L'ingegneria sociale descrive il modo in cui le vittime vengono manipolate per condividere informazioni, scaricare malware e inviare denaro ai criminali. A differenza dei pacchetti software dannosi, il cervello umano non può essere riparato: a livello base, tutti sono ugualmente vulnerabili all’ingegneria sociale. E mentre la percezione pubblica dell’ingegneria sociale non si è sviluppata molto dai tempi della truffa del principe nigeriano, gli aggressori sono stati in grado di trarre vantaggio da livelli altissimi di violazioni dei dati per mettere alla prova alcune delle tecniche più nefaste e manipolative finora.
Come funziona l'ingegneria sociale?
L'ingegneria sociale può assumere diverse forme, a seconda dell'approccio degli aggressori. Per gli attacchi contro le organizzazioni, presentarsi come marchio o partner affidabile è uno dei modi più redditizi. Nel 2019, i criminali informatici hanno utilizzato software basati sull’intelligenza artificiale per impersonare la voce di un amministratore delegato.
L’amministratore delegato di una società energetica con sede nel Regno Unito ha ricevuto una telefonata dal suo capo – o almeno così pensava – che gli chiedeva di trasferire urgentemente una somma di € 220,000 ($ 243,000) ad un fornitore ungherese. Sebbene questo rappresenti un raro caso di aggressori che sfruttano l’intelligenza artificiale, la maggior parte degli ingegneri sociali è ancora consapevole del potere di presentarsi come un’organizzazione affidabile. Sulla stessa linea si collocano gli attacchi che mirano a imitare figure governative e autoritarie. La fiducia concessa alle istituzioni governative rappresenta una fruttuosa opportunità per gli aggressori di abusare: fingere che l’IRS possa anche conferire agli attacchi di ingegneria sociale un vantaggio limitato nel tempo o punitivo, spingendo le vittime ad agire senza la dovuta riflessione.
I metodi di ingegneria sociale si basano in gran parte su due gruppi di emozioni. Il primo comporta paura e urgenza. Decenni di evoluzione hanno visto i criminali informatici affinare finemente le loro tecniche di induzione della paura. Un'e-mail inaspettata che informa che una recente transazione con carta di credito non è stata approvata, ad esempio, sottopone il cervello a un livello di stress maggiore poiché la vittima presume che la sua carta sia stata utilizzata in modo fraudolento. Questo panico li vede fare clic sul collegamento associato, inserire le proprie credenziali nella convincente pagina di accesso della banca, solo per essere reindirizzati a una pagina legittima. Tuttavia, la vittima ha appena consegnato le proprie credenziali bancarie ai truffatori. Sebbene siano redditizi per gli aggressori, le finanze non sono l'unico modo per indurre il panico: piccoli siti web e proprietari di aziende potrebbero ricevere un messaggio in cui si afferma falsamente che un'immagine sul loro sito viola la legge sul copyright, che li vede consegnare informazioni personali - o anche denaro sotto forma di di una multa. Alcuni attacchi basati sull’urgenza sfruttano addirittura la facciata di accordi a tempo limitato, al fine di spingere le vittime a cliccare il prima possibile.
L’altra forma di attacco di ingegneria sociale fa appello all’avidità; l’attacco del Principe nigeriano ne è l’esempio tradizionale. In questo caso, la vittima riceve un'e-mail da una persona che afferma di essere un membro in fuga di una famiglia reale nigeriana. Il mittente ha bisogno del conto bancario di qualcuno per inviare i suoi milioni, ma prima richiede le informazioni bancarie della sua vittima. La vittima, desiderosa di approfittare dei milioni da depositare, può essere convinta a inviare un anticipo relativamente piccolo o i propri dati. Nel settore del crimine informatico, questo attacco è antico, ma nel 2018 guadagnava ancora centinaia di migliaia di dollari.
Tipi di attacchi di ingegneria sociale
L’ingegneria sociale copre un’ampia gamma di modelli di attacco, ognuno dei quali adotta il proprio approccio alla manipolazione delle vittime.
Attacchi di phishing
Il phishing comprende uno dei tipi più noti di attacchi di ingegneria sociale. Questi attacchi vedono una vittima ricevere messaggi che mirano a manipolarla per condividere informazioni sensibili o scaricare file dannosi. I truffatori riconoscono che la casella di posta è l'area più vulnerabile di ogni organizzazione e che i messaggi vengono creati con crescente legittimità, imitando organizzazioni conosciute, amici del destinatario o clienti credibili.
Esistono cinque forme principali di attacco di phishing; la più pericolosa delle quali è la tecnica dello spear phishing. Questa tattica prende di mira un individuo specifico, solitamente uno a cui è concesso un accesso privilegiato a informazioni e reti sensibili. L'aggressore condurrà una lunga indagine sull'individuo preso di mira, spesso utilizzando i social media per tracciarne comportamenti e movimenti. L’obiettivo è creare un messaggio che sia stato inviato in modo credibile da qualcuno che il target conosce e di cui si fida – o che faccia riferimento a situazioni con cui il target ha familiarità. La caccia alle balene si riferisce a questo processo che viene sfruttato contro individui di alto profilo come gli amministratori delegati. Lo spear phishing può essere rafforzato fino a raggiungere un livello quasi infallibile con Business Email Compromise (BEC), che consente l'invio di e-mail dannose dall'account e-mail autentico della figura autoritaria.
I due tipi successivi di phishing si riferiscono al mezzo attraverso il quale la vittima è stata contattata. Mentre il phishing generalmente fa venire in mente le e-mail, gli aggressori sono più che disposti a utilizzare qualsiasi forma di potenziale contatto con le vittime. Ciò può includere il vishing – come il già citato doppiatore vocale del CEO – e l’inclusione di una persona (apparente) all’altro capo della linea può instillare ulteriormente un senso di urgenza nelle vittime.
IBM ha rilasciato i dati che ha dimostrato che l'inclusione di vishing in una campagna aumenta le sue possibilità di successo fino al 300%. Lo smishing, invece, prevede che gli aggressori utilizzino messaggi di testo per raggiungere lo stesso obiettivo. Il modo in cui questi diversi messaggi ed e-mail raggiungono le loro vittime è tanto vario quanto gli aggressori stessi: la forma più elementare è il phishing di massa. E-mail molto simili, solitamente basate su un modello, vengono inviate a milioni di destinatari contemporaneamente. Gli aggressori di massa sanno che il phishing è semplicemente un gioco di numeri: inviali a un numero sufficiente di persone e alla fine qualcuno ne sarà vittima. Queste e-mail sono il più generiche possibile e sembrano provenire da banche globali e grandi società online. Argomenti comuni sono email fasulle per la reimpostazione della password e richieste di aggiornamenti sulla cura del credito. Il phishing dei motori di ricerca, invece, tenta di generare vittime "organiche"; gli aggressori creano siti Web dannosi che poi si posizionano abbastanza in alto nei risultati di ricerca di Google da far presumere alle vittime che siano legittimi. Sulle piattaforme dei social media, i pescatori di phishing prendono di mira le vittime mascherandosi da account ufficiali di aziende fidate. Quando un cliente li contatta, questi account falsi trarranno vantaggio dalle loro domande e preoccupazioni per raccogliere le loro informazioni personali e i dettagli della carta di credito.
Attacchi esca
Mentre il phishing spesso si basa su tattiche di urgenza ad alta pressione, gli attacchi baiting inducono le vittime ad agire contro i loro migliori interessi. Nel 2020, l'FBI emesso un avvertimento alle organizzazioni con sede negli Stati Uniti; è stato scoperto che il famigerato gruppo di criminalità informatica FIN7 utilizzava unità USB dannose per distribuire ransomware a più organizzazioni. Queste USB erano state inviate come pacchetti di avvisi di pubbliche relazioni e di pubblica sicurezza; è stato trovato un pacco sequestrato che imitava il Dipartimento della Salute degli Stati Uniti, facendo riferimento alle linee guida Covid-19, e un altro tentava di imitare un pacchetto regalo di Amazon, pieno di buoni regalo falsi e USB dannosa.
Attacchi di coda
Il tailgating, o piggybacking, nasce da idee sulla sicurezza del perimetro fisico. In questo caso l'aggressore segue da vicino una persona legittima e autorizzata nell'area che contiene beni di valore. Il tailgating digitale è una delle forme più semplici di attacco informatico, che fa molto affidamento sulla disattenzione dei dipendenti. Potrebbe sembrare che un dipendente lasci il proprio dispositivo incustodito mentre va in bagno nella biblioteca locale: questo è legittimamente il modo in cui L'FBI ha arrestato Ross Ulbricht, proprietario del sito web di vendita di droga Silk Road, nel 2013.
Attacchi con pretesto
Gli attacchi con pretesto coinvolgono l'aggressore che crea una situazione credibile ma falsa per la vittima. Una volta accettate la menzogna, le vittime diventano molto più manipolabili. Ad esempio, molti attacchi basati su pretesti si concentrano sul fatto che la vittima viene colpita da una violazione della sicurezza e poi si offre di risolvere il problema, sia tramite il "supporto IT" che assume il controllo remoto del dispositivo della vittima, sia tramite l'acquisizione di informazioni sensibili sull'account. Tecnicamente, quasi ogni tentativo di ingegneria sociale comporterà un certo grado di pretesto, grazie alla sua capacità di rendere la vittima più malleabile.
Attacchi quid pro quo
Gli attacchi quid pro quo utilizzano il metodo dell'adescamento, ovvero far penzolare un bene o un servizio desiderabile davanti al volto della vittima, ma solo se la vittima in cambio fornisce informazioni personali. Che si tratti di vincite false di concorsi o di un quiz "quale principessa Disney sei?", le informazioni fornite da questi attacchi possono contribuire ad attacchi più gravi in futuro.
Attacchi scareware
Lo scareware descrive qualsiasi forma di malware che mira a spaventare le vittime inducendole a condividere informazioni o a scaricare ulteriore malware. Sebbene i falsi messaggi di supporto tecnico siano l’esempio tradizionale, gli attacchi più recenti sfruttano pienamente i sentimenti di paura e vergogna. Recentemente, gli indirizzi e-mail sono stati rubati da un sito di reclutamento e a ciascuno sono state inviate false offerte di lavoro; facendo clic sul documento allegato si avvierebbe il download di un virus Trojan. L’attacco ha preso di mira specificamente gli indirizzi e-mail aziendali, sapendo che i dipendenti vittime avrebbero esitato a dire ai propri datori di lavoro di essere stati infettati mentre cercavano un lavoro alternativo.
Attacchi ai Watering Hole
Infine, gli attacchi Watering Hole vedono gli aggressori prendere di mira pagine web legittime e popolari. Inserendo codice dannoso nei siti comunemente frequentati dagli obiettivi, gli aggressori sono in grado di catturare indirettamente le vittime con download drive-by e furto di credenziali.
Come identificare gli attacchi di ingegneria sociale
Gli attacchi di ingegneria sociale hanno così tanto successo grazie alla loro capacità di passare inosservati come tali. Pertanto, riconoscere un attacco, preferibilmente prima che ti venga intrappolato, è una parte fondamentale della prevenzione degli attacchi. Ecco i 6 principali identificatori di un tentativo di attacco di ingegneria sociale:
Mittente sospetto
Uno dei modi più semplici per impersonare un'azienda legittima è lo spoofing della posta elettronica. In questo caso l'indirizzo dell'aggressore sarà quasi identico a quello dell'organizzazione vera, ma non del tutto. Alcuni caratteri potrebbero essere leggermente modificati o completamente omessi; questo può diventare incredibilmente subdolo, come cambiare una "I" maiuscola in una "l" minuscola.
Saluti e saluti generici
Le e-mail di phishing in blocco utilizzano quasi sempre un saluto generico come signore o signora. Il materiale di marketing autentico, tuttavia, di solito inizia con un nome, poiché le organizzazioni affidabili utilizzano normalmente i dettagli di contatto inclusi nel loro database. Questa forma di contatto da parte di organizzazioni attendibili si estenderà anche alla fine dell'e-mail, poiché la firma del mittente spesso includerà le informazioni di contatto. La combinazione di saluti generici e mancanza di informazioni di contatto è un forte indicatore di phishing.
Collegamenti ipertestuali e siti Web contraffatti
Uno dei modi più semplici per compromettere un dispositivo è tramite un sito Web caricato con codice dannoso. Grazie alla formattazione dei collegamenti ipertestuali dei moderni dispositivi, qualsiasi testo può essere collegato a qualsiasi URL. Sebbene sia possibile verificarlo su un PC passando il mouse sul collegamento e valutandone la validità, gli utenti di dispositivi mobili e tablet sono maggiormente a rischio di fare clic involontariamente. A peggiorare l’ondata di collegamenti ipertestuali contraffatti è la capacità degli aggressori di imitare fedelmente i siti Web legittimi, aggiungendo livelli di credibilità a un attacco. Un URL falsificato seguirà lo stesso schema di un indirizzo email falsificato: una variazione nell'ortografia o nel dominio, come la modifica di .gov in .net, sono alcune delle tecniche di maggior successo.
Destinazioni secondarie
È molto comune che materiale di marketing e altri messaggi includano documenti allegati. Gli aggressori ne approfittano indirizzando la vittima a un documento autentico – o a un sito di hosting – che a sua volta indirizza la vittima a una pagina dannosa. Questa tecnica viene comunemente applicata ai team di dipendenti che collaborano regolarmente al lavoro. Se un documento legittimo include un collegamento a un file dannoso, non solo risulterà più credibile per le sue vittime, ma eluderà anche i meccanismi di sicurezza di base della posta in arrivo.
Ortografia e impaginazione
L'indicazione più evidente di attacchi di phishing: grammatica e ortografia inadeguate. Le organizzazioni rispettabili dedicano quasi sempre del tempo alla verifica e alla correzione di bozze della corrispondenza dei clienti. Allo stesso tempo, la scarsa grammatica associata all’arte dell’ingegneria sociale degli attacchi di hacking umano agisce come un meccanismo di filtraggio intrinseco. Gli aggressori non vogliono perdere tempo a trattare con persone sospette: coloro che si innamorano di errori grammaticali e ortografici sono abbastanza vulnerabili da essere facili prede.
Allegati sospetti
Le e-mail non richieste che richiedono all'utente di scaricare e aprire allegati dovrebbero far suonare un campanello d'allarme. Se combinato con un tono di urgenza, è importante reindirizzare questo panico verso un senso di cautela. Nei casi di compromissione della posta elettronica aziendale, è possibile che anche messaggi incredibilmente brevi scatenino un pandemonio diffuso: ricevere un'e-mail da un dirigente di alto livello che dichiara "Ho bisogno che questo documento venga stampato, sulla mia scrivania tra 10 minuti" potrebbe indurre uno stagista a trascurare il errore grammaticale per paura.
Come prevenire gli attacchi di ingegneria sociale
Sebbene sia comune considerare gli attacchi di phishing come un problema puramente individuale, c'è una crescente richiesta di considerare la prevenzione dell'ingegneria sociale come uno sforzo collettivo. Dopotutto, gli aggressori stanno semplicemente sfruttando come arma le risposte naturali degli utenti alla paura e al panico. La protezione di un'organizzazione e dei suoi utenti si riduce a tre aree chiave.
#1. Formazione sulla sensibilizzazione alla sicurezza
Innanzitutto: dare ai dipendenti gli strumenti per difendersi. La formazione sulla sensibilizzazione alla sicurezza dovrebbe essere rilevante per gli utenti, sottolineando al contempo alcune regole unilaterali. I dipendenti devono capire di non fare clic sui collegamenti contenuti nelle e-mail e nei messaggi. Devono invece abituarsi a cercare semplicemente una versione legittima. Le moderne velocità di Internet rendono questa soluzione semplice.
L'igiene delle password è, a questo punto, un promemoria che ogni dipendente ha sentito mille volte. Date le dozzine di account online che ogni persona possiede oggi, password uniche e complesse sono veramente realizzabili solo tramite l'uso di un gestore di password. Supportare i dipendenti in questo modo può contribuire notevolmente a limitare il raggio d’azione degli attacchi riusciti.
Infine, i dipendenti devono capire che tutti sono vulnerabili. La fuga di informazioni personali attraverso i social media è ciò che guida l’enorme successo del settore del phishing delle balene. Anche se è bene tenere presente che le scuole, gli animali domestici e i luoghi di nascita dovrebbero essere tenuti lontani dagli occhi del pubblico, alcuni dipendenti potrebbero trovare più semplice impostare domande di sicurezza facili da ricordare ma tecnicamente false. Ad esempio, impostando la domanda di sicurezza "dove sei andato a scuola?" con "Hogwarts" potrebbe respingere completamente eventuali aggressori indiscreti.
#2. Politiche di controllo degli accessi
Il controllo dell'accesso a ciascun endpoint è una parte vitale della prevenzione dell'ingegneria sociale. Dall'utente ai processi di autenticazione, è necessario uno stretto controllo su chi accede a cosa. Gli utenti finali devono bloccare computer e dispositivi ogni volta che si allontanano: questo dovrebbe essere rafforzato e automatizzato tramite brevi timer di spegnimento. Quando i dispositivi vengono utilizzati in spazi pubblici, devono essere sempre tenuti in possesso dei dipendenti. Tutta l'autenticazione deve essere rafforzata con l'AMF. Ciò può annullare completamente la minaccia di BEC e il furto delle credenziali di accesso.
In definitiva, la semplice verifica dell'identità con un'impronta digitale o con il telefono può fare la differenza tra un'e-mail contraffatta che viene catturata e un attacco BEC che provoca danni milioni.
#3. Tecnologie di sicurezza
I dipendenti devono essere pienamente supportati con una suite completa di tecnologie di sicurezza. Ad esempio, se il filtro antispam di un programma di posta elettronica consente ancora l'arrivo di e-mail sospette nella casella di posta, i filtri di terze parti possono aiutare a monitorare e prevenire attacchi di ingegneria sociale con un approccio basato sulla lista nera degli URL. Sebbene la prevenzione basata sulla posta in arrivo sia importante, forse lo è ancora di più l'implementazione di sicurezza del browser di alta qualità. Idealmente, ciò combatterà rootkit, trojan e spoofing che rubano credenziali, offrendo una protezione di portata molto più profonda rispetto al riconoscimento parziale degli URL.
La soluzione LayerX
L'estensione del browser user-first di LayerX offre un approccio unico e completo per combattere gli attacchi di ingegneria sociale. Le sessioni del browser vengono monitorate a livello di applicazione, offrendo piena visibilità su tutti gli eventi di navigazione. Ogni pagina Web può andare oltre il processo di "blocco o rifiuto", con un'analisi approfondita che consente la neutralizzazione delle minacce in tempo reale. In questo modo, l’applicazione granulare può impedire che anche gli attacchi BEC altamente avanzati forniscano carichi utili. Anziché fare affidamento su un approccio graduale tramite elenchi di blocchi DNS, l’approccio a prova di futuro di LayerX unisce un’intelligence sulle minacce all’avanguardia con un’applicazione approfondita su ogni endpoint.