Come evitare le truffe di social engineering

I criminali informatici hanno molti assi nella manica quando si tratta di compromettere i dati sensibili. Non sempre si basano su vulnerabilità del sistema e hack sofisticati; è altrettanto probabile che si rivolgano ai dipendenti di un'organizzazione.

I metodi di attacco che usano per farlo sono noti come social engineering.

In questo blog, spieghiamo come funziona il social engineering, esaminiamo tecniche comuni e vi mostriamo come evitare le truffe di social engineering.

Cos'è il social engineering?

Il social engineering è un termine collettivo per indicare i modi in cui i truffatori manipolano le persone affinché eseguano determinate azioni.

Viene generalmente utilizzato in un contesto di sicurezza delle informazioni per fare riferimento alle tattiche utilizzate dai criminali per indurre le persone a consegnare informazioni sensibili o esporre i propri dispositivi a malware.

Questo spesso si presenta sotto forma di truffe di phishing: messaggi che arrivano da un mittente presumibilmente legittimo, con la richiesta al destinatario di scaricare un allegato o di seguire un collegamento che lo indirizza a un sito Web fasullo.

Il social engineering non è semplicemente un problema IT. È una vulnerabilità nel modo in cui prendiamo decisioni e percepiamo gli altri.

Perché il social engineering funziona

Pensa al cervello umano come a una rete di sicurezza e alla sua suscettibilità di essere ingannato come una vulnerabilità del sistema. Ciò rende il social engineering l'exploit che i truffatori usano per trarre vantaggio da quella vulnerabilità.

Ma invece dell'iniezione di malware o del credential stuffing, i criminali usano dispositivi retorici, modi di parlare che ci convincono a seguire la loro direzione.

Per un'idea di come lo fanno, diamo uno sguardo ai sei principi di persuasione di Robert Cialdini

1. Reciprocità

Questa è l'idea che, quando fai qualcosa per qualcuno, si sente obbligato a ricambiare il favore.

Cialdini usa l'esempio di un cameriere o cameriera in un ristorante che ti fa un piccolo regalo con il conto, come una menta o un biscotto della fortuna.

È stato dimostrato che questo gesto aumenta la mancia utilizzata dai clienti fino al 14% e quando si presume che l'oggetto sia una ricompensa speciale ("Per voi brave persone, ecco una caramella di menta in più"), la mancia aumenta del 23%.

La reciprocità può essere particolarmente pericolosa dal punto di vista della sicurezza informatica perché mostra quanto raramente pensiamo ai motivi che stanno dietro ad atti apparentemente generosi o, se ne siamo consapevoli, come ci atteniamo comunque ai nostri obblighi sociali.

Ad esempio, supponi che un collega sul posto di lavoro si offra di sbrigare un compito per te.

Quando ricevi un'e-mail da loro pochi giorni dopo che ti chiedono qualcosa in cambio - l'accesso a un file che non dovrebbero avere - potresti sentirti tentato di conformarti anche se sai che è contro la politica aziendale.

Questo può essere ancora più insidioso se, a causa della tua gratitudine per il loro aiuto iniziale, non ti viene mai in mente che non dovrebbero accedere a queste informazioni.

È impossibile allontanare le potenziali vittime da tali azioni, perché non si rendono mai consapevoli che questa non è una richiesta legittima.

2. Scarsità

Questo principio afferma che è probabile che le persone desiderino qualcosa se sanno che c'è un'offerta limitata.

Funziona particolarmente bene quando la persona o l'organizzazione che fornisce il servizio annuncia una riduzione, sottolineando quanto sia scarso il servizio.

Ad esempio, quando British Airways ha annunciato che avrebbe ridotto il suo servizio Concorde Londra-New York a causa della mancanza di clienti, le vendite dei biglietti sono aumentate.

Nulla del servizio era cambiato, né il prezzo era diminuito. British Airways non aveva rafforzato i vantaggi del volo con il Concorde né aveva annunciato che avrebbe interrotto del tutto il servizio.

Ma ciò che ha fatto è stato implicare che il servizio potrebbe non essere disponibile in futuro.

Questa tecnica può essere vista anche quando le organizzazioni commercializzano il loro prodotto come "fino ad esaurimento scorte". L'obiettivo è creare un senso di urgenza, costringendo le persone ad agire subito per paura di perderlo.

Lo vedrai anche nelle truffe che offrono ottimi affari allo stesso modo. Le vittime si affrettano a fare il loro acquisto supponendo che l'accordo non ci sarà se aspettano troppo a lungo.

3. Autorità

Questo è il concetto per cui le persone si fidano degli esperti nei loro campi, in particolare quando possono supportare le loro conoscenze con prove.

Cialdini osserva, ad esempio, che siamo più propensi a seguire il consiglio di un medico se siamo a conoscenza delle loro credenziali.

Mettendo in risalto la loro esperienza, sia che si tratti di mostrare le loro qualifiche, riferendosi a se stessi come "Dottori" o elencando la loro esperienza professionale, assicurano al paziente che sono affidabili.

Questa tecnica viene utilizzata in quasi tutte le campagne di phishing di successo, con i truffatori che affermano di essere una figura affidabile, che si tratti, ad esempio, del governo o di un popolare servizio online come Netflix o PayPal.

4. Coerenza

Questo principio sfrutta la riluttanza delle persone a essere ipocrite. L'ingegnere sociale spinge la vittima verso un'opinione o un'azione apparentemente innocua, quindi usa quella logica per costringerla a una posizione più ampia e più consequenziale.

Cialdini cita l'esempio di proprietari di case che avevano accettato di mettere una piccola cartolina nelle finestre anteriori delle loro case che sostenevano una campagna Drive Safely.

Poche settimane dopo, quelle persone erano molto più propense ad accettare di erigere un grande e sgradevole cartellone pubblicitario nei loro giardini che mostrava lo stesso messaggio rispetto a un quartiere a cui non era stato chiesto di esporre cartoline.

5. Mi piace

Il quinto principio - che le persone sono più propense ad accettare qualcosa quando viene chiesto da qualcuno a loro gradito - si verifica accidentalmente come accade deliberatamente.

Dopotutto, alcune persone sono semplicemente simpatiche e, senza alcuno sforzo cosciente da parte loro, scoprono che gli altri sono più disposti a fare loro favori.

Ma cosa rende simpatica una persona? Cialdini dice che ci sono tre fattori importanti: ci piacciono le persone simili a noi, che ci fanno i complimenti e che collaborano per obiettivi comuni.

Cialdini fa riferimento a uno studio in cui un gruppo di studenti di economia ha avuto quasi il doppio del successo in una trattativa di vendita quando ha condiviso alcune informazioni personali con il potenziale investitore e ha trovato qualcosa in comune tra le due parti prima di mettersi al lavoro.

Tuttavia, c'è un altro fattore in gioco in questo esempio. Non è solo che gli studenti hanno posto le domande giuste; è il modo in cui sono state poste quelle domande.

Forse la cosa più importante che rende simpatico qualcuno è che appaia autentico. Le persone sono generalmente brave a individuare quando qualcuno è falso, quindi può essere molto difficile influenzare la simpatia nella corrispondenza faccia a faccia.

Ma via e-mail, abbiamo il tempo di curare ciò che diciamo, qualcosa che è particolarmente vero per i truffatori, che spesso trascorrono molto tempo a creare modelli per le loro e-mail.

6. Consenso

Il principio finale è il consenso, che afferma che quando le persone non sono sicure di cosa fare, seguono le azioni e i comportamenti degli altri.

Cialdini utilizza l'esempio di uno studio in cui gli hotel hanno cercato di convincere gli ospiti a riutilizzare asciugamani e lenzuola.

Ha scoperto che il modo più efficace per farlo non era quello di evidenziare i vantaggi del riutilizzo degli asciugamani (come il fatto di essere ecologici), ma semplicemente affermare che la maggior parte degli ospiti lo fa già.

All'inizio, sembra incomprensibile che siamo più efficacemente persuasi da un argomento che essenzialmente "tutti gli altri lo fanno" piuttosto che essere presentato con prove, ma si allinea con molte delle nostre altre azioni.

Considera l'ultima volta che sei stato in un ambiente sconosciuto; non hai guardato come si comportavano gli altri e non hai seguito il loro esempio?

Il principio del consenso dimostra che non è necessario fornire alle persone un motivo per soddisfare una richiesta; piuttosto, possono essere influenzati indicando le azioni di coloro che li circondano.

Tecniche di attacco di social engineering comuni

  • Pretesto

Questo si riferisce alla creazione di un falso scenario - o pretesto - per contattare le vittime.

In una tipica truffa di social engineering, il pretesto potrebbe essere che c'è stata un'attività sospetta sul tuo conto bancario o che devi confermare i dettagli della tua carta di pagamento per un ordine Amazon.

  • Baiting

Questo è un tipo specifico di truffa di phishing in cui i truffatori affermano di avere qualcosa di vantaggioso per le vittime se seguono le loro istruzioni.

Mentre gli esempi che abbiamo elencato sopra usano la paura come motivazione - "qualcuno sta cercando di entrare nel tuo account", "il tuo pacco non arriverà" - l'esca si basa sulla curiosità e sul desiderio.

Ad esempio, una truffa potrebbe indirizzare la vittima verso un sito Web dove presumibilmente può scaricare musica, serie TV o film. Tuttavia, quel sito Web è progettato per acquisire informazioni personali o indurre le persone a scaricare file infetti.

Il baiting è stato utilizzato anche negli attacchi fisici, con i truffatori che lasciano unità USB infette in giro in modo evidente, in attesa che qualcuno le raccolga pensando che potrebbe esserci qualcosa di interessante su di loro.

  • Quid pro quo

Simile all'esca, gli attacchi quid pro quo pretendono di aiutare la vittima, di solito offrendo un servizio, in cambio di informazioni. La differenza è che questi tipi di attacchi sono presumibilmente reciprocamente vantaggiosi.

Il prototipo dell'attacco quid pro quo è stata la truffa del principe nigeriano: l'attaccante ha enormi somme di denaro che hanno bisogno di aiuto per trasferire, e se gli dai i soldi per farlo, sarai ricompensato.

Da allora gli attacchi sono diventati più credibili. Ad esempio, un utente malintenzionato potrebbe telefonare ai dipendenti che affermano di provenire dal supporto tecnico.

Alla fine, troveranno qualcuno che stava davvero aspettando assistenza e consentirà al truffatore di fare tutto ciò che vogliono sul loro computer presumendo che sia un collega che sta risolvendo il problema.

  • Scareware

Questo attacco è progettato per indurre le persone ad acquistare software non necessario. Inizia con un annuncio pop-up, che generalmente imita un messaggio di errore di Windows o un programma antivirus, che afferma che il computer della vittima è stato infettato da malware.

Accanto al messaggio, l'annuncio affermerà che è necessario acquistare o aggiornare il software per risolvere il problema.

  • Pesca

Questo è un tipo specifico di phishing in cui i truffatori si atteggiano a rappresentanti dei clienti sui social media.

Creano account che imitano un marchio ufficiale e aspettano che qualcuno pubblichi un reclamo su quell'organizzazione su Facebook o Twitter.

Il truffatore risponderà in uno dei due modi. Potrebbero collegarsi a quello che sembra essere un canale di reclamo ufficiale o offrire alla vittima qualcosa come scuse, come uno sconto sul loro prossimo acquisto.

Entrambi questi approcci sono progettati per indirizzare la vittima a un sito o a un indirizzo e-mail controllato dall'aggressore, dove tenteranno di rubare le informazioni personali della vittima.

Come proteggersi dal social engineering

Esistono molti modi per proteggersi dagli attacchi di social engineering. Ad esempio, dovresti:

  • Imparare le tecniche più comuni utilizzate dai criminali negli attacchi di phishing ;

  • Implementare l'autenticazione a due fattori per proteggere i tuoi account;

  • Assicurarti che il tuo software antivirus sia aggiornato regolarmente.

Le organizzazioni che vogliono affrontare la minaccia del social engineering dovrebbero testare la suscettibilità dei dipendenti con un penetration test di social engineering .

Cadono subito nella trappola? Riconoscono che si tratta di una truffa e la ignorano? Contattano un collega anziano per avvertirli? Con queste informazioni, puoi individuare le tue debolezze di sicurezza e risolverle prima di essere preso di mira per davvero.

Immagine di Automobile Italia licenza: CC-2.0

Metti al sicuro la tua azienda

Scopri i nostri dispositivi configurati in base alle esigenze specifiche e monitorati costantemente da tecnici esperti.

Scopri i dettagli