Key4biz

Perché i Criminal hacker amano il Social engineering?

Il 2019 ha confermato il trend di crescita delle Cyber minacce su tutti i fronti, con un aumento significativo sia nella frequenza degli attacchi sia nella loro magnitudine.

Un anno che ha visto casi di punta come Capital One o Maersk e – spesso – a margine di questi eventi di alto profilo molti hanno puntato il dito contro la scarsa resilienza nei confronti degli attacchi dei Criminal Hacker, soprattutto da parte del “comune lavoratore”.

Ma siamo così sicuri che sia veramente questo l’anello debole della catena che potenzialmente potrebbe trasformare la nostra società nella prossima Equifax?

Non è neppure detto che anche quando l’end user si affida alle policy e alle procedure prefissate, seguendole alla lettera, riesca ad uscire indenne da una ben orchestrata campagna di phishing.

Il caso più lampante – per farci un’idea – è stato quello del’ex Capo di gabinetto della Casa Bianca, nonché campaign manager di Hilary Clinton, John Podesta.

Nel suo caso Podesta ha pensato che l’e-mail di reset della password di Google che aveva ricevuto avesse un aspetto ben più che sospetto, ma il responsabile IT della campagna o dando il suo lasciapassare o scrivendo male la sua risposta ha indotto il sig. Podesta a fornire le sue credenziali ai Criminal hacker.

Si tratta di un caso esemplare – e probabilmente non unico – di qualcuno che agisce in buona fede, compiendo le azioni prescritte dagli esperti e diventando comunque una vittima.

Perché i Criminal hacker amano il Social engineering

Non è difficile capire come i Criminal hacker siano sempre molto affezionati alle tecniche di Social Engineering:

Come rimediare?

Ovviamente dinnanzi alle minacce poste dalle campagne di Social Engineering il rimedio più comunemente proposto e più efficace è una maggiore sensibilizzazione degli utenti finali. Ma se l’Awerness è sicuramente parte della soluzione, è solo uno dei diversi elementi di una difesa efficace.

Per esempio:

Implementazione di un’autenticazione (più)forte: sottrarre le credenziali è un obiettivo frequente del Social engineering e il furto di credenziali ha un ruolo di primo piano in molte violazioni di maggiore spicco negli ultimi anni. Un’autenticazione più forte – che si tratti di crittografia, autenticazione multifattoriale (MFA) o di una combinazione dei due – significa che un attacco riuscito non produrrà necessariamente nulla di utile. Vale anche la pena sottolineare che, mentre in tempi di PSD2 non è più ufficialmente raccomandabile l’SMS come secondo fattore di autenticazione, anche misure deboli di 2FA (2 factor authentication) sono meglio di 0.

White-listing delle applicazioni a rischio: l’installazione o l’esecuzione di malware è un altro obiettivo comune degli attacchi di social-engineering. Anche se la lista dei software in White listing può essere lunga e difficile da compilare, la maggior parte delle organizzazioni dovrebbe sapere quale software stanno effettivamente eseguendo sui loro sistemi. L’applicazione di successo di tale protocollo non è mai facile, ma rende molto più difficile l’esecuzione di software dannoso e permette agli esperti di Cyber Security e ad altri membri dei team di sicurezza di concentrare i loro sforzi su una superficie di attacco molto più piccola.

Segmentare la rete aziendale: L’essere umano è fallibile e di conseguenza in una certa percentuale lo saranno anche le difese che progetta. Un certo numero di attacchi di alto profilo nel corso degli ultimi anni è stato caratterizzato da malware in grado di muoversi lateralmente attraverso le reti, aumentando significativamente sia il danno complessivo che il tempo necessario per il Data Recovery. La segmentazione di rete, come la white-list delle applicazioni, è un esercizio non banale per la maggior parte delle organizzazioni, ma è facilmente una delle migliori “polizze assicurative” per quei momenti in cui un attacco ha successo.

In un certo senso, la difesa contro gli attacchi di Social engineering deve assumere gli stessi caratteri di quella adottata tempo fa per la sicurezza sulle strade. In primo luogo devono essere formati gli utenti in modo da renderli competenti, ma al contempo dobbiamo renderci conto che gli errori saranno sempre parte del nostro essere umani e per questo si migliorano le infrastrutture e gli strumenti.

Integrare la formazione per migliorare l’Awerness con le capacità degli esperti di Cyber Security rendono più facile fare la cosa giusta e più difficile fare la cosa sbagliata; il tutto unito ad un Cyber Security Framework resiliente per eliminare o ridurre i danni durante un evento catastrofico.

Exit mobile version