delle transazioni finanziarie.
Ma più di ogni altro strumento, contro il Social Engineering occorre la giusta conoscenza, anzi la giusta consapevolezza. La Security Awareness è fondamentale e deve pervadere tutta l’azienda: nessuna persona deve sentirsi esclusa o superiore al problema solo perché usa poco il PC o non lavora in sede. Non conosciamo la dinamica del prossimo attacco di Social Engineering e neppure quanto sarà sofisticato: per questo la formazione a tutti i dipendenti sulle minacce cyber rappresenta un vero e proprio must per aziende che vogliono concentrarsi sul proprio business e sulla crescita dell’azienda, evitando intoppi che possono costare molto caro. Sviluppare una cultura della sicurezza, comprensiva di comportamenti virtuosi e conoscenza di quelli da evitare, deve essere un’esigenza prioritaria e deve riguardare sia la prevenzione – che come sempre è l’aspetto più importante – sia la capacità di reazione di fronte a un attacco, così da evitare che la semplice ignoranza, o un’emozione non controllata, possono causare danni a tutta l’organizzazione.
