Stando a un rapporto della FBI, i danni che derivano da un attacco di social engineering hanno un costo medio di 130.000 dollari. A seconda dei casi, tuttavia, possono salire fino a qualche milione. Si tratta, comunque, dei costi diretti, cioè quelli attribuibili all’attacco in sé, ma che non tengono conto di eventuali conseguenze come i danni d’immagine e reputazione per dati e informazioni sensibili rese pubbliche oppure le spese necessarie per il completo ripristino dei sistemi.
Costi indotti dal social engineering
Anche la GDPR, il regolamento dell’Unione Europea che norma il trattamento dei dati personali, pende come una spada di Damocle su quelle aziende che subiscono un’esfiltrazione dei dati a causa di una protezione inadeguata. E l’ammenda, nel caso, può arrivare fino a 10 milioni di euro o pari al 2% del fatturato mondiale. Le cifre in gioco sono enormi e le conseguenze possono decidere il futuro dell’impresa. Considerando che i ransomware di nuova generazione prevedono, oltre alla crittografia dei dati, anche la minaccia di diffondere dati trafugati, e che il 66% dei malware viene installato grazie ad azioni come l’apertura di allegati malevoli, è chiaro che la prima forma di difesa va rivolta al social engineering.
L’e-mail come vettore primario
Prima di capire come difendere l’azienda dagli attacchi di social engineering, occorre comprendere, dal punto di vista pratico, come si sviluppano questi attacchi. Quali, cioè, sono le tecniche e le varianti con cui il criminale informatico cerca di penetrare o sabotare i sistemi. Il primo elemento, quasi sempre presente, è la ricerca di informazioni sull’obiettivo da attaccare. Alcuni attacchi di social engineering si basano sull’invio massivo di e-mail e contenuti, ma la tendenza è di veicolare minacce con trappole designate ad hoc sulla vittima, quindi dopo averla studiata attraverso la sua presenza online. A questo punto, il vettore per elezione è l’e-mail, che può contenere un allegato nocivo o un link a pagine web che integrano codice malevolo.
Il problema del phishing
Anche il phishing, cioè indurre la vittima a consultare un sito o servizio del tutto simile a uno autorevole, è una trappola molto utilizzata nel social engineering. I dati, infatti, dicono che il 32% dei data breach e il 65% degli attacchi passano per l’utilizzo di questa tecnica (https://www.phishingbox.com/resources/phishing-facts). Ci sono poi altre tecniche più specifiche, e meno diffuse, utilizzate in combinazione o come vettore primario di attacchi. Il vishing, per esempio, che sottrae informazioni al telefono, o lo smishing, che si basa invece sui classici messaggi SMS. Qualsiasi sia la tecnica utilizzata, da parte dell’attaccante c’è sempre e comunque la necessità di coinvolgere la vittima in modo attivo. Ed è quindi sulla vittima, vale a dire dipendente o collaboratore di un’azienda, che si deve andare a lavorare per scongiurare gli attacchi basati su social engineering.
Un dipendente su tre è poco attento
Considerando che il 40% degli allegati malevoli di e-mail sono documenti Office e che il 64% delle aziende è stata colpita dal phishing, è chiaro come sia alta la probabilità che un dipendente cada vittima di trappole di questo tipo. Anche perché, e ce lo dicono sempre i dati, il 34% delle aziende considera inadeguata l’attenzione dei propri collaboratori su questo tema. Ed è proprio l’attenzione il primo parametro su cui costruire una buona strategia difensiva, intensa come capacità di accorgersi di piccole variazioni in contenuti su cui si lavora ogni giorno. Un indirizzo e-mail insolito, un testo sgrammaticato o con piccoli ma frequenti errori, allegati che mai ci si aspetterebbe di ricevere da determinati mittenti. Sono piccoli segnali di un tentativo di attacco, che mirano soprattutto alla psicologia di chi li riceve.
Una difesa sociale
Come difendersi in modo sistematico da attacchi che mirano, dunque, agli aspetti psicologici e sociali di un’azienda? Con una formazione adeguata, vista come il miglior deterrente per attacchi di social engineering. Se l’attacco prevede di far cascare un soggetto in una trappola, occorre istruire il soggetto a riconoscere quella trappola ed evitarla. La formazione, tuttavia, deve essere metodica e scrupolosa, secondo un programma ben definito e con personale specializzato proprio nell’awareness dei dipendenti. Non si tratta “solo” di veicolare nozioni e messaggi, ma di mostrare la tipologia e genesi di attacchi di social engineering, prevedendo dimostrazioni pratiche ed esercitazioni. A questa strategia, va da sé, si affianca quella più tecnologica. Sistemi anti-spam, filtri, policy e tecnologie di autenticazione sono il supporto ideale in questa lotta. Dove, tuttavia, è la mente a offrire la difesa migliore.
