Nell’era digitale, la sicurezza delle informazioni sensibili è una sfida sempre più ardua. Le aziende, che dipendono da sistemi interconnessi e da comunicazioni online, devono affrontare una nuova forma di raggiro: il social engineering.
Si tratta di un tipo di attacco informatico che non si appoggia su algoritmi complessi o codici impenetrabili, ma che sfrutta invece tattiche psicologiche e la fiducia delle persone.
Il Data Breach Investigations Report 2023 di Verizon ha rivelato che il 74% delle violazioni avvenute nel 2022 ha coinvolto l’elemento umano, un dato che dimostra quanto sia importante prevenire questo tipo di crimine.
Le 7 tecniche di social engineering più diffuse tra i cybercriminali
Cominciamo col capire di cosa stiamo parlando. Il social engineering consiste nell’indurre le persone a rivelare informazioni riservate o a compiere azioni che possono compromettere la sicurezza. Si basa su tattiche che fanno leva su emozioni di paura o urgenza. Gli attacchi possono avere diverse modalità e la minaccia digitale è particolarmente pericolosa perché può raggiungere un gran numero di persone in una sola volta.
Vediamo le 7 tecniche più utilizzate
- Phishing: una tecnica subdola che consiste nell’inviare e-mail che sembrano legittime alle vittime selezionate, ingannandole in modo che rivelino informazioni personali, clicchino su link dannosi o scarichino allegati infetti. Un hacker potrebbe, ad esempio, spacciarsi per un dipendente di una banca famosa per spingere i destinatari a aggiornare le informazioni relative al proprio account, facendo clic su un link che li porta a un sito falso.
- Vishing: questo termine deriva dall’unione di “voice phishing”, perché il metodo utilizza il contatto telefonico per carpire dati sensibili. Fingendosi un’autorità affidabile, ad esempio un istituto bancario o un ente della pubblica amministrazione, i truffatori convincono le vittime a fornire codici fiscali o informazioni finanziarie.
- Smishing: simile al vishing, questo approccio inganna i destinatari con i messaggi di testo. I truffatori inviano messaggi SMS che contengono link dannosi o inducono le vittime a chiamare un numero falso, nel tentativo di ottenere informazioni finanziarie, dati bancari o altre informazioni personali, oppure di installare malware con lo stesso scopo.
- Whaling: la posta in gioco di questi attacchi è in genere molto alta. Il whaling (caccia al pesce grosso) mira infatti a dirigenti o decisori di alto livello all’interno delle organizzazioni. Queste personalità hanno privilegi, autorità e credenziali di sistema superiori; se l’inganno va a buon fine, permette di estorcere informazioni aziendali o finanziarie strategiche.
- Pretexting: una tecnica nella quale i criminali inventano pretesti, cioè storie o narrazioni elaborate, per guadagnare la fiducia delle vittime e portarle a rivelare informazioni riservate. Uno degli esempi più diffusi è il truffatore che si finge tecnico informatico e chiede le credenziali di accesso, con il pretesto di effettuare semplici operazioni di manutenzione o di verifica.
- Compromissione delle e-mail aziendali: spesso rivolto ai reparti commerciali delle aziende, questo tipo di attacco vede i criminali firmare messaggi e-mail fingendosi dirigenti di alto livello, richiedendo trasferimenti urgenti di denaro o informazioni finanziarie riservate, sfruttando il rispetto percepito dal destinatario verso l’autorità del mittente.
- Piggybacking: una forma fisica di social engineering in cui un hacker accede insieme alle persone autorizzate ad aree con accesso limitato. Sfruttando la fiducia della persona, il criminale riesce a entrare senza autorizzazioni in spazi altrimenti vietati. Molto vulnerabili a questo tipo di attacco sono i call center e le stanze dei server.
Come proteggersi?
Per ridurre le possibilità di successo degli attacchi di social engineering è necessario un approccio articolato che combini tecnologia e consapevolezza. È importante organizzare sessioni di formazione a cadenza regolare. Inoltre è di vitale importanza implementare filtri e-mail e software anti-phishing. Questi rilevano e prevengono gli attacchi e possono aiutare a identificare i contenuti dannosi prima che arrivino alle caselle di posta dei clienti.
Un’altra strategia lungimirante è la comunicazione tempestiva, che nella pratica prevede la diffusione continua di aggiornamenti sulle novità nel panorama delle minacce di social engineering. Questo approccio ha due vantaggi. Da una parte aiuta i clienti a rimanere informati e preparati, dall’altra rafforza la fiducia nelle capacità degli MSP di proteggere i loro interessi.
In quest’ottica, Acronis si impegna a fornire soluzioni di sicurezza per la protezione come Cyber Protect Cloud. Questa offre agli MSP una sola piattaforma integrata e di facile utilizzo con cui erogare servizi di backup, disaster recovery e sicurezza. Cyber Protect Cloud integra oltre 150 soluzioni pronte all’uso, tra le più utilizzate e diffuse.
- Progettato per muoversi con te - Con uno schermo HD da 10,1" che si muove automaticamente, avrai sempre sott'occhio videochiamate, ricette e contenuti. Gli altoparlanti ti offrono un audio direzionale di alta qualità.
- Sempre al centro dell'attenzione - Videochiama amici e famiglia o scatta una foto con la telecamera da 13 MP che, grazie al movimento e alla tecnologia di inquadratura automatica, ti mantiene sempre al centro dell'immagine.
- Dare vita alla tua Casa Intelligente è semplice - Configura i dispositivi ZigBee compatibili senza bisogno di un hub separato e chiedi ad Alexa di mostrarti le immagini delle telecamere di sicurezza, controllare una luce o regolare un termostato.
- Dai un'occhiata alla stanza mentre non ci sei - Accedi alla telecamera integrata da remoto in maniera sicura per tenere sotto controllo casa tua in qualsiasi momento dall'App Alexa o da altri Echo Show.
- Tutto l'intrattenimento che vuoi - Chiedi ad Alexa di riprodurre i tuoi programmi preferiti, musica e podcast da Prime Video, Netflix, Amazon Music, Apple Music, Spotify e altri servizi.