Gli attacchi di pretexting possono verificarsi ovunque e in qualsiasi momento, perciò è importante capire di cosa si tratta e come proteggere i dipendenti. Per proteggere la tua organizzazione dagli attacchi di pretexting, evita di fare clic su link indesiderati e di condividere informazioni personali online, e istruisci i dipendenti sulle tecniche di pretexting.
Continua a leggere per scoprire di più sul pretexting e sulle tecniche utilizzate dai cybercriminali per indurre le vittime a rivelare informazioni sensibili.
Che cos’è il pretexting?
Il pretexting è una tipologia di attacchi di ingegneria sociale nei quali un cybercriminale inventa una storia, un pretesto, per convincere la vittima a rivelare informazioni sensibili che gli consentiranno di accedere ai sistemi anche senza autorizzazione.
Il pretexting può essere portato avanti in molti modi: di persona, tramite telefonata o tramite SMS. Per risultare più convincente, il cybercriminale tenterà di instaurare un rapporto con la vittima. Spesso, per convincere la vittima di essere effettivamente chi affermano di essere, i cybercriminali sfruttano le informazioni che trovano online. Per indurre la vittima a fidarsi, faranno ricorso alla sua storia lavorativa, alla sua occupazione attuale e altro ancora.
Tipi di tecniche di pretexting
Esistono molti tipi di tecniche di pretexting che i cybercriminali utilizzano per indurre le vittime a rivelare informazioni che consentiranno loro di accedere ai sistemi anche senza autorizzazione. Ecco solo alcune delle molte tecniche di pretexting utilizzate dai cybercriminali.
Piggybacking
Il piggybacking è una tecnica di pretexting per cui il cybercriminale tenta di accedere a una rete, a un sistema o a un edificio fisico. I cybercriminali possono accedere a una rete o a un sistema quando la connessione Wi-Fi in uso non è protetta. Quando agiscono di persona, i cybercriminali possono accedere all’edificio sfruttando la gentilezza di un dipendente che sta entrando per superare l’ingresso.
Se un cybercriminale riesce a introdursi in un edificio dove molti dipendenti si allontanano spesso dai loro dispositivi mentre sono ancora connessi, può essere particolarmente pericoloso. In questo caso, infatti, il cybercriminale può entrare in azione e impadronirsi senza fatica di informazioni sensibili con pochi clic.
L’obiettivo di un cybercriminale che adotta la tecnica del piggyback è accedere a una rete o a un edificio fisico per poter svolgere attività criminose.
Tailgating
Il tailgating è simile al piggybacking, ma con una differenza importante. Il tailgating, analogamente al piggybacking, si riferisce a cybercriminali che tentano di accedere a un edificio fisico a cui non potrebbero accedere, ma il primo è diverso dal secondo in quanto l’accesso all’edificio in questo caso avviene all’insaputa di tutti. Per esempio, un cybercriminale può intrufolarsi attraverso una porta che si sta per chiudere, dando l’impressione di essere autorizzato ad accedere all’edificio. Con la tecnica del tailgating i dipendenti non sono a conoscenza del fatto che qualcuno è entrato nell’edificio, e questo espone a rischio di violazione tutti i dati aziendali.
Phishing
Il phishing è una delle tecniche di pretexting più usate. Nel terzo trimestre del 2022, secondo l’Anti-Phishing Working Group (APWG) si sono verificati in totale 1.270.883 attacchi di phishing: un nuovo record.
Un attacco di phishing mira a convincere la persona presa di mira a rivelare informazioni sensibili come credenziali, numeri di carte di credito e così via. I tentativi di phishing di solito vengono dissimulati da messaggio e-mail urgente che sostiene di provenire da una fonte attendibile. L’obiettivo di un attacco di phishing è quello di indurre la vittima predestinata ad agire immediatamente aprendo un allegato o un link senza riflettere. Facendo clic su link e allegati indesiderati si possono innescare infezioni da malware che mettono a rischio tutte le informazioni personali.
Vishing
Il vishing è analogo a un attacco di phishing, ma è più sofisticato ed efficente. Avviene quando si riceve una telefonata da una persona in carne e ossa che impersona qualcun altro. L’obiettivo è lo stesso di un attacco di phishing: indurre la vittima a rivelare informazioni sensibili che possono poi essere utilizzate per scopi illeciti.
Come proteggere te e la tua organizzazione dagli attacchi di pretexting
Per proteggere te e la tua organizzazione dagli attacchi di pretexting, segui questi consigli.
Non fare clic su link o allegati indesiderati
Se ricevi un’e-mail o un SMS che non aspettavi, evita di fare clic su eventuali link o allegati. Come accennato, facendo clic su di essi si può innescare un’infezione da malware che darà ai cybercriminali la possibilità di accedere a tutte le tue informazioni.
Al giorno d’oggi, utilizziamo un gran numero di piattaforme di social media e potresti avere la tentazione di usarle per condividere tutta la tua vita e le tue esperienze, ma fai attenzione. Evita di condividere qualsiasi informazione personale che eventuali cybercriminali potrebbero utilizzare a tuo danno, sia di persona che online.
Proprio come è importante fare attenzione a ciò che si condivide online, lo è altrettanto diffidare di chi ti chiede di rivelare informazioni personali. Quando qualcuno ti chiede informazioni personali o sensibili, chiediti sempre per quale motivo ha bisogno di saperlo.
Nessuno ti può costringere a rivelare informazioni sensibili o personali a persone che non conosci, perciò non sentirti mai in obbligo di farlo.
Istruisci i dipendenti a riconoscere le tecniche di pretexting
Le tecniche di pretexing, come il piggybacking e il tailgating, possono avvenire in tempo reale. Assicurati che i tuoi dipendenti guardino sempre dietro di loro quando entrano in azienda, in modo da evitare accessi non autorizzati. Eventualmente, puoi prendere in considerazione l’assunzione di personale che stazioni nell’atrio dell’edificio per evitare che entrino persone non autorizzate.
Oltre a quelle che vengono messe in atto di persona, è bene che i dipendenti conoscano anche tutte le altre tecniche di pretexting, come il phishing e il vishing. Per esempio, potresti attuare a questo scopo iniziative di formazione sul phishing a livello di organizzazione. Attraverso queste iniziative i dipendenti possono imparare a riconoscere le e-mail di phishing e sapere come comportarsi. KnowBe4 è uno di questi programmi di formazione sulla sicurezza che puoi adottare nella tua organizzazione e che prevede vari moduli didattici per i dipendenti. Inoltre, invia simulazioni di messaggi e-mail di phishing in modo che il personale sia in grado di riconoscerli con sicurezza.
Adotta un Password Manager aziendale
Quando si tratta di pretexting, una delle soluzioni di sicurezza informatica più importanti da implementare per proteggere i dati della tua organizzazione è un Password Manager aziendale. Un Password Manager aziendale è uno strumento che ti consente di far rispettare ai dipendenti i requisiti relativi alle password, che vengono poi archiviate in modo sicuro. Adottando un password manager puoi condividere informazioni e credenziali sensibili in tutta sicurezza, evitando il rischio che vengano compromesse.
Se la tua organizzazione dovesse mai cadere vittima di un attacco di pretexting, un Password Manager ti aiuta a proteggere facilmente i tuoi account perché permette di generare nuove password efficaci e univoche per ciascuno di essi, in modo da limitare i danni.
Proteggiti dal pretexting
È facile cadere vittima delle tecniche di pretexting perché si basano sull’ingegneria sociale, ma informare i dipendenti dei pericoli e dei segni rivelatori di queste tecniche può impedire loro di cadere in trappola.
Rendere consapevoli i dipendenti dei rischi connessi alla condivisione delle informazioni personali online può essere determinante per la sicurezza dell’intera organizzazione. Investi in una soluzione di sicurezza informatica come Keeper per fare in modo che i tuoi dati sensibili siano sempre protetti: scegli Keeper per la tua azienda oggi stesso.