Negli attacchi di social engineering, le vittime vengono indotte con l'inganno a trasmettere informazioni sensibili che possono essere utilizzate per scopi dannosi.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Cos'è una violazione dei dati?
Cos'è la sicurezza delle applicazioni Web?
Attacco brute-force
Attacco di interposizione
Attacco di buffer overflow
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
In generale, il social engineering consiste nel manipolare le persone affinché forniscano informazioni sensibili. Gli attacchi di social engineering possono verificarsi di persona, ad esempio quando un ladro si traveste da autista di furgone delle consegne per farsi aprire il portone di un edificio. Questo articolo si concentrerà invece sugli attacchi di social engineering informatici. Nella maggior parte dei casi, questi attacchi mirano a indurre la vittima a rivelare le proprie credenziali di accesso o informazioni finanziarie sensibili.
Gli attacchi di social engineering possono avere questo aspetto:
Oltre a questi tipi di piccole truffe, di piccola entità e dirette verso singoli individui, esistono anche attacchi più sofisticati che vengono sferrati contro intere organizzazioni. Un esempio sono i "drop" tramite chiavetta USB. Questi attacchi possono prendere di mira le reti di aziende ben protette, anche quelle non connesse a Internet. Gli aggressori lo fanno spargendo diverse pennette USB nel parcheggio dell'azienda presa di mira. Spesso vi appongono etichette, come "riservato", volte a suscitare la curiosità di chi le raccoglie, nella speranza che le infili nel proprio computer aziendale. Queste unità possono contenere virus o worm molto distruttivi e difficili da rilevare, dato che entrano nella rete da un computer locale.
Gli attacchi di social engineering possono avvenire telefonicamente, tramite e-mail, tramite post sui social media e persino di persona. Essi sfruttano un'ampia gamma di tattiche, alcune delle quali sono descritte di seguito, per ottenere la fiducia della vittima e manipolarla affinché intraprenda l'azione desiderata. L'obiettivo è sempre quello di indurre la vittima a fare qualcosa che inizialmente non aveva intenzione di fare.
Alcuni autori di attacchi di social engineering mirano semplicemente a ottenere ciò che possono dalle loro vittime dirette. Altri, tuttavia, utilizzano questa tecnica per raggiungere obiettivi più importanti, come la compromissione un'intera azienda o una rete, e i dati in esse contenuti. Molti attacchi ransomware e molte violazioni di dati iniziano con tecniche di social engineering. Una volta che gli aggressori compromettono un individuo, hanno più facilità ad accedere al resto dell'organizzazione a cui appartiene.
La violazione dei dati occorsa a RSA del 2011 creò grande scalpore, soprattutto perché RSA è una società di sicurezza affidabile. Questa violazione mandò in crash SecurID, il diffuso servizio di autenticazione a due fattori di RSA. Sebbene non tutti i dettagli dell'attacco siano stati divulgati pubblicamente, sia che l'attacco ebbe inizio da un attacco di social engineering. L'attacco cominciò con un semplice attacco di phishing di base, in cui gli aggressori inviarono e-mail a dipendenti RSA di basso livello che sembravano essere e-mail aziendali riguardanti il recruiting interno. Uno di questi dipendenti aprì uno degli allegati di questa e-mail, innescando l'attacco.
Nel 2013, l'Associated Press cadde vittima di un attacco di social engineering che provocò un crollo del mercato azionario di 136 miliardi di dollari. L'attacco ebbe inizio a seguito di una campagna di phishing condotta sui dipendenti della società. Uno dei dipendenti aprì il link contenuto dell'e-mail, innescando l'attacco. Il risultato fu la compromissione dell'account Twitter dell'AP, che consentì agli aggressori di inviare un tweet con una notizia fasulla su una presunta esplosione occorsa nella Casa Bianca. La falsa notizia circolò rapidamente, provocando un calo di 150 punti dell'indice Dow. L'attacco venne rivendicato dalla sedicente Syrian Electronic Army, che però non addusse mai prove in tal senso.
L'attacco di violazione dei dati condotto contro Target nel 2013 è diventato uno dei più famigerati attacchi informatici della storia grazie alla sua sofisticazione. Come gli altri attacchi menzionati in questo articolo, anche questo cominciò con un'attività di social engineering. A essere presi di mira, stavolta, non furono però i dipendenti dell'azienda. Gli aggressori inviarono invece delle e-mail ai dipendenti di una ditta di impianti di condizionamento che aveva installato una serie di impianti nei punti vendita di Target. Questi condizionatori erano collegati ai sistemi informatici interni di Target e, grazie alla compromissione della ditta, gli aggressori furono in grado di introdursi nella rete di Target e a raccogliere dagli scanner le informazioni sulle carte di credito di migliaia di punti vendita, esponendo le informazioni finanziarie di circa 40 milioni di clienti.
Sebbene le funzionalità di sicurezza automatizzate, come lo screening delle e-mail, possano aiutare a impedire agli aggressori di contattare le vittime, la migliore difesa contro gli attacchi di social engineering è il buon senso, unito a una conoscenza aggiornata delle loro modalità di impiego più recenti. Il Computer Emergency Readiness Team degli Stati Uniti (US-CERT) consiglia ai cittadini di diffidare di qualsiasi comunicazione sospetta e di inviare informazioni sensibili sul web solo su pagine sicure (HTTPS e TLS sono buone indicazioni del livello di sicurezza di un sito). Si raccomanda inoltre di evitare di fare clic sui collegamenti contenuti nelle e-mail e di digitare direttamente nel browser gli URL di aziende affidabili. I titolari di siti web possono fare la loro parte utilizzando un servizio come Cloudflare, che li avviserà quando degli aggressori utilizzano il loro dominio in attacchi di phishing.
Quando un'organizzazione utilizza un modello di sicurezza Zero Trust, i danni prodotti da un attacco di social engineering possono essere contenuti. Questo approccio alla sicurezza rende molto più difficile per gli aggressori spostarsi ulteriormente all'interno di una rete o di un sistema, una volta che hanno messo il fatidico "piede nella porta". Scopri di più su come le aziende si proteggono dal social engineering tramite la sicurezza Zero Trust.
Un attacco di social engineering consiste nel manipolare una persona affinché fornisca volontariamente informazioni riservate, come credenziali di accesso o informazioni finanziarie. Questi attacchi possono essere condotti di persona, telefonicamente, via e-mail, tramite social media oppure online.
Gli attacchi di social engineering impiegano svariate tattiche per guadagnarsi la fiducia di una vittima, manipolarla, e indurla a compiere un'azione indesiderata. Le più comuni sono impersonare una persona o un ente fidati, l'adescare le vittime con qualcosa di desiderabile o il creare una situazione falsa per ottenere informazioni (pretexting). Gli aggressori sfruttano anche le leve emotive dell'avidità, della paura o della curiosità per indurre le vittime ad agire.
Tra gli attacchi di social engineering troviamo l'invio di un'e-mail malevola a una vittima da parte di un contatto compromesso, l'utilizzo di una pagina di accesso fasulla per sottrarre la password di un utente, o l'impiego di un attacco tramite chiavetta USB per colpire una rete aziendale ben protetta.
La miglior difesa sono il buon senso e una conoscenza aggiornata di questi attacchi. Si raccomanda di prestare attenzione alle comunicazioni sospette, di evitare di cliccare sui link nelle email (digitando invece gli URL attendibili nel browser) e di contattare direttamente istituti e fornitori di servizi in caso di ricezione di messaggi inattesi. Per le aziende, l'utilizzo di un modello di sicurezza Zero Trust può aiutare a contenere i danni nel caso in cui un utente malintenzionato utilizzi tecniche di social engineering per infiltrarsi nella rete.
Gli attacchi di social engineering possono essere utilizzati come punto di partenza per attacchi informatici ad ampio spettro da parte di minacce persistenti avanzate (APT, Advanced persistent threats). Compromettendo un singolo individuo, gli aggressori possono accedere più facilmente al resto dell'organizzazione. Gli attacchi di social engineering andati a buon fine possono sfociare in esfiltrazioni di dati e infezioni ransomware.