Social Engineering, di cosa si tratta esattamente?
Il social engineering – l’ingegneria sociale – è l’arte di manipolare persone coinvolte in dinamiche sociali e, dunque, di gruppo. Il suo scopo è quello di carpire informazioni sensibili.
Quest’arte della truffa è sempre più usata con un allarmante tasso di successo per violare sistemi informatici. Tra gli analisti si fa avanti l’idea di affrontare il fenomeno con un approccio che fonda l’aspetto tecnico con quello psicologico/antropologico/umanistico. Il solo approccio tecnico è decisamente insufficiente ad arginare il social engineering.
Efficienza del Social Engineering
L’evoluzione tecnologica ci ha condotto a vivere in un momento storico in cui le interazioni umane quotidiane avvengono oramai in un contesto prevalentemente “non fisico”.
Non più contatti faccia a faccia, ma cloud, big data, social media e mobile. Gli attacchi di Social Engineering risultano pericolosi proprio perché non tecnici. O quantomeno non principalmente tecnici.
Le aziende possono adottare misure di sicurezza fitte, strutturate ed all’avanguardia, ma ovunque sia presente forza lavoro “umana”, sono presenti anomalie costantemente rilevabili. Autostima, fiducia negli altri, sottomissione, calcolo, interesse, dissonanza cognitiva, ignoranza, sono i nuovi piedi di porco (armi?) che rendono di poco conto – a volte inutili – tali misure difensive.
Come combattere il Social Engineering
Il Social Engineering non è altro che la manipolazione umana: sfrutta conoscenze nell’ambito psicologico, sociologico, antropologico, umanistico ed infine informatico. Non esistono quindi misure di sicurezza tecniche costantemente e sicuramente valide, che possano arginarlo.
L’unica risposta plausibile ad esso è il coinvolgimento della forza lavoro tutta. La formazione delle risorse umane è il principale modo di fornire loro gli strumenti per poter riconoscere un eventuale attacco e, conseguentemente, poter rispondere adeguatamente ad esso.
I target più comuni sono i lavoratori che si trovano “ciberneticamente” ai confini dell’azienda: receptionist, help desk, assistenti, clienti e fornitori.
L’attaccante dapprima instaura una certa tipologia di relazione con la vittima (professionale, d’amicizia, empatica e così via). Successivamente, crea appositamente una situazione di grave emergenza e si propone come unico risolutore.
Aperto il varco in e tramite uno dei bersagli sopracitati, per l’attaccante è semplice iniettare una entità tecnologica (backdoor, spyware, malware…) qualsiasi. Questa, a sua volta, può generare impatti fortemente negativi per l’azienda: una “semplice” perdita economica, perdita di business continuity, conseguenti danni reputazionali.
Non è un caso se GDPR e normativa sui dati personali si basino contemporaneamente su tecnica ed umanistica. Queste devono dunque divenire competenze imprescindibili per gli analisti.