Gli attacchi di ingegneria sociale manipolano le persone inducendole a condividere informazioni che non dovrebbero condividere, a scaricare software che non dovrebbero scaricare, a visitare siti web che non dovrebbero visitare, a inviare denaro a criminali o a commettere altri errori che compromettono la loro sicurezza personale o quella dell'organizzazione.
Un'e-mail che sembra provenire da un collega fidato e che richiede informazioni sensibili, un messaggio vocale minaccioso che afferma di provenire dall'Agenzia delle entrate, una ricca offerta di denaro da parte di un potentato straniero sono solo alcuni esempi di ingegneria sociale. Poiché l'ingegneria sociale utilizza la manipolazione psicologica e sfrutta l'errore o la debolezza umana piuttosto che le vulnerabilità tecniche o digitali del sistema, viene talvolta definita "hacking umano".
I criminali informatici spesso impiegano tattiche di ingegneria sociale per ottenere dati personali o informazioni finanziarie (credenziali di accesso, numeri di carte di credito, numeri di conti bancari, numeri di previdenza sociale), che poi utilizzano per il furto di identità, e quindi per effettuare acquisti con denaro o credito altrui, richiedere prestiti o sussidi di disoccupazione a nome di altri e non solo. Ma un attacco di ingegneria sociale può anche essere la prima fase di un attacco informatico su larga scala. Ad esempio, un criminale informatico potrebbe indurre una vittima a condividere un nome utente e una password e quindi utilizzare tali credenziali per installare ransomware sulla rete del datore di lavoro della vittima.
L'ingegneria sociale è attraente per i criminali informatici perché consente loro di accedere a reti, dispositivi e account digitali senza dover svolgere il difficile lavoro tecnico di aggirare firewall, software antivirus e altri controlli di cybersecurity. Questo è uno dei motivi per cui l'ingegneria sociale è oggi la principale causa di compromissione della rete, secondo il rapporto State of Cybersecurity 2022 di ISACA (link esterno a IBM.com). E secondo il rapporto Cost of a Data Breach 2022 di IBM, le violazioni causate da tattiche di ingegneria sociale (come il phishing e la compromissione delle e-mail aziendali) si sono rivelate tra le più costose.
Acquisisci le informazioni necessarie per prevenire e reagire ai cyberattacchi con maggiore velocità ed efficacia con IBM® Security X-Force Threat Intelligence Index.
Registrati per il report Cost of a Data Breach
Le tattiche e le tecniche di ingegneria sociale sono fondate sulla scienza della motivazione umana. Manipolano le emozioni e gli impulsi delle vittime in modi collaudati per spingere le persone a compiere azioni contrarie ai loro migliori interessi.
La maggior parte degli attacchi di ingegneria sociale impiega una o più delle seguenti tattiche:
Spacciarsi per un marchio affidabile: i truffatori spesso impersonano o "effettuano lo spoofing" di aziende che le vittime conoscono, di cui si fidano e con cui forse attuano spesso o regolarmente operazioni commerciali, così regolarmente che seguono le istruzioni fornite da questi marchi di riflesso, senza prendere le dovute precauzioni. Alcuni truffatori di ingegneria sociale utilizzano kit ad ampia diffusione per la preparazione di siti web fittizi, che assomigliano a quelli di importanti marchi o aziende.
Fingere di essere un'agenzia governativa o un'autorità: le persone si fidano, rispettare o temono l'autorità (a vari livelli). Gli attacchi di ingegneria sociale approfittano di questi impulsi con messaggi che sembrano o dichiarano di provenire da agenzie governative (ad esempio un organo investigativo nazionale o l'Agenzia delle entrate), figure politiche o addirittura celebrità.
Incutere paura o senso di urgenza: le persone tendono ad agire in modo avventato quando sono spaventate o hanno fretta. Le truffe di ingegneria sociale possono utilizzare diverse tecniche per indurre paura o un senso di urgenza nelle vittime, ad esempio dicendo alla vittima che una recente transazione di credito non è stata approvata, che un virus ha infettato il suo computer, che un'immagine utilizzata sul sito web viola i diritti di copyright, ecc. L'ingegneria sociale può anche appellarsi alla paura di essere esclusi (FOMO, o Fear Of Missing Out) delle vittime, che crea un diverso tipo di urgenza.
Fare leva sull'avidità: la truffa del principe nigeriano (un'email in cui una persona afferma di essere un reale nigeriano che cerca di fuggire dalla sua nazione e offre un enorme premio in denaro in cambio delle informazioni sul conto bancario del destinatario o di un piccolo pagamento in anticipo) è uno degli esempi più noti di ingegneria sociale che fa leva sull'avidità. Senza contare che proviene anche da una presunta autorità e crea un senso di urgenza: una potente combinazione. Questa truffa è vecchia quanto la posta elettronica stessa, ma nel 2018 fruttava ancora 700.000 dollari l'anno.
Fare appello al buon cuore o alla curiosità: gli stratagemmi di ingegneria sociale possono anche fare appello agli aspetti migliori della natura delle vittime. Ad esempio, un messaggio che sembra provenire da un amico o da un sito di social network può offrire aiuto tecnico, chiedere la partecipazione a un sondaggio, sostenere che il post dei destinatari è diventato virale e fornire un link contraffatto a un sito web o per il download di malware.
Phishing
Gli attacchi di phishing sono messaggi digitali o vocali che tentano di indurre con l'inganno i destinatari a condividere informazioni sensibili, scaricare software intenzionalmente dannoso, trasferire denaro o asset alla persona sbagliata o intraprendere altre azioni dannose. I truffatori creano abilmente messaggi di phishing in modo che abbiano caratteristiche grafiche e sonore che li facciano sembrare provenienti da un'organizzazione o da un individuo affidabile o credibile, a volte anche da un individuo che il destinatario conosce personalmente.
Esistono molti tipi di phishing scam:
E-mail di phishing in massa vengono inviate a milioni di destinatari contemporaneamente. Sembrano inviate da una grande e nota azienda o organizzazione—una banca nazionale o mondiale, un grande rivenditore al dettaglio online, ecc.—e presentano una richiesta generica, ad esempio "stiamo riscontrando un problema nell'elaborazione del tuo acquisto, ti preghiamo di aggiornare le informazioni relative alla tua carta di credito". Spesso, questi messaggi includono un collegamento dannoso che porta il destinatario a un sito Web falso che acquisisce il nome utente, la password, i dati della carta di credito e altro del destinatario.
Lo spear phishing si rivolge a uno specifico individuo, solitamente un individuo con accesso privilegiato a informazioni sugli utenti, alla rete di computer o ai fondi aziendali. Un truffatore farà ricerche sulla vittima designata, spesso utilizzando i social media, per creare un messaggio che sembri provenire da qualcuno che la vittima designata conosce e di cui si fida o che faccia riferimento a situazioni con cui la vittima designata ha familiarità. Il whaling è un tipo di spear phishing che prende di mira un individuo di alto profilo, ad esempio un CEO o un politico. Nell'attacco di tipo BEC (business email compromise - compromissione dell'email di business), l'hacker utilizza credenziali compromesse per inviare messaggi email dall'account email effettivo di un'autorità, rendendo la truffa molto più difficile da rilevare.
Il voice phishing, or vishing è un attacco phishing condotto tramite chiamate telefoniche. Le persone solitamente si imbattono nel vishing nella forma di chiamate registrate minacciose che si dichiara provengano da un organo investigativo nazionale. Ma X-Force di IBM ha recentemente stabilito che l'aggiunta di vishing a una campagna di phishing mirata può triplicare il successo della campagna.
Lo smishing, ovvero phishing tramite SMS, è un tipo di attacco di phishing tramite messaggio di testo.
Phishing dei motori di ricerca è un attacco che vede gli hacker creare siti Web dannosi con alti livelli di classifica nei risultati di ricerca di Google per termini di ricerca popolari.
L'angler phishing è un attacco phishing tramite account di social media fittizi, mascherati da account ufficiali dei team del servizio ai clienti o del supporto clienti di aziende affidabili.
Secondo l'IBM Security X-Force Threat Intelligence Index 2023, il phishing è il principale vettore di infezione del malware, identificato nel 41% di tutti gli incidenti. Secondo il rapporto Cost of a Data Breach 2022, il phishing è il vettore di attacco iniziale che porta alle violazioni dei dati più costose.
Adescamento
L'adescamento adesca (non è un gioco di parole) le vittime a fornire consapevolmente o inconsapevolmente informazioni sensibili o a scaricare codice maligno, tentandole con un'offerta di valore o addirittura con un oggetto di valore.
La truffa del Principe nigeriano è probabilmente l'esempio più noto di questa tecnica di ingegneria sociale. Esempi più attuali includono download di giochi, musica o software gratuiti ma infetti da malware. Ma alcune forme di adescamento sono a dir poco ingegnose. Ad esempio, alcuni attori delle minacce lasciano unità USB infettate da malware dove le persone le troveranno, le prenderanno e le utilizzeranno perché "ehi, è una chiavetta USB gratuita".
Tailgating
Nel tailgating, detto anche "piggybacking", una persona non autorizzata segue da vicino una persona autorizzata in un'area contenente informazioni sensibili o asset di valore. Il tailgating può essere condotto di persona: ad esempio, un attore di minacce può seguire un dipendente attraverso una porta non chiusa a chiave. Ma il tailgating può essere anche digitale, come quando una persona lascia un computer incustodito mentre è ancora connesso a una rete o un account privati.
Pretexting
Nella tecnica del pretexting, il truffatore crea una situazione fittizia per la vittima e si presenta come la persona giusta per risolverla. Molto spesso (e molto ironicamente) il truffatore afferma che la vittima è stata colpita da una violazione della sicurezza e, quindi, si offre di risolvere la situazione se la vittima fornirà informazioni importanti sull'account o concederà il controllo del proprio computer o dispositivo. Tecnicamente parlando, quasi ogni attacco di ingegneria sociale comporta un qualche livello di utilizzo della tecnica del pretexting.
Quid pro quo
In una truffa quid pro quo, gli hacker propongono un bene o un servizio desiderabile in cambio delle informazioni sensibili della vittima. False vincite di concorsi o premi fedeltà apparentemente innocenti ("grazie per il tuo pagamento, abbiamo un regalo per te") sono esempi di stratagemmi quid pro quo.
Scareware
Considerato anche una forma di malware, lo scareware è un software che sfrutta la paura per indurre con l'inganno le persone a condividere informazioni riservate o a scaricare malware. Lo scareware assume spesso la forma di un falso avviso delle forze dell'ordine che accusano l'utente di un crimine o di un finto messaggio dell'assistenza tecnica che avverte l'utente della presenza di malware sul suo dispositivo.
Watering hole attack
Facendo riferimento alla frase "somebody poisoned the watering hole" - "Qualcuno ha avvelenato la pozza d'acqua", gli hacker immettono codice nocivo in una pagina web legittima, frequentata dalle loro vittime designate. Gli attacchi watering hole sono responsabili di tutto, dal furto di credenziali ai download involontari di ransomware drive-by.
Gli attacchi di ingegneria sociale sono notoriamente difficili da impedire, perché si basano sulla psicologia umana piuttosto che sui percorsi tecnologici. Anche la superficie di attacco è di fondamentale importanza: in un'organizzazione di maggiori dimensioni, l'errore di un singolo dipendente può compromettere l'integrità dell'intera rete aziendale. Alcune delle procedure che gli esperti consigliano per ridurre il rischio e il successo delle truffe dell'ingegneria sociale includono:
Formazione sulla sicurezza: molti utenti non sanno come identificare gli attacchi di ingegneria sociale. E, in un momento in cui gli utenti scambiano frequentemente informazioni personali per ottenere in cambio beni e servizi, non si rendono conto che consegnando informazioni apparentemente banali, quali ad esempio un numero di telefono o la data di nascita, possono permettere agli hacker di violare un account. La formazione sulla sicurezza, combinata con politiche di sicurezza dei dati, può aiutare i dipendenti a capire come proteggere i loro dati sensibili e come rilevare e rispondere agli attacchi di ingegneria sociale in corso.
Politiche di controllo degli accessi: politiche e tecnologie sicure per il controllo degli accessi, che includono autenticazione a più fattori, autenticazione adattiva e un approccio di sicurezza zero trust possono limitare l'accesso dei criminali informatici ad asset e informazioni sensibili sulla rete aziendale, anche nel caso in cui ottengano le credenziali di accesso dell'utente.
Tecnologie di sicurezza informatica: filtri antispam e gateway di email sicuri possono innanzitutto impedire che alcuni attacchi di phishing raggiungano i dipendenti. Firewall e software antivirus possono ridurre l'estensione di qualsiasi danno causato dagli aggressori che hanno ottenuto accesso alla rete. Mantenendo i sistemi operativi aggiornati con le patch più recenti si possono anche eliminare alcune vulnerabilità sfruttate dagli aggressori tramite l'ingegneria sociale. Inoltre, soluzioni avanzate di rilevamento e risposta, tra cui endpoint detection and response (EDR) e extended detection and response (XDR), possono aiutare i team della sicurezza a rilevare e neutralizzare rapidamente minacce alla sicurezza che infettano la rete tramite tattiche di ingegneria sociale.
Metti alla prova i tuoi dipendenti con esercizi di phishing, vishing e ingegneria sociale fisica. Scopri le vulnerabilità dei dipendenti, dei processi e delle politiche per ridurre il rischio che gli attacchi di ingegneria sociale vadano a buon fine.
Testa applicazioni, reti, hardware e personale per individuare e correggere le vulnerabilità che espongono i tuoi asset più importanti agli attacchi. L'X-Force Red Portal consente tutte le persone coinvolte nella correzione di visualizzare immediatamente i risultati e di pianificare i test di sicurezza quando lo desiderano.
L'81% dei professionisti SOC afferma che le indagini manuali rallentano il loro lavoro1 Ottieni indagini sugli avvisi in minor tempo con IBM Security QRadar Suite, una selezione modernizzata di tecnologie di sicurezza con un'esperienza di analisi unificata e intelligenza artificiale e automazione incorporate.
Il modo migliore per prevenire una violazione dei dati è capire perché sta succedendo. Il rapporto The Cost of a Data Breach condivide le ultime intuizioni sul panorama delle minacce in espansione e offre raccomandazioni su come risparmiare tempo e limitare le perdite.
CISO, team di sicurezza e leader aziendali: scopri come gli attori delle minacce conducono gli attacchi e come proteggere in modo proattivo la tua organizzazione.
Le truffe di phishing inducono le vittime a divulgare dati sensibili, a scaricare malware ed esporre sé stesse o la loro organizzazione alla criminalità informatica.
Scopri come l'autenticazione a più fattori rafforza la sicurezza, soddisfa i requisiti di conformità normativa e supporta una strategia di sicurezza zero-trust.