La protezione delle informazioni sensibili è sempre più difficile. Poiché le aziende si affidano a sistemi interconnessi e alla comunicazione online, l'arte del raggiro ha assunto oggi una nuova forma, il social engineering. Questo tipo di attacco informatico non si basa su algoritmi complessi o codici impenetrabili, ma sfrutta invece tattiche psicologiche e la fiducia delle persone. Secondo il Data Breach Investigations Report 2023 di Verizon, il 74% delle violazioni avvenute nel 2022 ha coinvolto l'elemento umano, un dato che conferma quanto sia necessario prendere sul serio questo tipo di crimine.
Il social engineering è la capacità di indurre le persone a rivelare informazioni riservate o a compiere azioni che possono mettere a rischio la sicurezza. Prende di mira l'individuo con tattiche che fanno leva su emozioni di paura o urgenza. Gli attacchi assumono varie forme e la minaccia digitale è particolarmente insidiosa perché capace di colpire contemporaneamente un gran numero di persone.
Denis Cassinerio, Senior Director e General Manager di Acronis, leader globale della Cyber Protection, esamina qui sette degli stratagemmi più comuni utilizzati dai cybercriminali per manomettere dati e sistemi.
1. Phishing: una tecnica subdola che prevede l'invio di e-mail apparentemente legittime alle vittime scelte, ingannandole in modo che rivelino informazioni personali, attivino link dannosi o scarichino allegati infetti. Un hacker potrebbe, ad esempio, fingersi l'impiegato di una banca rinomata per spingere i destinatari ad aggiornare le informazioni relative al proprio account, facendo clic su un link che li reindirizza a un sito fasullo.
2. Vishing: questo nome deriva dalla contrazione di "voice phishing", perché il metodo utilizza il contatto telefonico per carpire dati sensibili. Spacciandosi per un'autorità in cui si ripone fiducia, ad esempio un istituto bancario o un ente della pubblica amministrazione, i truffatori convincono le vittime a rivelare codici fiscali o informazioni finanziarie.
3. Smishing: simile al vishing, questo approccio inganna i destinatari con i messaggi di testo. I truffatori inviano messaggi SMS che contengono link dannosi o convincono le vittime a chiamare un numero falso, nel tentativo di indurle a condividere informazioni finanziarie, dati bancari o altre informazioni personali, oppure a installare malware che hanno la stessa finalità.
4. Whaling: la posta in gioco di questi attacchi è in genere molto alta: il whaling (caccia al pesce grosso) punta infatti a dirigenti o decisori di spicco all'interno delle organizzazioni. Queste personalità hanno condizioni, autorevolezza e credenziali di sistema più elevate; se l'inganno riesce, consente di estorcere informazioni aziendali o finanziarie strategiche.
5. Pretexting: una tecnica nella quale i criminali elaborano pretesti, cioè narrazioni o storie complesse, per conquistare la fiducia delle vittime e portarle a rivelare informazioni riservate. Uno degli esempi più diffusi è il truffatore che si finge tecnico informatico e chiede le credenziali di accesso, con il pretesto di eseguire semplici attività di manutenzione o di collaudo.
6. Compromissione delle e-mail aziendali: spesso sferrato verso i reparti commerciali delle aziende, questo tipo di attacco vede i criminali firmare messaggi e-mail fingendosi dirigenti di alto livello, chiedendo trasferimenti urgenti di denaro o informazioni finanziarie riservate, approfittando del rispetto percepito dal destinatario verso l'autorità del mittente.
7. Piggybacking: una forma fisica di social engineering in cui un hacker accede insieme alle persone autorizzate ad aree con accesso limitato. Approfittando della fiducia della persona, il criminale riesce a entrare senza autorizzazioni in spazi altrimenti interdetti. Molto vulnerabili a questo tipo di attacco sono i call center e le stanze dei server.
Mitigare le minacce
Per contenere le possibilità di riuscita degli attacchi di social engineering serve un approccio articolato che coniughi tecnologia e consapevolezza. Istruire i clienti sui vari tipi di attacchi di social engineering e fornire esempi tratti da situazioni reali è il metodo giusto per fornire strumenti di riconoscimento e capacità di risposta efficaci. L'offerta di sessioni di formazione con scadenze regolari permette di rafforzare il valore dello scetticismo e della cautela da adottare nelle comunicazioni digitali. Fornire filtri e-mail e software anti-phishing che individuano e prevengono gli attacchi di social engineering può aiutare a identificare i contenuti dannosi e le potenziali minacce prima che raggiungano le caselle di posta dei clienti.
Favorire un atteggiamento proattivo
Il partner tecnologico di fiducia ha il ruolo essenziale di mettere in guardia e proteggere i clienti da ogni tipo di attacco informatico. L'aggiornamento continuo sulle tattiche in continua evoluzione di cui si avvalgono i criminali consente di fornire agli utenti finali informazioni e linee guida preziose. Se il personale e i dirigenti sono costantemente informati sulle truffe e i raggiri più recenti, i clienti riescono a riconoscere e a reagire meglio ai potenziali pericoli.
Un'altra misura proattiva è l'obbligo alla sensibilizzazione alla Cyber Security, con iniziative che contribuiscono alla crescita di un cultura attenta alla sicurezza. La formazione continua è il metodo più efficace per mantenere vigili e pronti gli utenti, perché offre loro le conoscenze e le competenze necessarie per identificare e contrastare rapidamente i tentativi di social engineering.
Un'altra strategia lungimirante è la comunicazione tempestiva, che nella pratica prevede la diffusione continua di aggiornamenti sulle novità nel panorama delle minacce di social engineering. Questo approccio è bivalente: da una parte aiuta i clienti a rimanere informati e preparati, dall'altra rafforza la fiducia nelle capacità degli MSP di proteggere i loro interessi. Mantenendo sempre aperto il canale di comunicazione e condividendo attivamente le nuove informazioni, si creano relazioni solide con i clienti, migliorando inoltre il loro profilo complessivo di sicurezza informativa.
In quest’ottica, Acronis si impegna a fornire soluzioni di sicurezza per la protezione come Cyber Protect Cloud che offre agli MSP un'unica piattaforma integrata e di facile utilizzo con cui erogare servizi di backup, disaster recovery, sicurezza, automazione e gestione ai clienti. La soluzione integra oltre 150 soluzioni pronte all'uso, tra le più utilizzate e diffuse.