il social engineering ha lo scopo di:

Di Giuseppe Barbieri technology 9 min di lettura
il social engineering ha lo scopo di:

Ho visto un responsabile della sicurezza di una banca di medie dimensioni a Milano perdere il posto in meno di quarantotto ore perché era convinto che un firewall costoso e una VPN aggiornata fossero uno scudo impenetrabile. Mentre lui controllava i log del traffico crittografato, una stagista dell'ufficio marketing apriva la porta scorrevole del retro a un finto tecnico della macchinetta del caffè che portava una divisa stropicciata e un vassoio di cornetti caldi. Non c'è stato alcun malware sofisticato, nessuna riga di codice scritta per forzare i server. Solo un uomo che sorrideva e che sapeva esattamente quale leva psicologica premere per farsi consegnare le chiavi del regno senza nemmeno chiederle. Molti professionisti dimenticano che Il Social Engineering Ha Lo Scopo Di: sfruttare la vulnerabilità umana, non quella del software, e se non capisci questa distinzione, ogni euro speso in tecnologia è un euro buttato al vento.

Il Social Engineering Ha Lo Scopo Di: bypassare la logica attraverso l'emozione

L'errore più comune che vedo commettere è trattare la manipolazione psicologica come un problema tecnico da risolvere con una procedura standard. Non funziona così. Quando qualcuno cerca di ingannare un dipendente, non sta cercando di convincere la sua parte razionale. Sta cercando di innescare una risposta biochimica di urgenza o paura.

Nella mia esperienza, il fallimento avviene quando la formazione aziendale si limita a dire ai dipendenti "non cliccare sui link sospetti". Questo è un consiglio inutile perché il sospetto è soggettivo. Se ricevi una mail dal tuo capo alle tre del pomeriggio di venerdì che ti urla di saldare una fattura entro le cinque o l'azienda perderà un contratto da un milione di euro, la tua parte razionale si spegne. Il tuo battito cardiaco accelera e la tua capacità di analisi critica crolla. Il vero obiettivo qui è creare un cortocircuito cognitivo.

Invece di concentrarti solo sugli strumenti, devi analizzare i trigger emotivi. La soluzione non è un software di filtraggio più potente, ma la creazione di protocolli che rallentino il processo decisionale sotto pressione. Se una richiesta richiede un'azione immediata che rompe la prassi normale, la regola deve essere il blocco automatico, a prescindere dall'autorità di chi la invia. Ho visto aziende risparmiare centinaia di migliaia di euro semplicemente imponendo una chiamata di conferma su un numero già registrato in rubrica per ogni bonifico sopra i cinquemila euro. Semplice, noioso, ma estremamente efficace.

Credere che la vittima sia la persona meno istruita in ufficio

C'è questa idea arrogante che solo chi non capisce la tecnologia possa cadere in trappola. È una sciocchezza pericolosa. Anzi, ho notato che i profili tecnici e i dirigenti di alto livello sono spesso i bersagli più facili perché soffrono di un eccesso di fiducia nelle proprie capacità. Pensano di essere troppo intelligenti per farsi fregare.

L'illusione dell'invulnerabilità del management

Un amministratore delegato non cliccherà mai su un link che promette un premio vinto a caso, ma aprirà immediatamente un file PDF camuffato da "Rapporto Riservato sulla Concorrenza Q3" inviato da un indirizzo che sembra quello del suo consulente legale. Il motivo è semplice: l'attaccante ha studiato il suo ego e le sue preoccupazioni.

Il processo di difesa deve cambiare radicalmente. Non si tratta di insegnare alla gente a riconoscere le email scritte male in un italiano stentato. Gli attacchi moderni sono scritti meglio delle tue comunicazioni interne. Il punto è smettere di pensare che l'intelligenza sia una difesa. La difesa è il processo, non l'intelletto del singolo. Se il tuo sistema di sicurezza dipende dalla capacità di un essere umano di essere sempre vigile e mai stanco, distratto o ansioso, allora il tuo sistema è già rotto in partenza.

📖 Correlato: vodafone store largo 2 giugno

L'ossessione per i software a discapito della cultura dell'errore

Molte aziende investono cifre folli in sistemi di rilevamento delle intrusioni, ma puniscono duramente chiunque ammetta di aver commesso una leggerezza. Questo è il modo migliore per garantire che un attacco abbia successo. Se un dipendente clicca su qualcosa che non avrebbe dovuto e ha paura di essere licenziato, starà zitto. E mentre lui sta zitto per proteggere il suo stipendio, l'attaccante ha ore o giorni per muoversi lateralmente nella tua rete.

In un caso che ho seguito l'anno scorso, un dipendente del reparto contabilità aveva scaricato un allegato malevolo. Se ne era accorto quasi subito perché il computer aveva rallentato, ma siccome il mese precedente un suo collega era stato richiamato formalmente per una cosa simile, ha deciso di non dire nulla sperando che il problema sparisse da solo. Risultato? Un attacco ransomware che ha paralizzato la produzione per sei giorni, costando all'azienda circa quindicimila euro all'ora di mancato fatturato.

La soluzione pratica è creare una cultura in cui la segnalazione immediata di un errore sia premiata, o almeno non punita. Devi ridurre il tempo tra l'errore e la segnalazione. Più è breve questo intervallo, meno danni subirai. Non puoi impedire che qualcuno sbagli, ma puoi impedire che il suo errore diventi una catastrofe irreversibile.

Confondere la simulazione di phishing con l'addestramento reale

Le aziende adorano le simulazioni di phishing automatiche. Comprano un pacchetto, inviano una mail finta a tutti, contano quanti ci cascano e mandano chi ha sbagliato a fare un corso online di dieci minuti che nessuno guarda davvero. Questo non serve a nulla. È un teatro della sicurezza che dà una falsa sensazione di controllo.

Il limite dei test standardizzati

Il problema di questi test è che sono prevedibili. Dopo un paio di volte, i dipendenti imparano a riconoscere i modelli della simulazione, non i modelli dei veri criminali. Un vero attacco di ingegneria sociale è fatto su misura. Un criminale potrebbe passare settimane a osservare i profili LinkedIn dei tuoi dipendenti, capire chi va in palestra insieme, chi ha appena cambiato ruolo o chi è frustrato dal carico di lavoro.

💡 Potrebbe interessarti: hd toshiba canvio basics 2tb

Analizziamo come cambia l'efficacia tra un approccio teorico e uno pratico in uno scenario di ufficio acquisti.

Nell'approccio sbagliato, l'azienda invia una mail generica che avvisa di un "account scaduto" con un tasto blu gigante. Il dipendente medio lo ignora perché è palesemente falso. Il responsabile della sicurezza guarda le statistiche, vede che solo il due per cento ha cliccato e pensa di essere al sicuro.

Nell'approccio corretto, basato sulla realtà, l'attaccante invia una mail che sembra provenire dal fornitore storico di cancelleria dell'azienda, citando un numero d'ordine reale recuperato dai rifiuti o da una fuga di dati precedente. La mail dice: "Abbiamo spedito la merce all'indirizzo sbagliato, potete confermare qui se questo è il vostro nuovo magazzino?". In questo caso, il dipendente pensa di fare un favore all'azienda risolvendo un problema logistico. Qui il tasso di successo sale all'ottanta per cento. Capire che Il Social Engineering Ha Lo Scopo Di: sfruttare la cortesia e il desiderio di essere utili cambia totalmente il modo in cui devi impostare i tuoi controlli interni.

Ignorare i canali fisici e telefonici

Viviamo nell'ossessione del digitale, ma alcuni dei danni più pesanti che ho visto sono arrivati tramite una semplice telefonata. Il vishing, o phishing vocale, è incredibilmente efficace perché la voce umana trasmette autorità e urgenza in un modo che il testo non potrà mai fare.

Un attaccante chiama il centralino fingendosi un tecnico IT esterno. Dice che c'è un aggiornamento critico da fare e che ha bisogno che l'utente segua alcune istruzioni sul computer. Non chiede la password direttamente, ma chiede alla vittima di andare su un sito di assistenza remota. Una volta che ha il controllo dello schermo, il gioco è fatto.

🔗 Leggi di più: suonerie per cellulare da

La soluzione qui non è tecnica. È una questione di permessi e di gerarchia delle informazioni. Nessuno, nemmeno il proprietario dell'azienda, dovrebbe avere il diritto di chiedere credenziali o accesso ai sistemi fuori dai canali ufficiali e verificati. Se il tuo protocollo permette eccezioni "perché è un'emergenza", allora non hai un protocollo. Hai solo un suggerimento che verrà ignorato nel momento del bisogno.

  • Implementa una politica di "scrivania pulita" rigorosa che non riguardi solo i foglietti con le password, ma anche documenti che rivelano nomi di partner o fornitori.
  • Disabilita l'uso di chiavette USB non autorizzate tramite policy di gruppo a livello di sistema operativo.
  • Forma il personale della reception a non lasciare mai visitatori non accompagnati, nemmeno per trenta secondi.

La sottovalutazione dell'Open Source Intelligence (OSINT)

Molti non si rendono conto di quante informazioni regalano volontariamente agli attaccanti. Ogni volta che un dipendente pubblica una foto del suo badge su Instagram per celebrare il nuovo lavoro, sta dando a un falsario tutto ciò che serve per creare una copia perfetta. Ogni volta che l'azienda pubblica un organigramma dettagliato sul sito web, sta fornendo una mappa stradale per il whaling (attacchi mirati ai pesci grossi).

Ho lavorato con un'azienda che è stata colpita duramente perché i suoi ingegneri pubblicavano frammenti di codice su forum pubblici cercando aiuto per risolvere bug. In quegli estratti c'erano commenti che rivelavano la struttura dei server interni e i nomi utente utilizzati. Un attaccante non ha dovuto indovinare nulla; ha solo dovuto leggere quello che era già pubblico.

Il controllo dei dati non riguarda solo i database crittografati. Riguarda ciò che i tuoi dipendenti dicono e mostrano online. Non puoi controllare le loro vite private, ma devi educarli sul fatto che le informazioni che sembrano innocue sono pezzi di un puzzle che qualcuno sta assemblando per colpirli. La consapevolezza deve essere costante, non un evento annuale di un'ora in una sala conferenze buia.

Controllo della realtà

Smettiamola di raccontarci favole: non esiste una protezione totale contro la manipolazione psicologica. Finché avrai esseri umani che lavorano per te, avrai una superficie di attacco. La perfezione non è l'obiettivo e chi te la promette sta cercando di venderti aria fritta.

Il successo in questo campo non si misura dal numero di attacchi bloccati, ma dalla velocità con cui la tua organizzazione reagisce quando — e non se — qualcuno cade in trappola. Se pensi di poter risolvere tutto con un firewall o un corso di formazione standard, hai già perso. La sicurezza reale è noiosa, è fatta di procedure rigide, di verifiche incrociate costanti e della consapevolezza che il pezzo di carne seduto davanti alla tastiera è infinitamente più complesso e fallibile di qualsiasi sistema operativo. Se non sei disposto ad accettare questa vulnerabilità e a costruire i tuoi processi attorno ad essa, rimarrai sempre la prossima vittima in attesa di un incidente costoso. Nessun software ti salverà da un errore umano ben architettato. Solo un sistema che prevede l'errore può sperare di sopravvivere.

GB

Giuseppe Barbieri

Giuseppe Barbieri ha collaborato con diverse redazioni online, costruendo un percorso centrato su affidabilità e qualità informativa.

Articoli correlati

Il mito dell'indipendenza tecnologica e il vero ruolo di Samsung nell'economia globale

Il mito dell'indipendenza tecnologica e il vero ruolo di Samsung nell'economia globale
Il Governo Italiano Approva il Piano Stol It per Rinnovare le Infrastrutture Digitali della Pubblica Amministrazione

Il Governo Italiano Approva il Piano Stol It per Rinnovare le Infrastrutture Digitali della Pubblica Amministrazione
L'illusione del benessere leggero e la verità su Fitbit Air

L'illusione del benessere leggero e la verità su Fitbit Air
La Grande Illusione del Microchip e il Vero Prezzo della Sovranità Digitale

La Grande Illusione del Microchip e il Vero Prezzo della Sovranità Digitale