Cyber-security: 7 stratagemmi di social engineering che mettono a rischio la sicurezza
Proteggere i propri dati online potrebbe essere sempre più difficile
La cyber-security è un tema sempre più attuale. Infatti proteggere i propri dati sensibili potrebbe diventare sempre più difficile. Soprattutto, se si pensa che le aziende si affidano sempre di più a sistemi interconnessi e e comunicazione online.
Raggirare e superare i confini nel mondo online sembra essere sempre più facile per gli hacker e le truffe telematiche. Questo a fronte del fatto che la cyber-security potrebbe trovarsi sempre più compromessa a causa del flusso di dati sensibili che circolano online. Oggi, inoltre, l’arte del raggiro sembra aver assunto una nuova forma con il social engineering. Se vogliamo, si può definire molto più insidioso, perché non si basa su algoritmi complessi o codici impenetrabili, ma sfrutta invece tattiche psicologiche e la fiducia delle persone. Secondo il Data Breach Investigations Report 2023 di Verizon, il 74% delle violazioni avvenute nel 2022 ha coinvolto l’elemento umano, un dato che conferma quanto sia necessario prendere sul serio questo tipo di crimine.
Come riporta una nota stampa diffusa, il social engineering è la capacità di indurre le persone a rivelare informazioni riservate o a compiere azioni che possono mettere a rischio la sicurezza. Si avvale di tecniche che prendono di mira emozioni quali la paura o l’urgenza. Questi attacchi possono assumere varie forme e sono capaci di colpire più persone contemporaneamente. Denis Cassinerio, Senior Director e General Manager di Acronis, leader globale della Cyber Protection, esamina sette degli stratagemmi più comuni utilizzati dai cybercriminali per manomettere dati e sistemi.
Stratagemmi che minano alla cyber-security
Al primo posto c’è il phishing: una tecnica subdola che prevede l’invio di e-mail apparentemente legittime alle vittime scelte, ingannandole in modo che rivelino informazioni personali, attivino link dannosi o scarichino allegati infetti. Un hacker potrebbe, ad esempio, fingersi l’impiegato di una banca rinomata per spingere i destinatari ad aggiornare le informazioni relative al proprio account, facendo clic su un link che li reindirizza a un sito fasullo. Si trova poi il vishing: detto anche ‘voice phishing‘ poiché si avvale del contatto telefonico per carpire dati sensibili. Spacciandosi per un’autorità in cui si ripone fiducia, ad esempio un istituto bancario o un ente della pubblica amministrazione, i truffatori convincono le vittime a rivelare codici fiscali o informazioni finanziarie.
Simile al vishing c’è lo smishing: un approccio che inganna i destinatari con i messaggi di testo. I truffatori inviano messaggi SMS che contengono link dannosi o convincono le vittime a chiamare un numero falso. Il whaling è considerata una ‘caccia al pesce grosso‘ poiché mira a dirigenti o decisori di spicco all’interno delle organizzazioni. Se l’inganno riesce, consente di estorcere informazioni aziendali o finanziarie strategiche. Altro stratagemma che mira alla cyber-security è il pretexting: una tecnica nella quale i criminali elaborano pretesti, cioè narrazioni o storie complesse, per conquistare la fiducia delle vittime e portarle a rivelare informazioni riservate. Uno degli esempi più diffusi è il truffatore che si finge tecnico informatico e chiede le credenziali di accesso per eseguire magari un collaudo.
Altro stratagemma è la compromissione delle e-mail aziendali: spesso sferrato verso i reparti commerciali delle aziende. Questo tipo di attacco vede i criminali firmare messaggi e-mail fingendosi dirigenti di alto livello, chiedendo trasferimenti urgenti di denaro o informazioni finanziarie riservate, approfittando del rispetto percepito dal destinatario verso l’autorità del mittente. E ultimo stratagemma è il piggybacking: una forma fisica di social engineering in cui un hacker accede insieme alle persone autorizzate ad aree con accesso limitato. Molto vulnerabili a questo tipo di attacco sono i call center e le stanze dei server.
Come contenere le minacce
Per contenere queste minacce occorre un approccio articolato che coniughi tecnologia e consapevolezza. Istruire i clienti sui vari tipi di attacchi di social engineering e fornire esempi tratti da situazioni reali è il metodo giusto per fornire strumenti di riconoscimento e capacità di risposta efficaci. L’offerta di sessioni di formazione e fornire filtri e-mail e software anti-phishing sono altrettanti metodi efficaci in grado di prevenire gli attacchi di social engineering. Come suggeriscono da Acronis è importante stabilire un rapporto di fiducia con il partner tecnologico. L’aggiornamento continuo sulle tattiche in continua evoluzione di cui si avvalgono i criminali consente di fornire agli utenti finali informazioni e linee guida preziose.
Altra misura proattiva è poi sicuramente la sensibilizzazione verso la cyber-security. Attività possibile anche attraverso iniziative che contribuiscono alla crescita di un cultura attenta alla sicurezza. Strategia lungimirante è anche la comunicazione tempestiva, che nella pratica prevede la diffusione continua di aggiornamenti sulle novità nel panorama delle minacce di social engineering. Questo approccio è bivalente. Da una parte aiuta i clienti a rimanere informati e preparati, dall’altra rafforza la fiducia nelle capacità degli MSP di proteggere i loro interessi.
Come conclude la nota diffusa, a tal proposito: “Acronis si impegna a fornire soluzioni di sicurezza per la protezione come Cyber Protect Cloud che offre agli MSP un’unica piattaforma integrata e di facile utilizzo con cui erogare servizi di backup, disaster recovery, sicurezza, automazione e gestione ai clienti. La soluzione integra oltre 150 soluzioni pronte all’uso, tra le più utilizzate e diffuse“.