CYBER MINACCE

Ingegneria sociale e pandemia: come difendersi dall’aumento di frodi informatiche

Il fatto di avere più persone connesse a Internet, per lavorare, studiare o semplicemente per passare il tempo libero durante la quarantena guardando un telefilm, è stato uno degli effetti collaterali della pandemia insieme al conseguente aumento di attacchi di ingegneria sociale contro i quali la contromisura migliore è sempre quella della formazione e della consapevolezza

01 Feb 2022
B
Simone Bonavita

Professore a contratto in "Sensitive Personal data Processing", Università degli Studi di Milano

C
Alessandro Cortina

Cybersecurity Consultant, Dottore Magistrale in Sicurezza Informatica e Perfezionato in Criminalità Informatica e Investigazioni Digitali

I quasi due anni di pandemia hanno costretto molti ad abbandonare vecchie abitudini e trovarne nuove: dal punto di vista della sicurezza informatica, ciò ha significato – tra i vari aspetti – anche quello di incappare più frequentemente in miriadi di campagne di frodi presenti su Internet, e che con la pandemia sono cresciute esponenzialmente. Nel presente articolo andremo a vedere le principali tipologie.

La crescita del fenomeno degli attacchi di ingegneria sociale

Il fatto di avere più persone connesse a Internet, per lavorare, per studiare o anche semplicemente per passare il tempo libero durante la quarantena guardando un telefilm[1], è stato uno degli effetti collaterali della pandemia.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza

Come evidenziato spesso dagli operatori del settore, questo ha comportato un aumento significativo della già ampissima superficie di attacco a disposizione dei criminali informatici. E se già pre-pandemia l’utente medio di Internet era molto spesso purtroppo una persona che aveva ancora poca consapevolezza delle principali minacce informatiche che imperversavano nel ciberspazio, con la pandemia la situazione non è migliorata.

Un’interessante statistica sul punto è possibile rinvenirla nell’Internet Crime Report 2020 dell’IC3 (Internet Crime Complaint Center[2]). Nel grafico seguente, estratto dal report sopramenzionato, è mostrata l’evoluzione dal 2016 al 2020 del numero di reclami ricevuti dall’IC3 riguardanti episodi di: phishing, vishing, smishing e pharming.

Come è possibile notare, dunque, nel 2020 vi è stato un incremento pari a più del doppio delle segnalazioni ricevute nel 2019. Ma tale imponenza dei dati non trova riscontri solamente negli U.S.A., infatti basti pensare – come evidenziato nel rapporto CLUSIT 2021 – che in Italia nel 2020 la Polizia Postale ha rilevato una movimentazione finanziaria dovuta a guadagni ottenuti illecitamente mediante frodi informatiche di vario tipo (in maniera preponderante ritroviamo le tipologie evidenziate dalla statistica dell’IC3 poc’anzi menzionata) pari a circa 33 milioni di euro[3].

Attacchi cyber emergenza globale, ci costano il 6% del PIL: i dati del rapporto Clusit 2021

Le tipologie di attacco più comuni

Forniamo di seguito – senza pretesa di esaustività – una rassegna dei principali attacchi informatici volti a perpetrare frodi informatiche utilizzati in questi ultimi due anni. Il focus sarà su attacchi facenti prevalentemente utilizzo di tecniche di ingegneria sociale in quanto, essendo attacchi studiati per attaccare la persona – piuttosto che la macchina – hanno una componente tecnica di realizzazione richiesta più bassa rispetto ad altre tipologie di attacco che prevedono ad esempio l’impiego di malware e, dunque, possono essere realizzati anche da criminali che non hanno spiccate capacità e conoscenze nella programmazione e sviluppo software.

Iniziamo con attacchi che, nell’ambito finanziario, è stato osservato essere diretti principalmente a persone fisiche.

Phishing e spear phishing

Il phishing è molto probabilmente il più classico e conosciuto attacco di ingegneria sociale, trattasi – in breve – di un’e-mail ingannevole inviata alla vittima al fine di raggirarla e persuaderla a fornire spontaneamente informazioni sensibili all’attaccante.

Negli anni, gli attacchi di phishing sono diventati veri e propri attacchi di massa, dove la concezione di fondo era puntare sulla quantità di e-mail malevoli inviate piuttosto che sulla loro qualità.

In contrapposizione a questa modalità, di natali più recenti è una versione particolare di phishing denominata spear phishing, in cui invece il paradigma quantità/qualità è ribaltato in favore di quest’ultima. Infatti, le e-mail di spear phishing sono quanto il più possibile “cucite su misura” della vittima in modo tale da aumentare il più possibile il tasso di successo dell’attacco andando a trattare determinate tematiche e/o discorsi per cui la vittima potrebbe presentare dei bias tali per cui gli farebbero abbassare la guardi durante la lettura dell’e-mail.

Tipicamente, nelle e-mail di phishing comune ritroviamo elementi come il senso di urgenza di dover compiere un’azione o l’eventuale configurazione di eventi negativi nel caso non dovessimo compiere tale azione; mentre nelle e-mail di spear phishing, essendo costruite ad hoc, non vi sono degli elementi così fortemente ricorrenti.

In alcuni studi, comunque, è stato osservato come risulterebbe ricorrente l’utilizzo del c.d. “referent power” e del c.d. “informational power” per indurre in errore la vittima[4].

Il primo consiste nell’usare la “cecità” che una persona potrebbe avere nei confronti dei propri idoli o di quelle figure che hanno su di lui, per l’appunto, una sorta di potere referenziale. Il secondo, invece, fa leva sulla supposta attendibilità e credibilità delle informazioni presentate alla vittima per indurlo nel cooperare involontariamente alla buona riuscita dell’attacco.

Smishing

Lo smishing è una variante del phishing in cui la comunicazione ingannevole non è veicolata tramite e-mail ma tramite SMS (da qui il nome dato dalla combinazione dei termini “SMS” e “phishing”).

In questi ultimi due anni è stato notato un forte aumento di campagne di smishing in cui gli attaccanti, facendo uso di tecniche di spoofing, mascherano i messaggi fraudolenti facendoli apparire come virtualmente provenienti dai sistemi ufficiali di vari gruppi bancari italiani.

In questo caso, è stato osservato il ricorso a tecniche quali “il senso di urgenza” e “l’informational power” per trarre in inganno la vittima.

Vishing

Il voice phishing è un’altra variante del phishing che ha trovato larga diffusione in questi ultimi due anni nel tessuto del cybercrime finanziario italiano.

In questa fattispecie, l’attaccante chiama la vittima fingendosi, ad esempio, un operatore dell’istituto di credito a cui la vittima è affiliata e la induce, sfruttando tipicamente le precedenti tecniche di manipolazione psicologica, a cooperare inconsapevolmente alla commissione della truffa.

Pharming

Questo attacco di ingegneria sociale, rispetto ai precedenti, richiede delle abilità tecniche leggermente maggiori in quanto per pharming si suole indicare una metodologia di attacco che comporta necessariamente il ricorso ad un sito fasullo creato a immagine e somiglianza di un sito ufficiale al fine di ingannare le vittime ad autenticarsi e operare in esso in modo tale che l’attaccante possa così collezionare le varie informazioni, quali username password ad esempio, per poi operare sul sito ufficiale impersonificando la vittima.

Anche in questo caso, il nome dell’attacco è una parola combinata: phishing e farming.

Gli attacchi mirati al business aziendale

Nell’ambito societario, invece, in questi ultimi due anni vi è stato un grande aumento di due particolari tipologie di attacchi informatici sfociati poi in truffe: gli attacchi di BEC e le CEO Fraud.

BEC (Business Email Compromise)

Negli attacchi di BEC un attaccante riesce ad acquisire la visione delle comunicazioni interne di un’organizzazione, o perché ottiene le credenziali di un dipendente, oppure perché riesce ad accedere direttamente al server di posta, e da qui ne segue un periodo di osservazione e studio delle procedure e modalità di comunicazione tra le varie figure.

L’obiettivo ultimo sarà quello poi di contattare le persone abilitate alla realizzazione di pagamenti per conto della società e di indurle a effettuare dei pagamenti all’attaccante sfruttando degli schemi comunicativi che sono ricorrenti all’interno della società.

Altra tipica modalità di commissione di un BEC attack e quando l’attaccante si pone nel mezzo di una comunicazione tra due società, ad esempio in un rapporto cliente – fornitore, e induce una delle due parti a effettuare il pagamento a delle nuove coordinate bancarie in modo tale da porre in essere la truffa.

Anche in questa fattispecie di BEC, vi è prima uno studio preparatorio sulle modalità di comunicazione delle varie parti in gioco al fine di creare delle comunicazioni, tipicamente delle e-mail, il più persuasive e credibili possibili.

CEO Fraud

La CEO Fraud può essere vista come un particolare tipo di BEC attack, in quanto consiste nell’impersonificare il CEO di una società e chiedere a uno dei dipendenti autorizzati a disporre operazioni finanziarie di effettuare un urgente pagamento alle coordinate indicategli dall’attaccante.

Anche in questo in caso vi è una fase di studio delle abitudini comunicative all’interno dell’organizzazione tra il CEO e i suoi dipendenti in modo da rendere poi la probabilità di successo dell’attacco la più alta possibile.

In questa fattispecie, le tecniche di manipolazione psicologica che possono essere sfruttate tipicamente sono: il referent power e l’informational power già menzionati e, in aggiunta, il c.d. “coercive power”, ossia l’induzione nella vittima di elementi quali stress, urgenza, intimidazione e paura di ripercussioni; tutti elementi che possiamo facilmente immaginare in una comunicazione tra il CEO e un dipendente riguardanti la realizzazione di un pagamento urgente richiesto in maniera diretta via e-mail, oppure via telefono facendo utilizzo, altresì, di tecniche di voice deep fake[5].

Sottolineiamo in ultima analisi che, come da recenti indicazioni dell’ENISA, l’utilizzo di tecniche tipicamente più ad appannaggio del mondo privato, quali smishing e vishing, stanno incominciando ad essere sfruttate in maniera più massiccia anche nel mondo societario[6].

Come difendersi da questi attacchi: formazione e regole

A questo punto il lettore potrebbe giustamente chiedersi come si possa evitare di cadere in una di queste truffe? Quando si ha a che fare con attacchi di ingegneria sociale la contromisura migliore è sempre quella della formazione e della consapevolezza.

Per loro struttura, infatti, tali attacchi necessitano della cooperazione della vittima per il loro successo, dunque, eliminando tale parte di cooperazione attiva si rende inefficace l’attacco.

Per questo motivo è fortemente consigliato, in particolar modo ambito lavorativo, erogare dei servizi/corsi di cyber security awareness consistenti in attività formative sia teoriche che pratiche in modo tale da fornire degli strumenti utili ai dipendenti per riconoscere tali attacchi e non esserne ingannati.

Tali programmi, inoltre, avrebbero incidentalmente una doppia funzione in quanto aiuterebbero il personale non solo nel riconoscere le truffe in ambito lavorativo ma anche in ambito privato.

Oltre all’aspetto formativo, in aggiunta, con queste tipologie di attacchi che sono per lo più veicolati via e-mail, è sempre consigliabile – quando ve n’è il sospetto – attuare una serie di procedure quali, a titolo esemplificativo:

  • la verifica del mittente dell’e-mail tramite controllo dell’header della stessa in modo tale da rilevare eventuali tentativi di spoofing;
  • controllare l’URL dei link inseriti in e-mail sospette e ricercare eventuali elementi sospetti, come l’utilizzo di caratteri particolari per ricreare le sembianze di un URL legati a siti web ufficiali. Esempio tipico è l’utilizzo della l minuscola per ricreare la I maiuscola e viceversa;
  • non scaricare file allegati sospetti. Nel caso si trattassero di file documentali (.docx, .xlsx., etc.) al più aprirli in sola lettura per evitare l’avvio di possibili macro;
  • ricercare la presenza di tecniche di manipolazione psicologica, come quelle viste nel presente articolo: referent power, l’informational power e coercive power.

L’unione di corsi formativi e di consapevolezza sul tema e l’attuazione di misure di controllo di questo tipo, ragionevolmente dovrebbero mettere al sicuro una persona da queste subdole forme di truffe informatiche.

Sicurezza informatica, è la formazione del personale il vero problema da risolvere

Appare inoltre importante, per una maggiore tutela delle società, adottare una serie strutturata di policy volte a descrivere quali comportamenti il singolo dipendente dovrà tenere. In questo contesto appare interessante notare come la presenza di specifiche disposizioni, basate su criteri di ragionevolezza, possa spesso esimere le società da determinate responsabilità derivanti dalla commissione di taluni attacchi.

Tali policy potrebbero avere ad oggetto non solo aspetti tecnico-organizzativi, ma anche relazionali e comunicazionali. Disposizioni che impongano di “non comunicare mai alcun dato telefonicamente ad alcun soggetto che si palesi come operatore di un istituto di credito” potrebbero evitare l’appropriazione, da parti di terzi, di dati da utilizzare per un attacco.

Analogamente una policy che imponga all’operatore un contatto telefonico con un dirigente in posizione apicale per autorizzare bonifici di elevato importo, potrebbe – oltre a vanificare l’attacco – sollevare in parte responsabilità delle società in caso di una eventuale sua commissione, posta la complessità del tipo di attacco.

Si considerino, inoltre, l’importanza di direttive che suggeriscano il controllo di documentazione e l’utilizzo di canali di verifica presumibilmente non compromessi. Il ricevimento di una fattura avente un IBAN differente da quello usato in precedenza, senza che questa circostanza sia mai stata menzionata, dovrebbe allertare l’operatore, spingendolo a chiedere informazioni telefonicamente. Tale comportamento potrebbe evitare la commissione dell’attacco o comunque esimere la società che effettua tale verifica da specifiche responsabilità legate alla diligenza richiesta.

 

NOTE

  1. Curioso e interessante, a tal riguardo, è stato il caso in Sud Corea in cui un Internet Service Provider (ISP) ha fatto causa a Netflix, in quanto nel periodo di uscita della famosa serie “Squid Game”, il provider registrò dei notevoli picchi di traffico Internet che provocarono diversi problemi nella gestione del traffico di rete e nel mantenimento di una corretta qualità del servizio. Cfr. qui).

  2. La missione dell’IC3 è di fornire ai cittadini un meccanismo di segnalazione affidabile e conveniente per presentare informazioni all’FBI riguardo a sospette attività criminali facilitate da Internet, e di sviluppare alleanze efficaci con i partner dell’industria.

  3. Di tale somma, la Polizia Postale ha affermato di averne recuperato una parte sostanziale, circa 20 milioni.

  4. Cfr. Information Security Forum, Human-Centred Security: Addressing Psychological Vulnerabilities, ISF 19 07 01, 2019,

  5. European Union Agency for Cybersecutiry, AI cybersecurity challenges: Threat landscape for artificial intelligence, 2020. Cfr., altresì, IDG CONNECT, “Deepfakes and deep fraud: The new security challenge of misinformation and impersonation”, disponibile qui (sito web online e consultato il 28/12/2021).

  6. Cfr. ENISA, Enisa Threat Landscape 2021, ottobre 2021.

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 3