Social engineering attacks: 5 best practice per difendersi
Social engineering attacks: 5 best practice per difendersi

Social engineering attacks: 5 best practice per difendersi

Autore: Impresoft 4ward

I social engineering attacks rappresentano una delle minacce più subdole fra quelle che affliggono il mondo della sicurezza dell'informazione. Il comportamento dell'aggressore rasenta quello dei comuni truffatori ed è diretto a ingannare la vittima inducendola a rivelare informazioni sensibili o a tenere determinati comportamenti, come l'installazione di malware e backdoors, che consentano violazioni e accessi non autorizzati. 

 social engineering attacks

 

Cosa contraddistingue i social engineering attacks 

Particolarità dei social engineering attacks è che la vulnerabilità sfruttata non riguarda gli strumenti ma l'utente, cui l'aggressore prospetterà una realtà artefatta in modo da fargli credere di essere tenuto ad adempiere a quanto richiesto. 

Gli aggressori dal conto loro non devono necessariamente avere particolari conoscenze tecniche, ma essere in grado di far leva sulle emozioni proprie dell'animo umano, quali timore, compassione, noia ecc., oltreché aver raccolto quel minimo di informazioni di contesto per rendere credibile quanto messo in atto. 

Nel condurre i loro attacchi, non hanno altro limite che la loro fantasia, la cui efficacia è in genere incrementata dalla combinazione di più tecniche. Possono infatti sfruttare qualsiasi canale di comunicazione possibile, dalle telefonate, che rappresentano lo strumento di social engineering per eccellenza, alle e-mail ma anche sms, messaggistica istantanea, il trasferimento di memorie fisiche e addirittura la posta tradizionale. 

 

L’importanza dell’awareness e delle prassi organizzative 

Le difese devono essere quindi incentrate sulla mitigazione del rischio dovuto al fattore umano, attraverso un aumento della consapevolezza degli impiegati e la formalizzazione di prassi organizzative, che tengano conto delle diverse tecniche di social engineering che potrebbero essere usate. 

 

Come mitigare il rischio e difendersi dai social engineering attacks 

Ecco alcuni elementi utili ad abbassare il livello di rischio e a contenere l'efficacia di eventuali attacchi: 

 

  1. Ogni richiesta dall'esterno è potenzialmente un'aggressione 
    Senza mezzi termini, il primo ammonimento è semplicemente quello di diffidare da qualunque persona esterna che richieda dati e informazioni sensibili o di compiere determinate azioni (come cliccare su dei link, comunicare informazioni sensibili o addirittura compiere dei trasferimenti di denaro). I destinatari devono quindi cercare in tutti i modi di appurare la veridicità della richiesta, tenendo conto che gli aggressori tenderanno a sofisticare anche elementi di contorno. 
     
  2. Istituire un punto di contatto 
    I collaboratori non devono essere mai lasciati soli nell'affrontare particolari richieste: è importante che possano contare su un supporto tempestivo da parte delle funzioni aziendali dedicate e preindividuate, come ad esempio l’area IT ma non solo, in modo che possano confrontarsi con persone in grado di riconoscere i social engineering attacks. 
  3. Canali di comunicazione sicuri e a prova di spoofing 
    Le organizzazioni devono prevedere particolari forme e canali di comunicazione protetti da mezzi tecnici affidabili (VPN con protocolli cifrati, connessioni sicure anche in mobilità…). Non può bastare l’accettazione di comunicazioni solo da mittenti noti, ciò perché, tramite spoofing, è possibile fare apparire messaggi e telefonate come provenienti da numeri diversi rispetto a quelli effettivi. 
     
  4. Flussi di informazione e prassi di trasferimento note e predeterminate 
    Per ridurre l’esposizione al rischio, le organizzazioni devono individuare a priori quali soggetti devono avere contezza di determinate informazioni e stabilire prassi specifiche per il loro trasferimento. Queste procedure devono tenere conto anche di esigenze particolari, quali situazioni di emergenza od operazioni di manutenzione. 
    Chiaramente, queste regole devono essere portate a conoscenza di tutti gli impiegati, in modo che possano essere in grado di comprendere e gestire correttamente eventuali anomalie. 
  5. Comunicare e registrare gli attacchi 
    I tentativi di attacco devono essere comunicati all'organizzazione in modo che potrà aver visibilità di tutte le minacce, indagare sulle fonti in modo da innalzare l'attenzione sugli obiettivi che si sono dimostrati appetibili, indagarvi e lanciare un allarme a tutti i soggetti potenzialmente aggredibili. 

 

In conclusione, la difesa dai Social Engineering Attacks dimostra come le soluzioni di irrobustimento tecnico e quelle organizzative devono procedere di pari passo: investimenti sbilanciati a favore di una sola delle due voci sono destinati a rivelare tutta la loro inefficacia nel raggiungere gli obiettivi di sicurezza e la loro inefficienza in termini economici. 

Impresoft 4ward