Quando si pensa alla sicurezza informatica, il primo pensiero corre subito agli attacchi malware capaci di mettere in ginocchio il mondo intero (vedi WannaCry). Ma quello che forse sfugge ancora a molti di voi è che una delle tecniche più utilizzate per carpire dati sensibili e informazioni personali a scopo fraudolento è la social engineering.
A metà tra psicologia e ingegneria, l’ingegneria sociale è considerata un’astuta manipolazione della tendenza umana di fidarsi e di rilasciare informazioni senza che l’utente se ne renda conto. E’ con ogni probabilità la più grande minaccia alla sicurezza dei giorni nostri.
Nessun antivirus, nessun firewall potrà mai difenderci da questa subdola minaccia informatica. Il motivo? L’essere umano. Siamo noi l’anello debole in questa catena ed è la nostra mancata consapevolezza a far sì che attacchi del genere crescano sempre di più . E non bastano i migliori prodotti e servizi per una protezione informatica, bisogna partire da un’educazione attenta.
C’è una carenza di competenze e preparazione all’interno delle aziende e delle istituzioni in fatto di cyber security, un fenomeno lampante che prende il nome di skill shortage , dove è evidente la necessità di trasformare questa mancanza in uno strumento di difesa, rafforzando le soft skills e le competenze, attraverso formazione mirata e attività di sensibilizzazione.
La più redditizia ed efficace tecnica usata nel social engineering ? Sicuramente l’avete già sentita nominare tante volte senza farci caso: il PHISHING, dalla parola inglese “fishing” ovvero pescare, poiché proprio come dei abili pescatori, i cyber-criminali inviano email e/o sms abilmente contraffatti agli utenti aspettando che abbocchino all’amo.
Facciamo però un passo indietro e ripercorriamo brevemente le tappe della tattica di social engineering più usata al mondo. Il primo attacco della storia risale al 1995, ai danni dei clienti AOL, a cui furono sottratti gli account con i dati delle carte di credito. Il primo attacco verso una banca è avvenuto invece nel 2003, e già dal 2004 il phishing è stato riconosciuto come una minaccia informatica per l’economia globale.
Basti pensare che nel 2016 i siti di phishing registrati globalmente sono stati 1.5 milioni, di cui solo nel nostro paese circa 10.000. Al di là del puro dato statistico, il caso italiano ha delle particolarità legate agli obiettivi che i phisher prendono di mira con più frequenza, non stupisce infatti che in testa alla classifica dei siti phishing italiani si trovi Poste Italiane.
La metodologia classica per sferrare un attacco si articola in una prima fase di invio dei messaggi di posta elettronica alle potenziali vittime, contenenti informazioni tali da sembrare il più possibile familiari e allettanti. Il messaggio fraudolento informa l’utente, non chiamandolo mai per nome, della scadenza di una determinata password o del rinnovo di una carta prepagata, quindi simulando delle situazioni che possono in realtà verificarsi per davvero.
La seconda fase inizia una volta catturata l’attenzione dell’ utente, il messaggio fraudolento, contenente un apposito allegato o un semplice collegamento ipertestuale, permetterà di effettuare l’accesso al sito internet in questione. Se a questo punto l’utente “abbocca all’amo”, il phisher potrà disporre come gli pare e gli piace dei dati in suo possesso, con tutte le spiacevoli conseguenze del caso. Come potete immaginare un attacco hacker di questo tipo, può richiedere settimane di programmazione prima di vedere i suoi frutti ma può rivelarsi sicuramente più efficace e fruttuoso di un malware.
Il giro di soldi collegato al phishing è impressionante, ed è anche la prova che c’è ancora molto da fare per arginare questo fenomeno e gli accorgimenti tecnici possono soltanto limitarne la diffusione. L’arma più efficace, lo ripeteremo fino alla sfinimento, è la maggior consapevolezza ed educazione informatica da parte degli utenti che purtroppo dimostrano di essere ancora terribilmente ingenui.
Ricordate: un ente non vi richiederà mai credenziali o informazioni private attraverso una semplice e-mail o un sms; può suonare come una banalità, ma solo lo scorso anno più del 30% di email contenenti siti di phishing sono state aperte dagli utenti e non sorprende che in pochissimo tempo sia diventato il veicolo preferito per sferrare attacchi malware.
Serena Bruno
FONTE
