Il social engineering è la capacità di indurre le vittime a rivelare informazioni riservate o compiere azioni rischiose per la sicurezza aziendale.
In pratica, è un tipo di attacco informatico che prende di mira l’individuo con tattiche che fanno leva su emozioni di paura o urgenza.

Gli attacchi assumono varie forme, e la minaccia digitale è particolarmente insidiosa perché capace di colpire contemporaneamente un gran numero di individui.
Secondo il Data Breach Investigations Report 2023 di Verizon, il 74% delle violazioni avvenute nel 2022 ha coinvolto l’elemento umano.
Insomma, l’arte del raggiro informatico oggi assume una nuova forma, il social engineering. Una minaccia che non si basa su algoritmi complessi o codici impenetrabili, ma sfrutta la fiducia delle persone.

Minacce via mail, telefonate o SMS 

Denis Cassinerio, senior director e general manager di Acronis, elenca i sette stratagemmi più comuni di social engineering utilizzati dai cybercriminali per manomettere dati e sistemi.
Il phishing (1) prevede l’invio di e-mail apparentemente legittime alle vittime, ingannandole in modo che rivelino informazioni personali, attivino link dannosi o scarichino allegati infetti.
Il vishing (2) utilizza il contatto telefonico per carpire dati sensibili. Spacciandosi per un’autorità in cui si ripone fiducia, i truffatori convincono le vittime a rivelare codici fiscali o informazioni finanziarie.

Lo smishing (3) inganna i destinatari con SMS che contengono link dannosi, o li convince a chiamare un numero falso nel tentativo di indurre a condividere ad esempio informazioni finanziarie, personali, dati bancari, o installare malware con la stessa finalità.

Dal whaling al piggybanking

Il whaling (4) punta in particolare a dirigenti o decisori di spicco all’interno delle organizzazioni. Se l’inganno riesce, consente di estorcere informazioni aziendali o finanziarie strategiche.
Il pretexting (5) è una tecnica nella quale i criminali elaborano pretesti, cioè narrazioni o storie complesse, per conquistare la fiducia delle vittime e portarle a rivelare informazioni riservate.

Con la compromissione delle e-mail aziendali (6), attacco spesso sferrato verso i reparti commerciali delle aziende, i criminali firmano e-mail fingendosi dirigenti di alto livello per chiedere trasferimenti urgenti di denaro o informazioni finanziarie riservate.
Con il piggybacking (7) un hacker accede insieme alle persone autorizzate ad aree con accesso limitato. Molto vulnerabili a questo tipo di attacco sono i call center e le stanze dei server.

Come proteggersi? Con informazione e consapevolezza  

Per contenere le possibilità di riuscita degli attacchi di social engineering serve un approccio articolato che coniughi tecnologia e consapevolezza.
Istruire i clienti sui vari tipi di attacchi è il metodo giusto per fornire strumenti di riconoscimento e capacità di risposta efficaci.

L’aggiornamento continuo sulle tattiche in continua evoluzione, riferisce Askanews, consente poi di fornire agli utenti finali informazioni e linee guida preziose.
Un’altra misura proattiva è l’obbligo alla sensibilizzazione alla cybersecurity, con iniziative che contribuiscono alla crescita di una cultura attenta alla sicurezza, nonché la diffusione continua e tempestiva di aggiornamenti sulle novità nel panorama delle minacce.