Cos'è Social Engineering?
Il social engineering è una classe di tecniche di attacco che manipolano la psicologia umana — fiducia, paura, urgenza o disponibilità ad aiutare — per indurre le persone a divulgare informazioni riservate, concedere accessi non autorizzati o compiere azioni che compromettono la sicurezza.
Noto anche come: social engineering attack, pretexting
Gli attacchi di social engineering prendono di mira l'anello più debole di qualsiasi sistema di sicurezza: le persone. Le tecniche comuni includono il pretexting (inventare uno scenario per guadagnare fiducia), il baiting (offrire qualcosa di allettante come una chiavetta USB), il tailgating (seguire qualcuno attraverso una porta sicura) e il phishing (messaggi ingannevoli). Questi attacchi aggirano firewall, cifratura e controlli degli accessi sfruttando le persone che li gestiscono.
Gli attacchi di social engineering più pericolosi sono multi-fase. Un attaccante potrebbe prima raccogliere informazioni dai social network e da fonti pubbliche, poi usare quel contesto per chiamare l'helpdesk IT e convincerlo a reimpostare una password. Oppure potrebbe spacciarsi per un nuovo dipendente per indurre un collega a condividere credenziali Wi-Fi o accesso al sistema. La superficie di attacco si espande drammaticamente nelle organizzazioni dove le informazioni sensibili vengono condivise di routine attraverso canali non sicuri.
I controlli tecnici possono ridurre — ma non eliminare — il rischio di social engineering. Procedure di verifica rigorose, policy di accesso con privilegi minimi e programmi di sensibilizzazione alla sicurezza aiutano tutti. Crucialmente, minimizzare la quantità di dati sensibili che esiste in forma persistente e leggibile (email, log di chat, documenti condivisi) limita ciò che un ingegnere sociale può estrarre anche quando riesce a ingannare un obiettivo.
Come Vaulted usa Social Engineering
Vaulted limita il blast radius degli attacchi di social engineering contro i workflow di condivisione dei segreti. Poiché i link Vaulted si autodistruggono dopo un numero configurato di visualizzazioni e il server archivia solo testo cifrato senza alcuna capacità di decifrarlo (architettura zero-knowledge), un ingegnere sociale che accede a un canale di comunicazione trova solo link scaduti o dati non decifrabili. La chiave di cifratura nel frammento dell'URL e la protezione opzionale tramite passphrase aggiungono ulteriori barriere che il solo social engineering non può superare.