Categorie: Cyber Security Fintech

Nella categoria del social engineering vengono fatte rientrare tutte quelle tecniche di attacco cyber basate sulla manipolazione dell’anello debole della sicurezza, quello umano. Secondo una definizione piuttosto comune, social engineering è lo studio del comportamento individuale finalizzato a ottenere benefici indebiti facendo perno sull’assenza di consapevolezza, di conoscenza e/o su svariate leve psicologiche. Disporre di un bonifico urgente ordinato via e-mail da un finto CEO, inserire le proprie credenziali in un’e-mail di phishing, aprire un conto corrente a proprio nome a seguito di un raggiro e milioni di altre fattispecie: le campagne di social engineering possono raggiungere livelli di estrema complessità e coinvolgere diversi attori, ma quello che non cambia è l’elemento cardine del raggiro, dello sfruttamento delle debolezze umane per perpetrare un attacco che non sempre potrà essere gestito con successo dai sistemi tecnici di protezione.

I dati sono eloquenti e dimostrano quanto il social engineering sia sempre più pericoloso e tristemente comune, complice anche lo smart working e l’utilizzo di dispositivi personali ai fini di lavoro: secondo il più recente Rapporto Clusit, nel primo semestre 2020 è stata la seconda tecnica di attacco in assoluto, preceduta unicamente dai malware. Non solo: a causa del coronavirus e dell’utilizzo di temi a esso connessi per colpire persone e aziende, le e-mail di phishing sono cresciute fino al 600% adottando (solitamente) le due modalità più comuni, cioè i siti-clone e le e-mail con allegati malevoli.

 

Social engineering e universo finanziario: il rischio è reale

Una premessa: il social engineering non risparmia nessuno. Non c’è una industry che subisce in esclusiva (o quasi) i suoi effetti: tutte ne sono coinvolte, come dimostra lo stesso Rapporto Clusit secondo cui alla voce “tipologia di vittime” i “multiple targets” restano in cima alla lista con un 25% di tutti gli attacchi. Ciò nonostante, gli attacchi cyber contro il settore finanziario sono molto frequenti, oltre ad essere cresciuti addirittura del 238% nei primi mesi del Covid (fonte: VMware) a causa dell’estensione della superficie d’attacco per via dello smart working.

L’enorme estensione del fenomeno si spiega facilmente: i criminali fanno leva sulle debolezze umane per sottrarre le credenziali d’accesso ai sistemi bancari, i dati delle carte di credito, per sostituire le coordinate di pagamento e/o per sottrarre altri dati dei clienti. Per quanto la capacità di trasferire fondi sia un obiettivo centrale, non va dimenticato l’immenso valore dei dati custoditi dai player dell’ecosistema finanziario, la cui esfiltrazione può provocare danni a catena capaci di mettere a serio rischio la sopravvivenza dell’azienda, sia essa un operatore consolidato o una fintech agile e innovativa. Peraltro, le tecniche si fanno sempre più sofisticate, ma quasi sempre includono una componente di social engineering, da cui l’assoluta centralità di una security awareness non solo diffusa all’interno dell’organizzazione (mediante apposite attività), ma anche – per quanto possibile – verso i partner e i clienti, che spesso sono i primi bersagli dell’attacco.

Le cronache recenti parlano di tecniche di island-hopping, consistenti nel perpetrare un attacco attraverso terze parti aventi un certo grado di accesso ai sistemi dell’obiettivo finale; di attacchi watering hole, consistenti nell’infettare con malware siti frequentemente usati da un’organizzazione; di business e-mail compromise, che tra tutti è quello più legato al social engineering. Anche noto come “truffa del CEO”, vede il criminale assumere le sembianze virtuali di un alto dirigente aziendale e disporre (via e-mail) attività come la consegna di credenziali o trasferimenti di denaro. La vittima ritiene la comunicazione attendibile, perché magari rafforzata da urgenza o dall’intervento di altri (finti) manager nella conversazione, ed esegue così l’ordine. Ovviamente questa è una semplificazione, poiché BEC può essere un attacco molto sofisticato e fatto precedere da un’attenta attività di studio della vittima: non mancano, inoltre, casi di Reverse BEC, che si verificano quando il server di posta della vittima viene compromesso e usato per eseguire attacchi di malware fileless contro alti dirigenti e membri del board aziendale.

Qualsiasi sia la tecnica usata, la certezza è che tali attacchi non diminuiranno tanto facilmente. Per quanto concerne la componente di social engineering, abbiamo già accennato quanto la difesa principale sia la consapevolezza, che purtroppo non sempre è presente all’interno delle aziende o dei clienti finali. È, infatti, la consapevolezza che crea quella salutare diffidenza in grado di sventare una campagna di social engineering e di mantenere i dati aziendali al sicuro. Se si sta cercando un punto da cui partire, l’awareness è la risposta.

CTA-white-paper-business-resilience