Gli attacchi di social engineering rimangono una delle principali preoccupazioni per le organizzazioni e gli individui di tutto il mondo nel panorama in continua evoluzione delle minacce alla sicurezza informatica. Per i reparti IT è fondamentale essere consapevoli dei diversi tipi di sfide e aiutare i dipendenti a comprendere e prevenire i rischi. Ecco alcuni consigli su come potenziare la vostra infrastruttura di sicurezza digitale.
L'elemento umano
Sebbene la tecnologia svolga un ruolo significativo nella sicurezza digitale, l'elemento umano rimane un fattore critico. Secondo il Verizon 2023 Data Breach Investigations Report, il 74% delle violazioni ha coinvolto l'elemento umano, che comprende attacchi di social engineering, errori e usi impropri. Questa statistica sottolinea l'importanza di educare i dipendenti sui vari tipi di attacco e sui metodi di protezione.
Probabilmente tutti in azienda hanno già sentito parlare di phishing, ma questo non lo rende meno pericoloso. Al contrario, le e-mail di phishing rimangono tra le tecniche di criminalità informatica più prolifiche, in cui gli aggressori tentano di ingannare le persone per indurle a rivelare informazioni sensibili, come password, dati della carta di credito o identificazione personale, spacciandosi per entità affidabili. In genere utilizzano tattiche ingannevoli, come false e-mail con link a siti web che imitano organizzazioni o individui legittimi. Come molti potrebbero pensare, l'e-mail non è l'unico veicolo per realizzare una truffa, e ultimamente non è stato il più efficace. Vediamo alcune altre forme di phishing.
Vishing
Il vishing, abbreviazione di "voice phishing", prevede che i truffatori utilizzino telefonate o messaggi vocali per ingannare le persone e indurle a divulgare informazioni sensibili o a effettuare pagamenti fraudolenti. Il livello di sofisticazione di questi attacchi varia da imitatori umani a chiamate automatiche. Alcuni truffatori ricorrono anche allo spoofing delle chiamate, utilizzando numeri di telefono legittimi per migliorare l'inganno. L'ultima versione del vishing include le chiamate deepfake, che possono simulare la voce di una persona specifica utilizzando strumenti di intelligenza artificiale, per renderle ancora più convincenti.
Smishing
Smishing, o "SMS phishing", significa inviare messaggi fraudolenti tramite SMS o app di messaggistica per manipolare le vittime affinché compiano azioni specifiche. I messaggi contengono in genere link che indirizzano i destinatari a siti web, pagine di login o app dannose. Una volta acceduti, questi canali possono estrarre informazioni personali, compresi i dati delle carte di pagamento, o infettare il dispositivo della vittima con malware.
Per combattere efficacemente l'ingegneria sociale, tenete a mente le truffe più comuni e i loro obiettivi:
Tech support: Scammers pose as IT support and ask users to provide their access login credentials, claiming they need to fix or update something on their computers remotely. This allows scammers to gain access to personal data and sensitive information. It is important to remember that IT or HR departments usually don´t ask employees to share private information over the phone, or through email.
Order/shipping confirmation: Victims receive fake links to track nonexistent packages or confirm orders, leading to the extraction of login credentials or malware installation. This can later be used to infiltrate other websites with the same logins. It is essential not to click suspicious links, and to check any incoming emails for the telling signs of a scam.
Program enrollment: Scammers pretend to be government program representatives, offering assistance with enrollment while collecting personal and financial data. This can include fake emails with invitations to webinars and other events, where users create accounts with a password. This is a problem primarily if the person uses the same password for different accounts because it gives the scammer a free pass to hijack them.
Account verification: Scammers impersonate, among other financial institutions, entertainment platforms such as Netflix, or digital stores, where users have personal profiles. They claim unusual activity on the account, lead users to fake websites, and request login information for verification purposes.
Winning a prize: Scammers inform individuals of a contest victory, and then request personal information or access to their bank accounts. Personal data can then be extracted from the accounts, potentially causing significant financial damage. It is essential to verify any contest victories through the official organizer.
Demands for payment: Scammers pose, for example, as government agency representatives, threatening with fines or arrests if payment is not made. Other examples include the attacker posing as the company's CEO, asking for quick payment from one of the employees, or suppliers contacting employees, demanding compensation for packages and goods.
Regole di base per i dipendenti
Esistono diverse buone pratiche che i dipendenti possono adottare per proteggersi da vari tipi di social engineering:
- Fermarsi, pensare e agire: I truffatori fanno leva sull'urgenza per manipolare le vittime. Prendete tempo per valutare le richieste ed evitate azioni affrettate. Evitate di cliccare sui link contenuti nei messaggi di testo e visitate il sito web ufficiale dell'organizzazione per verificare la legittimità della comunicazione.
- Diffidate dei numeri sconosciuti: Verificate le chiamate o i messaggi di testo provenienti da numeri sconosciuti o sospetti. Evitate di rivelare informazioni personali o di cliccare su link sconosciuti all'interno dei messaggi. In questo modo è possibile ridurre al minimo le possibilità di cadere vittima di queste truffe.
- Mantenere la riservatezza delle informazioni personali: Non rivelate mai informazioni sensibili come numeri di conto, numeri di previdenza sociale, password o codici di autenticazione a più fattori (MFA) a persone sconosciute al telefono o in un messaggio. Le organizzazioni legittime non richiederebbero tali dati attraverso chiamate o messaggi non richiesti.
- Verificare l'identità: Se ricevete un messaggio da qualcuno che dichiara di rappresentare un'azienda o un ente governativo, evitate di interagire direttamente. Verificate invece autonomamente la loro autenticità contattando l'organizzazione tramite le informazioni di contatto ufficiali disponibili sul suo sito web.
- Attivare forti misure di sicurezza: Utilizzate password forti e uniche per proteggere i vostri account. Considerate l'utilizzo di generatori e gestori di password per creare password o frasi di accesso lunghe e complesse e conservatele in modo sicuro. Utilizzate l'autenticazione a più fattori (MFA), se disponibile, per aggiungere un ulteriore livello di protezione.
La formazione sulla sicurezza digitale è fondamentale per proteggersi dalle minacce informatiche. Scaricate il manuale gratuito sul phishing per i dipendenti e condividetelo con il vostro team.
