Social Engineering: 7 minacce alla sicurezza aziendale

Pretexting

Con la tecnica del pretexting i criminali inventano storie complesse o pretesti per guadagnare la fiducia delle vittime e indurle a rivelare informazioni riservate.

Questo può coinvolgere l’uso di una falsa identità o di una storia plausibile per conquistare la fiducia della vittima e indurla a condividere informazioni sensibili.

Il pretexting è un attacco che fa leva sulla fiducia e la vulnerabilità delle vittime, ed è per questo che è particolarmente pericoloso.

Esempi di Pretexting Aziendale

1. Tecnico informatico fittizio: un attaccante si finge un tecnico informatico e contatta un dipendente, affermando di dover eseguire un aggiornamento di sicurezza sul computer. Chiede al dipendente le sue credenziali per “completare l’aggiornamento,” ma in realtà sta cercando di ottenere l’accesso non autorizzato.
2. Richiesta di credenziali telefoniche: un attaccante si fa passare per un rappresentante del servizio clienti di una compagnia telefonica e chiama un dipendente, sostenendo che ci siano problemi tecnici con il suo account. Chiede al dipendente di confermare le proprie credenziali, che verranno poi utilizzate per scopi malevoli.
3. Falsi Reclami Legali: un individuo finge di essere un avvocato o un funzionario governativo e contatta l’azienda, minacciando azioni legali o verifiche fiscali. Chiede informazioni finanziarie o contabili sensibili sotto il pretesto di risolvere il problema.

Strategie chiave per proteggere l’azienda dal pretexting

1. Formazione dei dipendenti per insegnare ai dipendenti a essere scettici di fronte a richieste di informazioni sensibili da parte di sconosciuti e a verificare l’identità dei richiedenti.
2. Politiche chiare di condivisione di informazioni aziendali o personali. Assicurarsi che i dipendenti seguano queste regole.
3. Verifica delle identità: prima di condividere informazioni sensibili, i dipendenti dovrebbero verificare l’identità del richiedente, preferibilmente contattando la fonte tramite canali ufficiali.
4. Segnalazione degli incidenti tempestiva in caso di tentativi di pretexting. Una risposta rapida può prevenire gravi conseguenze.
5. Mantenimento di registri dettagliati delle chiamate o delle comunicazioni sospette. Questi registri possono essere utili per le indagini successive.
6. Sicurezza a Due Fattori (2FA) per proteggere l’accesso a informazioni sensibili.