Coronavirus e Social Engineering. Smart working e posta elettronica sotto attacco.

Qualche giorno fa affrontando i rischi informatici legati alla drammatica emergenza di Coronavirus abbiamo elencato alcune campagne e-mail malevoli messe in atto dai criminali, i quali, sfruttando le paure che le persone hanno dell’infezione e la loro giusta necessità di informazioni, le truffano, convincendole ad eseguire i file allegati contenenti malware (virus, ransomware, spyware, …) o a scaricare applicazioni dannose cliccando sui link contenuti nei messaggi.

Alla base di queste truffe messe in atto dai criminali c’è una tecnica chiamata “Ingegneria Sociale” o “Social Engineering”. Si tratta di raggiri psicologici volti ad ingannare una vittima, ottenendo la sua fiducia, inducendola a credere, a fare o a dire qualcosa a cui altrimenti non avrebbe creduto, che non avrebbe fatto o non avrebbe detto.

Se riusciamo a convincere gli utenti che una e-mail proviene dall’OMS sarà più probabile che questi aprano il file allegato. Oppure raccontando che l’e-mail contiene istruzioni su come proteggerci dal Coronavirus, sarà facile che in un periodo come questo, gli utenti non attenti eseguano alla lettera quanto il contenuto dell’e-mail dice di fare.

Il Social Engineering è un attacco non alla tecnologia
ma all’uomo. Si può attuare con mezzi tecnologici,
come l’invio di una e-mail, ma la vulnerabilità non è
del software, del client di posta o del Server,
ma è una vulnerabilità della vittima che viene raggirata.

Quando i criminali non trovano vulnerabilità da sfruttare sui software e sulle macchine, possono cercarle sui dipendenti e sugli utenti di internet. E per loro sarà più facile quando questi sono in difficolta o in uno stato di stress psicologico o a seguito di grossi ed importanti eventi che li ha coinvolti o li incuriosisce.
Il Social Engineering si può quindi attuare con mezzi tecnologici ma per sua stessa natura è più frequente senza. Ogni comportamento umano volto a raggirare qualcuno per i propri fini, e con qualsiasi mezzo, è Ingegneria Sociale. Lo è ad esempio il fingersi un postino o un corriere con un pacco in mano per introdursi in qualche azienda abusivamente.

Le aziende e i loro dipendenti devono
essere pronti a riconoscere ed evitare
attacchi di Social Engineering.

In periodi di normale attività il personale delle aziende dovrebbe saper riconoscere chi cerca di entrare abusivamente in azienda perché si spaccia per qualcun altro o perché approfitta di un dipendente legittimo che entra subito davanti a lui (tecnica chiamata Tailgating). Le aziende dovrebbero aver altresì sensibilizzato i dipendenti che quando sono in attesa in aeroporto devono fare attenzione a chi può spiare cosa scrivono perché si trova dietro di loro (Shoulder Surfing), o ancora di non raccogliere penne USB trovate per terra in locali accessibili al pubblico (Baiting). Inoltre tutto il personale dovrebbe sapere che i documenti cartacei contenenti dati sensibili devono essere tritati nel trita-carte per evitare che qualcuno possa venirne a conoscenza recuperandoli dai cassonetti dei rifiuti (Dumpster Diving).

Ma durante questa emergenza per le aziende è ancora più importante aver preparato i dipendenti, o approfittare adesso per farlo, a riconoscere una e-mail di phishing o di Spam. In questo periodo, come abbiamo visto, tali minacce sono aumentate esponenzialmente per il fatto che gran parte dei dipendenti e consulenti lavorano da casa. Il lavorare da casa è più esposto a questi attacchi, e siccome i dispositivi utilizzati sono spesso quelli personali e quindi meno sicuri, un attacco che utilizzi un malware che sfrutti ad esempio una certa vulnerabilità potrebbe aver successo su quel computer. E nello Smart working un attacco portato ad un dipendente a casa potrebbe diventare un attacco portato all’intera azienda. L’unica possibilità per evitare ciò è quindi saper riconoscere l’e-mail e cestinarla.

Esistono servizi di “Phishing Simulation” che permettono all’azienda di testare se una e-mail di phishing, in cui è presente una truffa simulata, giungesse ai dipendenti questi come reagirebbero. Le aziende saprebbero così se la formazione effettuata è stata ben recepita o se invece è necessaria una formazione più specifica.

Sempre di più le organizzazioni stanno capendo l’importanza di questi servizi.
Anche noi del Network Security Operation Center del Gruppo 3C li offriamo per i nostri clienti e siamo disponibili a parlarne con chi ancora non ci conosce.

 

Per maggiori informazioni, contattateci.
E seguite più notizie e Alert di Sicurezza sul nostro canale Twitter
https://twitter.com/3cSoc