Social engineering: quando l’uomo è il punto debole

A causa della crescente interconnessione dell’economia, le imprese sono sempre più esposte agli attacchi informatici. I metodi utilizzati dai cybercriminali diventano sempre più perfidi e puntano in misura crescente sulla fiducia dei dipendenti: si tratta del cosiddetto social engineering. La nuova copertura complementare Cyber Crime di Allianz Suisse consente alle Pmi di assicurarsi contro i rischi del furto d'identità.

Il mondo è sempre più interconnesso: entro il 2020, ben 50 miliardi di dispositivi saranno collegati in rete grazie alla «Internet of Things» − dal frigorifero, alla radio, alla televisione, all’auto. Si tratta di opportunità enormi.

Tuttavia dove ci sono opportunità, ci sono anche rischi. Attacchi informatici, furti di dati, frodi legate ai dati e attacchi che mettono fuori uso i sistemi sono solo alcuni esempi delle minacce reali poste dalla digitalizzazione che interessano sempre più imprese e individui. Gli esperti stimano che il costo dei danni causati dagli attacchi informatici a livello mondiale ammonti già a oltre 500 miliardi di dollari – chiaramente un business remunerativo per i criminali di Internet, i cui metodi stanno diventando sempre più maligni.

Le imprese si concentrano per lo più sulla protezione contro specifici attacchi che colpiscono la rete aziendale, come virus, trojan o attacchi DDOS. Ma un punto debole spesso sottovalutato è quello collegato al cosiddetto social engineering, che viene utilizzato dai criminali nei casi in cui è possibile influenzare le persone. Un target particolarmente ambito è costituito dai dipendenti delle imprese, che vengono tratti in inganno o manipolati per accedere a dati sensibili o addirittura all’intero sistema IT dell’azienda.

Gli attacchi di social engineering hanno nomi altisonanti come CEO Fraud, Payment Diversion Fraud e Fake Identity Fraud che non lasciano presagire nulla di male, ma possono avere conseguenze economiche salate per l’azienda, come dimostrano i casi reali descritti di seguito. 

• CEO Fraud: proprio la primavera scorsa i media si sono occupati di un’impresa con sede in Turgovia che ha subito un attacco di questo tipo. Uno sconosciuto ha inviato a una segretaria di questa impresa un’e-mail spacciandosi per l’amministratore delegato e le ha chiesto di trasferire una somma di denaro su un conto estero. La dipendente è caduta nella trappola e ha trasferito circa 80’000 euro per l’acquisto di macchinari. Solo in seguito l’e-mail si è rivelata contraffatta.
  
• Dirottamento di pagamento: dopo aver eluso la protezione dei server, i cybercriminali si fingono partner commerciali o fornitori di un’impresa e, con una lettera, informano la società che le coordinate bancarie per i pagamenti sono cambiate e che occorrerà usare un altro conto. Il numero di telefono del referente riportato nell’e-mail è stato precedentemente falsificato, e quindi un’eventuale telefonata di conferma da parte dell’ufficio contabilità verrebbe intercettata dai malfattori. Va da sé che successivamente non ci sarà più traccia né del pagamento né della merce ordinata.
  
• Falsificazione d’identità il responsabile acquisti di una rinomata azienda estera chiama un’azienda di medie dimensioni dicendo di voler comprare merce. L’azienda invia un’offerta e la sedicente parte interessata risponde concordando un pagamento su fattura. La merce ordinata viene scaricata nel luogo convenuto all’estero in tempo utile, ma l’azienda attende invano il pagamento. Scoprirà poi che le e-mail erano state contraffatte e che la rinomata azienda estera non aveva mai effettuato ordini.

«Il social engineering è un metodo infido ma, dal punto di vista degli aggressori, molto efficace per aggirare gli standard di sicurezza informatica di un’azienda e rubare informazioni sensibili», afferma Gregor Huber, responsabile Assicurazioni per aziende di Allianz Suisse, descrivendo il potenziale di rischio.

«Per difendersi da tali attacchi, le imprese non possono fare affidamento sui comuni meccanismi di difesa dei programmi antivirus o di altri software, perché gli hacker approfittano soprattutto di un fattore: la debolezza umana.» Questo rende ancora più importante proteggersi dai nuovi rischi.

Con l'assicurazione Cyber Risk, Allianz Suisse dispone di una delle soluzioni assicurative leader del mercato, tagliata espressamente sulle esigenze delle piccole e medie imprese (Pmi). La copertura comprende, tra l’altro, la responsabilità civile contro richieste di terzi, i danni propri, l’interruzione di esercizio e la protezione giuridica. A queste coperture si aggiunge oggi la copertura complementare «Cyber Crime e Social Engineering», che include i danni causati da istruzioni e fatture false. Una copertura significativa: infatti chi può escludere oggi il rischio che anche i propri dipendenti possano essere abbindolati in uno dei modi descritti?