Contro questi attacchi il firewall e l’antivirus non possono fare nulla. Stiamo parlando dell’ingegneria sociale. Il trucco risale alla notte dei tempi, ma funziona sempre benissimo.
I dipendenti scaricano file dannosi, cliccano sui link di phishing, scrivono agli hacker e rivelano i recapiti dei colleghi. L’ingegneria sociale è un classico intramontabile e uno degli strumenti più potenti in mano ai pirati informatici. Questa tecnica è utilizzata da ben prima dell’avvento di Internet, probabilmente addirittura dagli albori della comunicazione. Perché si basa sulla conquista della fiducia dell’interlocutore per indurlo a compiere azioni che in realtà non dovrebbe compiere. Come per esempio rivelare una password, il numero di previdenza sociale, i dettagli finanziari o altre informazioni segrete.
Attacco alle emozioni
Come è possibile? Gli psicologi hanno scoperto che le persone tendono a ignorare la logica o la realtà dei fatti quando prendono decisioni dettate dalle emozioni. È proprio in questo che si sono specializzati i truffatori: suscitare emozioni e sfruttarle. Invece di cercare, per esempio, un problema di sicurezza in un programma, è molto più semplice telefonare a un dipendente, spacciarsi per un tecnico dell’assistenza IT e cercare di carpire la sua password. Nessuno rivelerebbe così facilmente a un perfetto sconosciuto le credenziali di accesso al proprio profilo Facebook. Ma quando si riceve un’email di phishing ben fatta, che racconta in modo abbastanza convincente la storia di un account violato e di una verifica dell’account, in molti utenti il buon senso viene meno. Questi metodi, del resto, funzionano perfettamente anche al di fuori del mondo digitale. Quanti si sono già trovati alla porta di casa finti poliziotti o artigiani?
Spear phishing: attacchi mirati a singole persone
Generalmente i pirati informatici scelgono le proprie vittime in modo mirato. Diversamente da quanto accade per altri tipi di attacchi, a volte il criminale che utilizza il metodo chiamato “spear phishing” entra direttamente in contatto con la vittima. Questo per esempio con un’email nella quale si presenta come amministratore di sistema o con l’ausilio di un profilo Facebook fasullo dove si spaccia per un collega. A volte i truffatori azzardano addirittura una telefonata diretta. L’ottima riuscita generale degli attacchi di ingegneria sociale è dimostrata da uno studio attuale di Positive Technologies nell’ambito del quale sono state inviate 3.300 email a dipendenti di diverse aziende. Ecco i risultati più importanti conseguiti dai ricercatori di sicurezza:
- Il 17% degli attacchi di ingegneria sociale ha avuto esito positivo mettendo in pericolo la postazione di lavoro del dipendente e l’intera rete aziendale.
- Il 27% dei dipendenti ha cliccato su un link di phishing inviato via email, il che conferma questi attacchi come veri e propri attacchi di ingegneria sociale. Evidentemente molti utenti non sono in grado di riconoscere le pagine Internet false.
Secondo lo studio, in alcuni casi gli utenti hanno cercato di inserire la propria password in un sito web falso anche 40 volte. E quelli che non riuscivano ad aprire immediatamente un file allegato, spesso lo inoltravano al reparto IT. In questo modo il rischio aumentava ulteriormente, perché i dipendenti del reparto IT, che presumibilmente si fidavano dei propri colleghi, avrebbero eseguito il file “corrotto” senza controllarlo, spiega il rapporto.
Come contrastare l’ingegneria sociale
Diversamente da quanto accade con i virus e gli altri attacchi tipici, i software di sicurezza come Avira Internet Security Suite non sono sempre di aiuto. Se è vero che nella maggior parte dei casi questi programmi riconoscono gli allegati infetti e spesso anche le pagine Internet false, è anche vero che la strategia migliore contro l’ingegneria sociale consiste nel chiedere chiarimenti in modo mirato, nel diffidare e nel tenere a freno la curiosità. Se questi consigli fossero stati seguiti anche dai dipendenti delle aziende che seguono, gli scandali di ingegneria sociale menzionati di seguito non si sarebbero mai verificati.
I tre attacchi di ingegneria sociale più devastanti
Ubiquiti Networks
A Ubiquiti, un produttore statunitense specializzato in hardware e software Wi-Fi, la truffa ai danni del reparto finanziario è costata cara. A seguito di email con richieste di pagamento provenienti presumibilmente dalla società controllata di Hong Kong, il reparto finanziario ha versato le somme di denaro richieste direttamente sui conti degli hacker senza eseguire alcun controllo. I danni ammontano alla bellezza di 47 milioni di dollari.
Sony Pictures
Questo attacco ha causato tensioni tra due potenze nucleari. Mediante un attacco di phishing ben riuscito ai danni di Sony Pictures, gli hacker nordcoreani sono riusciti a paralizzare per una giornata intera i suoi server. A fare da sfondo alla vicenda la pellicola “The interview”, nella quale due giornalisti statunitensi, interpretati da Seth Rogen e James Franco, vengono incaricati di uccidere il leader nordcoreano Kim Jong Un durante un’intervista.
Yahoo
Uno dei maggiori scandali sui dati di tutti i tempi: un tecnico di Yahoo ha commesso l’errore di cadere nel tranello di un cosiddetto messaggio di spear phishing arrivato nella sua casella della posta in arrivo. Tale raggiro ha fruttato ai criminali l’accesso a ogni singolo account cliente dell’azienda statunitense, con oltre 3 miliardi di utenti coinvolti. I loro dati sono finiti nella Darknet e sono stati utilizzati per sferrare ulteriori attacchi ad altri obiettivi.
