Cos'è un attacco di social engineering?

Negli attacchi di social engineering, le vittime vengono indotte con l'inganno a trasmettere informazioni sensibili che possono essere utilizzate per scopi dannosi.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire il concetto di social engineering
  • Descrivere i diversi tipi di attacchi di social engineering
  • Capire quali misure adottare per non cadere vittima di un attacco di social engineering

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è il social engineering?

In generale, il social engineering consiste nel manipolare le persone affinché forniscano informazioni sensibili. Gli attacchi di social engineering possono verificarsi di persona, ad esempio quando un ladro si traveste da autista di furgone delle consegne per farsi aprire il portone di un edificio. Questo articolo si concentrerà invece sugli attacchi di social engineering informatici. Nella maggior parte dei casi, questi attacchi mirano a indurre la vittima a rivelare le proprie credenziali di accesso o informazioni finanziarie sensibili.

Gli attacchi di social engineering possono avere questo aspetto:

  • Un aggressore invia un'e-mail a una vittima, che sembra provenire da un contatto presente nella rubrica di quest'ultimo. L'e-mail può contenere un collegamento sospetto che eseguirà un attacco cross-site scripting, oppure indirizzerà la vittima verso un sito dannoso.
  • Un utente malintenzionato adesca gli utenti online con link che promettono download di film o software conosciuti, ma che in realtà contengono un payload dannoso.
  • Un aggressore contatta una vittima affermando di essere uno straniero facoltoso che ha bisogno delle informazioni di un conto bancario per trasferire la propria fortuna, offrendo di ricompensare profumatamente la vittima in cambio di tali informazioni. In realtà, l'aggressore cerca di svuotare i conti della vittima.
  • Un utente malintenzionato invia un'e-mail di phishing che indirizza la vittima a una pagina di accesso falsa, con lo scopo di sottrargli la password.
Un esempio di social engineering

Oltre a questi tipi di piccole truffe, di piccola entità e dirette verso singoli individui, esistono anche attacchi più sofisticati che vengono sferrati contro intere organizzazioni. Un esempio sono i "drop" tramite chiavetta USB. Questi attacchi possono prendere di mira le reti di aziende ben protette, anche quelle non connesse a Internet. Gli aggressori lo fanno spargendo diverse pennette USB nel parcheggio dell'azienda presa di mira. Spesso vi appongono etichette, come "riservato", volte a suscitare la curiosità di chi le raccoglie, nella speranza che le infili nel proprio computer aziendale. Queste unità possono contenere virus o worm molto distruttivi e difficili da rilevare, dato che entrano nella rete da un computer locale.

Come funzionano gli attacchi di social engineering?

Gli attacchi di social engineering possono avvenire telefonicamente, tramite e-mail, tramite post sui social media e persino di persona. Essi sfruttano un'ampia gamma di tattiche, alcune delle quali sono descritte di seguito, per ottenere la fiducia della vittima e manipolarla affinché intraprenda l'azione desiderata. L'obiettivo è sempre quello di indurre la vittima a fare qualcosa che inizialmente non aveva intenzione di fare.

Tattiche di social engineering

  • Impersonare una parte fidata: potrebbe trattarsi di un brand, un collega, un capo o persino un amico o un familiare.
  • Baiting: l'aggressore offre alla vittima come esca qualcosa di desiderabile. L'esca potrebbe essere il download gratuito di software (contenente malware), la promessa di un futuro pagamento monetario o un favore professionale.
  • Pretexting: la maggior parte degli attacchi di social engineering comprende una qualche forma di "pretexting". Il pretexting avviene quando l'aggressore crea o descrive una situazione fittizia, e presenta una soluzione alla vittima designata. Ad esempio, l'aggressore potrebbe affermare che la vittima è rimasta bloccata fuori da un account importante e che, per risolvere il problema, deve fornire le proprie credenziali di accesso.
  • Appello emotivo: I truffatori cercano di suscitare emozioni nelle loro vittime per indurle ad agire. Possono usare la paura (descrivendo una situazione negativa che deve essere risolta), l'avidità (offrendo qualcosa alla vittima), la disponibilità (fingendo di aver bisogno di assistenza) o altri sentimenti forti per manipolare i loro obiettivi.
  • Scareware: un software progettato per scopi di social engineering. Questo software di solito agisce mostrando messaggi pop-up che hanno lo scopo di spaventare la vittima, come ad esempio un messaggio che la avvisa della presenza di numerosi virus nel suo computer. I messaggi, inoltre, inducono la vittima a scaricare malware o a fornire informazioni personali per correggere il (falso) problema.

Come gli attacchi di social engineering si inseriscono nell'ambito di attacchi informatici più articolati

Alcuni autori di attacchi di social engineering mirano semplicemente a ottenere ciò che possono dalle loro vittime dirette. Altri, tuttavia, utilizzano questa tecnica per raggiungere obiettivi più importanti, come la compromissione un'intera azienda o una rete, e i dati in esse contenuti. Molti attacchi ransomware e molte violazioni di dati iniziano con tecniche di social engineering. Una volta che gli aggressori compromettono un individuo, hanno più facilità ad accedere al resto dell'organizzazione a cui appartiene.

Quali sono alcuni esempi celebri di attacchi di social engineering?

La violazione dei dati occorsa a RSA del 2011 creò grande scalpore, soprattutto perché RSA è una società di sicurezza affidabile. Questa violazione mandò in crash SecurID, il diffuso servizio di autenticazione a due fattori di RSA. Sebbene non tutti i dettagli dell'attacco siano stati divulgati pubblicamente, sia che l'attacco ebbe inizio da un attacco di social engineering. L'attacco cominciò con un semplice attacco di phishing di base, in cui gli aggressori inviarono e-mail a dipendenti RSA di basso livello che sembravano essere e-mail aziendali riguardanti il recruiting interno. Uno di questi dipendenti aprì uno degli allegati di questa e-mail, innescando l'attacco.

Nel 2013, l'Associated Press cadde vittima di un attacco di social engineering che provocò un crollo del mercato azionario di 136 miliardi di dollari. L'attacco ebbe inizio a seguito di una campagna di phishing condotta sui dipendenti della società. Uno dei dipendenti aprì il link contenuto dell'e-mail, innescando l'attacco. Il risultato fu la compromissione dell'account Twitter dell'AP, che consentì agli aggressori di inviare un tweet con una notizia fasulla su una presunta esplosione occorsa nella Casa Bianca. La falsa notizia circolò rapidamente, provocando un calo di 150 punti dell'indice Dow. L'attacco venne rivendicato dalla sedicente Syrian Electronic Army, che però non addusse mai prove in tal senso.

L'attacco di violazione dei dati condotto contro Target nel 2013 è diventato uno dei più famigerati attacchi informatici della storia grazie alla sua sofisticazione. Come gli altri attacchi menzionati in questo articolo, anche questo cominciò con un'attività di social engineering. A essere presi di mira, stavolta, non furono però i dipendenti dell'azienda. Gli aggressori inviarono invece delle e-mail ai dipendenti di una ditta di impianti di condizionamento che aveva installato una serie di impianti nei punti vendita di Target. Questi condizionatori erano collegati ai sistemi informatici interni di Target e, grazie alla compromissione della ditta, gli aggressori furono in grado di introdursi nella rete di Target e a raccogliere dagli scanner le informazioni sulle carte di credito di migliaia di punti vendita, esponendo le informazioni finanziarie di circa 40 milioni di clienti.

Come difendersi dagli attacchi di social engineering

Sebbene le funzionalità di sicurezza automatizzate, come lo screening delle e-mail, possano aiutare a impedire agli aggressori di contattare le vittime, la migliore difesa contro gli attacchi di social engineering è il buon senso, unito a una conoscenza aggiornata delle loro modalità di impiego più recenti. Il Computer Emergency Readiness Team degli Stati Uniti (US-CERT) consiglia ai cittadini di diffidare di qualsiasi comunicazione sospetta e di inviare informazioni sensibili sul web solo su pagine sicure (HTTPS e TLS sono buone indicazioni del livello di sicurezza di un sito). Si raccomanda inoltre di evitare di fare clic sui collegamenti contenuti nelle e-mail e di digitare direttamente nel browser gli URL di aziende affidabili. I titolari di siti web possono fare la loro parte utilizzando un servizio come Cloudflare, che li avviserà quando degli aggressori utilizzano il loro dominio in attacchi di phishing.

Quando un'organizzazione utilizza un modello di sicurezza Zero Trust, i danni prodotti da un attacco di social engineering possono essere contenuti. Questo approccio alla sicurezza rende molto più difficile per gli aggressori spostarsi ulteriormente all'interno di una rete o di un sistema, una volta che hanno messo il fatidico "piede nella porta". Scopri di più su come le aziende si proteggono dal social engineering tramite la sicurezza Zero Trust.

 

DOMANDE FREQUENTI

Qual è la definizione di un attacco di social engineering?

Un attacco di social engineering consiste nel manipolare una persona affinché fornisca volontariamente informazioni riservate, come credenziali di accesso o informazioni finanziarie. Questi attacchi possono essere condotti di persona, telefonicamente, via e-mail, tramite social media oppure online.

Come funzionano gli attacchi di social engineering?

Gli attacchi di social engineering impiegano svariate tattiche per guadagnarsi la fiducia di una vittima, manipolarla, e indurla a compiere un'azione indesiderata. Le più comuni sono impersonare una persona o un ente fidati, l'adescare le vittime con qualcosa di desiderabile o il creare una situazione falsa per ottenere informazioni (pretexting). Gli aggressori sfruttano anche le leve emotive dell'avidità, della paura o della curiosità per indurre le vittime ad agire.

Quali sono alcuni esempi di attacchi di social engineering?

Tra gli attacchi di social engineering troviamo l'invio di un'e-mail malevola a una vittima da parte di un contatto compromesso, l'utilizzo di una pagina di accesso fasulla per sottrarre la password di un utente, o l'impiego di un attacco tramite chiavetta USB per colpire una rete aziendale ben protetta.

Come è possibile prevenire gli attacchi di social engineering?

La miglior difesa sono il buon senso e una conoscenza aggiornata di questi attacchi. Si raccomanda di prestare attenzione alle comunicazioni sospette, di evitare di cliccare sui link nelle email (digitando invece gli URL attendibili nel browser) e di contattare direttamente istituti e fornitori di servizi in caso di ricezione di messaggi inattesi. Per le aziende, l'utilizzo di un modello di sicurezza Zero Trust può aiutare a contenere i danni nel caso in cui un utente malintenzionato utilizzi tecniche di social engineering per infiltrarsi nella rete.

In che modo gli attacchi di social engineering possono impattare negativamente su un'azienda?

Gli attacchi di social engineering possono essere utilizzati come punto di partenza per attacchi informatici ad ampio spettro da parte di minacce persistenti avanzate (APT, Advanced persistent threats). Compromettendo un singolo individuo, gli aggressori possono accedere più facilmente al resto dell'organizzazione. Gli attacchi di social engineering andati a buon fine possono sfociare in esfiltrazioni di dati e infezioni ransomware.