Social Engineering, cos’è e perché dovrebbe interessarti

Social Engineering (in italiano, Ingegneria Sociale) è una categoria di metodi e pratiche che hanno lo scopo di ottenere informazioni e/o posizioni di vantaggio in un dato contesto tramite l’inganno ai danni di persone e aziende. Nell’articolo facciamo chiarezza su questo vasto argomento, spesso citato e da molti frainteso, cercando di mettere i puntini sulle i senza però complicare troppo il ragionamento.

Social Engineering nella vita di tutti giorni

Ognuno di noi, riflettendo sulla propria vita quotidiana, ha già incontrato esempi di situazioni pericolose di Social Engineering e ha sperimentato la ruvida realtà delle sue pratiche malevole.

L’Ingegneria Sociale è una categoria che racchiude metodi e pratiche che hanno l’obiettivo di ottenere informazioni private con l’inganno.
Quali sono delle situazioni reali in cui ci potremmo imbattere nei metodi assimilabili a Social Engineering?

I dispositivi smart a cui affidiamo la nostra routine sono pieni di possibilità per chi tenta di ricavare informazioni private. Nel computer non potremmo trovare compagno di lavoro peggiore – da qui leggiamo e-mail e messaggi delle chat di colleghi che mandano collegamenti inopportuni e/o di dubbia provenienza e siamo spesso tentati a cliccare su pop-up di siti che promettono prodotti miracolosi.

Pensiamo all’ufficio. Alla scrivania spesso sono lasciate pile e pile di documenti contenenti informazioni riservate che potrebbero essere consultate da tutti. Inoltre, siamo soliti usare la stessa password per i nostri account e, ancor peggio, ci capita di scriverla sul post-it attaccato al monitor o su una pagina del block notes.

A questi e altri scenari quotidiani vengono associati tanti possibili attacchi, sfruttando la nostra pigrizia nell’applicazione delle misure di sicurezza che tutti i giorni dobbiamo ripetere religiosamente senza averne a pieno compreso il motivo.

Le categorie del Social Engineering

La principale suddivisione che possiamo definire, nell’infinità di metodi per ottenere informazioni e/o punti d’accesso nella realtà aziendale, è per area di operatività ed esistono:

• i metodi fisici, ovvero eseguiti senza che la tecnologia sia il principale veicolo;
• i metodi elettronici, dove si sfrutta come mezzo la tecnologia a cui siamo soliti affidarci.

Di queste due categorie la prima è senz’alcun dubbio la più familiare. Truffe famose hanno sfruttato i metodi fisici e dato vita a veri e propri schemi criminali che portano nomi noti anche al grande pubblico. Tra queste tecniche troviamo l’impersonificazione, l’origliare, il rovistare nella pattumiera, l’adescamento e la corruzione.

Nell’altro fronte troviamo invece il gruppo formato dalle nuove forme di comunicazione, dunque e-mail di spam più o meno verosimili, che oltre al tentativo di vendita cercano di trarci in inganno sfruttando link e download delle immagini, proseguendo poi agli allegati o ai pop-up su cui tutte, anche le persone più esperte e attente, potrebbero cliccare.

Impatto nella vita reale dell’azienda

La situazione iniziale che scatena una pratica malevola di Social Engineering può sembrare banale e quotidiana.

Per esempio, una telefonata di un tecnico infuriato che sostiene di dover sistemare il vostro pc potrebbe generare in noi una fiducia dovuta a una nostra situazione di difetto (il pc da sistemare probabilmente per colpa nostra) che ci indurrebbe a consegnare le nostre credenziali senza troppe remore.

In questo caso, lo stato d’animo e la poca professionalità possono essere una minaccia e trasformare la vostra esperienza in una vera criticità anche per la realtà più solida.

Da una semplice svista – un’e-mail cliccata o un accesso alla struttura consentito a chi non avrebbe dovuto entrare – si possono generare scenari tragici, come ad esempio il blocco dell’intera azienda causato da un Ransomware che porta a considerare se pagare o meno il riscatto, pena la rivelazione di dati riservati.

Arrivati qui, dobbiamo dunque chiederci: quale azienda riuscirebbe ad affrontare un fermo operativo di qualche giorno senza perdere sensibili somme di denaro? Quale azienda non avrebbe ripercussioni sulla propria immagine?

In concreto, quale azienda non ne risentirebbe?

È essenziale comprendere adesso come prevenire questi scenari.

Soluzioni

In ambito informatico, purtroppo “sicurezza” e “comodità” non vanno di pari passo.
Come possiamo aumentare la robustezza aziendale senza dover creare un clima di terrore e rendere un inferno la vita dei dipendenti?

I fattori imprescindibili sono due:

• avere un sistema sicuro;
• avere dipendenti formati e, dunque, consapevoli.

Il sistema sicuro si ottiene con la pianificazione, il continuo aggiornamento, le verifiche da parte di team esperti e di partner qualificati, mentre per i dipendenti è necessario erogare corsi di formazione adeguati. Consapevolezza e aggiornamento continuo dei dipendenti sono la difesa fondamentale: abilitano il personale a riconoscere situazioni pericolose e suggeriscono i comportamenti corretti.

Avere solamente uno di questi fattori, o nel caso peggiore nessuno dei due, fa sì che il sistema sia comunque esposto al pericolo, tanto da vanificare completamente gli sforzi fatti per ottenere l’altro.

In Betrusted aiutiamo i responsabili aziendali a trovare il giusto equilibrio tra formazione, produttività e sicurezza attraverso i nostri interventi di Security Awareness.

Conclusione

Il nostro invito è quello di porsi le domande giuste e valutare la propria situazione cercando di non creare climi di trasferimenti di responsabilità o di posticipazione continua delle decisioni.

Nel lungo periodo i nodi vengono al pettine.