Scopri il Customer Program Archimedia
Scoprilo qui
Qual è la strategia migliore per te?
Chiedi una call

Come il Social Engineering può indurci a sbagliare (... e provocare un Data Breach)

12 nov , 2024 | 2 minuti

Gli attacchi di Social Engineering sono progettati per sfruttare le debolezze psicologiche e comportamentali delle persone, in modo da ottenere accesso a informazioni riservate. Non importa quanto avanzata sia l'infrastruttura tecnologica di un’azienda: se i dipendenti non sono consapevoli dei rischi e non adottano comportamenti sicuri, l’errore umano può aprire le porte a un data breach devastante.

Cos'è il Social Engineering?

Il social engineering è una tecnica utilizzata dagli hacker per manipolare le persone, inducendole a rivelare (ad esempio attraverso compilazione di form) informazioni sensibili, a compiere azioni non sicure o a fornire accesso a sistemi protetti. A differenza degli attacchi informatici "tradizionali", che sfruttano le vulnerabilità tecniche dei Firewall, il social engineering si basa sulla manipolazione psicologica, sfruttando le emozioni, la fiducia e la fretta delle vittime per raggiungere l'obiettivo. In altre parole, si tratta di un’ingegneria della mente umana più che della tecnologia.

Gli attacchi di social engineering possono assumere diverse forme. Ecco come si presentano nei casi più comuni.

Phishing

Un attacco basato su email o messaggi fraudolenti che imitano comunicazioni legittime per spingere le vittime a fornire informazioni sensibili, come credenziali di accesso o numeri di carte di credito. Qui un approfondimento sul Phishing.

Vishing e Smishing

Tecniche simili al phishing, ma condotte tramite telefonate (vishing) o messaggi di testo (smishing), dove gli aggressori fingono di essere rappresentanti di organizzazioni legittime.

Baiting

L'uso di supporti fisici infetti, come chiavette USB, lasciate volutamente in luoghi pubblici per invogliare le persone a collegarli ai propri computer.

Pretexting

Una tecnica in cui l'attaccante finge di essere una figura autorevole (ad esempio un collega o un funzionario di banca, un esponente delle forze dell'ordine, un professionista stimato) per ottenere informazioni personali o accesso a dati aziendali.

 

L'errore umano: il punto debole della sicurezza informatica

Salta subito all'attenzione che, agendo su un piano completamente diverso e psicologico, questo genere di attacco va affrontato con una strategia difensiva diversa e non (solo) tecnologica. Per quanto un’azienda possa investire in tecnologie di sicurezza avanzate come firewall, antivirus, crittografia e autenticazione a più fattori, l’elemento umano resta un punto estremamente vulnerabile. Gli hacker lo sanno bene, ed è per questo che attacchi come il phishing e il social engineering sono in costante aumento. Il motivo è semplice: mentre i sistemi informatici possono essere protetti con misure preventive, gli esseri umani sono soggetti a emozioni, distrazioni e comportamenti imprevedibili.

Perché il Social Engineering funziona?

Fa leva su meccanismi psicologici come questi: 

  • Senso di urgenza
    Molti attacchi di social engineering includono un elemento di fretta o pressione. Gli hacker creano scenari in cui la vittima sente di dover agire rapidamente, ad esempio fornendo immediatamente informazioni sensibili per evitare conseguenze negative. Questo abbassa le difese critiche delle persone e le spinge a prendere decisioni affrettate.
  • Autorità percepita
    In attacchi come il pretexting, gli hacker fingono di essere figure autorevoli o colleghi di alto livello. Questa tattica sfrutta il rispetto naturale per l'autorità e induce la vittima a conformarsi alla richiesta, ad esempio autorizzando un pagamento per una fattura che in realtà non esiste.
  • Empatia e fiducia
    Gli attacchi di social engineering spesso sfruttano la tendenza umana a voler aiutare gli altri. I truffatori possono presentarsi come colleghi in difficoltà o come membri di un team tecnico che richiedono assistenza urgente, spingendo la vittima a fornire informazioni o accesso.
  • Familiarità e abitudini
    Le vittime possono essere manipolate attraverso l'imitazione di comunicazioni quotidiane o frequenti procedure aziendali. Un attacco di phishing può avere l'aspetto di un normale aggiornamento del sistema aziendale o una richiesta di verifica delle credenziali.

Gli attacchi di Social Engineering possono avere conseguenze devastanti

Quando un attacco di social engineering ha successo, le conseguenze possono essere veramente gravi. Un singolo errore umano può portare a un data breach, che non solo compromette informazioni sensibili, ma può anche avere impatti finanziari, legali e reputazionali significativi.

Inoltre, a seconda della natura del dato violato, i danni possono variare dal furto di identità degli utenti alla perdita di proprietà intellettuale, passando per multe salate e costose azioni legali da parte dell'Autorità.

Se l'errore umano è il punto debole della sicurezza informatica, la soluzione per mitigare questo rischio è investire nella formazione e nella consapevolezza dei dipendenti. Ogni collaboratore, indipendentemente dal ruolo, deve essere formato per riconoscere le minacce e sapere come agire in modo sicuro.

Cristiano Pastorello

DPO & Amazon Web Service Specialist
Scroll