Per quanto possa essere progettata per essere inattaccabile dal punto di vista della sicurezza, gli esseri umani possono rappresentare l’anello debole di un’
azienda, perché possono agire in maniera imprevedibile, mossi dall’ingenuità, dall’inesperienza, dall’avidità, dalla curiosità, dalla vanità, e da altri meccanismi psicologici che possono mettere a repentaglio l’
integrità dell’azienda per la quale lavorano o con la quale collaborano.
Il
social engineering fa leva proprio su questo, agendo sulle persone in modo da ottenere da loro
informazioni sensibili.
Abbiamo visto in un recente articolo, consultabile
cliccando qui, quali sono le truffe più diffuse sul web, ma il
social engineering è qualcosa di estremamente subdolo, perché non si tratta solo di malware da eliminare da un pc, ma di vere e proprie
manipolazioni psicologiche, portando le vittime ad eseguire delle azioni dannose per se stesse e per l’azienda.
Si approfitta quindi della disponibilità delle persone, della loro voglia di rendersi utili, o – spesso - della loro volontà di arrecare danno.
Vediamo quali sono le
tecniche più diffuse di
manipolazione nel
social engineering:
•
Scareware: portare l’utente a credere che il suo computer sia infetto quando non lo è, offrendo una soluzione che invece porterò il computer ad infettarsi realmente;
•
Pretexting: impersonare qualcuno per ottenere dati privilegiati;
•
Tailgating: seguire rapidamente una persona autorizzata in un luogo sicuro ed inaccessibile ad altri;
•
Something for Something (Quid pro quo): l'autore degli attacchi chiede dei dati all’utente offrendogli in cambio di qualcosa, ad esempio un regalo.
Questo tipo di strategie può essere messo in atto dagli stessi
dipendenti verso altri dipendenti, nei casi ad esempio di
concorrenza sleale e
furto dati, quindi la minaccia non è da considerarsi solo esterna all’azienda, ma anche
interna.
Per questa ragione molto spesso viene richiesto alle
agenzie investigative, in grado di identificare gli atti di social engineering, di intervenire su
due fronti:
- verificare e produrre le prove di attacchi ricevuti dall’
esterno, ai danni dell’azienda e dei dipendenti, utilizzati come tramite per ottenere dati privati e informazioni riservate, attraverso strumenti di
digital forensics;
- identificare e produrre le prove di comportamenti illeciti messi in atto dagli stessi dipendenti, e per farlo si ricorre a diverse tipologie di
indagine, come le
assunzioni programmate: l’azienda assume un nostro agente, nel reparto in cui si presume si consumi l’illecito, in modo che possa fornire dei feedback sull’operato di chi lavora a stretto contatto con accessi ed informazioni riservate.
In ogni caso è importante non accettare mai nulla di cui non riteniamo certa la
legittimità, non considerare offerte e richieste da fonti sconosciute o sospette e non fornire
mai in maniera volontaria dati bancari o accessi ad account o documenti privati.