🚨 Il regolamento NIS2 è ora in vigore. La sensibilizzazione alla sicurezza è ora un obbligo di legge nell'UE.

Verifica della conformità
Iniziare la prova gratuita
Torna al Centro risorse

Che cos'è il "baiting" nel campo della sicurezza informatica? Come funzionano gli attacchi di tipo "bait" su Internet

Il baiting è una delle tecniche di ingegneria sociale più antiche ed efficaci nel campo della sicurezza informatica, nonché una delle meno discusse. Mentre il phishing sfrutta l’urgenza e il vishing la fiducia, il baiting sfrutta qualcosa di ancora più fondamentale: la curiosità. Un aggressore mette qualcosa di allettante sulla strada di una potenziale vittima e aspetta che la natura umana faccia il resto. Capire cos'è il baiting, come funziona online e fisicamente, e perché continua a funzionare nonostante l'ampia consapevolezza delle minacce informatiche è il primo passo per proteggere la tua organizzazione da esso.

Che cos'è il baiting?

Il baiting è un attacco di ingegneria sociale in cui un aggressore utilizza un'esca allettante o che suscita curiosità, la "esca", per indurre una vittima a compiere un'azione che compromette la sua sicurezza o quella della sua organizzazione. L'esca può essere digitale o fisica, e l'obiettivo è sempre lo stesso: indurre la vittima a compiere un'azione che altrimenti non compirebbe.

Il termine deriva dall'idea della pesca: mettere l'esca sull'amo e aspettare. Nel campo della sicurezza informatica, l'amo è un malware, una pagina che raccoglie credenziali o un punto di accesso a una rete. L'esca è tutto ciò che l'autore dell'attacco ritiene irresistibile per la vittima: software gratuito, una chiavetta USB trovata per caso, un link per il download "esclusivo", la notifica di un premio.

Ciò che distingue il baiting dagli altri attacchi di ingegneria sociale è che non richiede un contatto diretto tra l'autore dell'attacco e la vittima. L'autore dell'attacco prepara la trappola e aspetta. Ciò lo rende scalabile: un'esca ben posizionata può raggiungere centinaia di persone ed è più difficile da ricondurre a un autore specifico rispetto al phishing o al vishing.

Esche su Internet: come funzionano le esche online

Le esche su Internet assumono molte forme. Ciò che le accomuna è il fatto che offrono qualcosa che la vittima desidera, per poi fornirle qualcosa che non ha richiesto. Tra le forme più comuni di esche su Internet figurano:

  • Download gratuiti di software o contenuti multimediali. Un sito web offre una versione gratuita di un software a pagamento, un film, un gioco o uno strumento. Il download contiene malware integrato nel contenuto promesso o al suo posto. La vittima lo installa volontariamente.
  • Notifiche relative a premi o ricompense. Finestre pop-up o e-mail annunciano che l'utente ha vinto un premio, ha diritto a un rimborso o è il millesimo visitatore. Cliccando sul link si viene reindirizzati a una pagina volta a sottrarre le credenziali di accesso o si avvia il download di malware.
  • Falsi annunci di lavoro o opportunità professionali. Rivolti a figure professionali, in particolare tramite LinkedIn o e-mail, questi messaggi ingannevoli promettono opportunità in cambio di un clic su un link, dell’apertura di un allegato o della compilazione di un modulo, che serve a raccogliere dati personali o aziendali.
  • Link basati sulla curiosità. Un link condiviso via e-mail, messaggistica o social media che promette qualcosa di provocatorio, esclusivo o di interesse personale. «La tua foto è stata condivisa», «Scopri chi ha visualizzato il tuo profilo», «Documento trapelato su [la tua azienda]». Il destinatario clicca perché la curiosità ha la meglio sulla cautela.
  • Falsi avvisi di sicurezza. Una finestra pop-up avverte che il dispositivo è infetto e invita l'utente a scaricare uno "strumento di riparazione". Lo strumento in questione è il malware.

Le tecniche di "baiting" su Internet funzionano perché raggiungono il pubblico proprio dove si trova, mentre naviga, scorre le pagine o scarica contenuti, e offrono qualcosa che sembra una ricompensa, non un rischio.

Esche fisiche: l’USB drop e oltre

Non tutte le operazioni di esca avvengono online. L'esca fisica, che consiste nel lasciare dispositivi o supporti infetti in luoghi dove i destinatari possano trovarli, è una tecnica di attacco ben documentata e costantemente efficace. La forma più comune è quella del "USB drop".

Un hacker lascia una o più chiavette USB in un luogo dove i dipendenti dell'organizzazione presa di mira potrebbero trovarle: un parcheggio, la reception, una sala riunioni, un bagno. Spesso la chiavetta è etichettata in modo da suscitare curiosità, ad esempio con scritte del tipo «Dati salariali T3», «Riservato» o «Foto della festa». Un dipendente la trova, la collega a un dispositivo aziendale per vedere cosa contiene ed esegue il payload dell'hacker.

Diversi studi hanno ripetutamente dimostrato che una percentuale significativa di persone che trova una chiavetta USB sconosciuta la collega al proprio dispositivo. L'etichetta aumenta ulteriormente questa probabilità. Le esche fisiche sono efficaci proprio perché aggirano tutti i sistemi di sicurezza della posta elettronica, i filtri web e i controlli sugli endpoint in cui un'organizzazione ha investito, e si basano esclusivamente sul fatto che una persona agisca come farebbe chiunque trovando qualcosa che potrebbe risultare interessante.

Esche vs phishing vs altre tecniche di ingegneria sociale: differenze fondamentali

Tecnica Fattore scatenante principale È necessario fornire i propri dati di contatto Canale
Esca Curiosità, avidità, egoismo No, l'aggressore tende una trappola e aspetta Online (download, link) o su supporto fisico (USB)
Phishing Urgenza, paura, autorità Indiretto (e-mail inviata al destinatario) E-mail, messaggistica
Vishing Fiducia, autorevolezza, urgenza Sì, una telefonata in diretta Voce / telefono
Pretestuosità Fiducia in un'identità inventata Sì, interazione diretta Via e-mail, per telefono, di persona
Dare e avere Reciprocità, dare e avere Sì, l'autore dell'attacco avvia l'offerta Telefono, e-mail

Per una panoramica dei diversi tipi di attacchi di phishing, consultare la sezione dedicata ai diversi tipi di attacchi di phishing.

Come proteggere la tua organizzazione dal baiting

Le misure tecniche sono utili: disattivare l'esecuzione automatica delle chiavette USB, bloccare le fonti di download non attendibili, applicare filtri web; tuttavia, risolvono solo in parte il problema. Il fulcro delle tecniche di baiting risiede in una decisione umana: prendere l'oggetto, cliccarci sopra, collegarlo. L'unica protezione affidabile contro tale decisione è un dipendente che si ferma a riflettere prima di agire.

Quella pausa è un comportamento acquisito. Una formazione sulla sicurezza informatica che affronti scenari di adescamento fornisce ai dipendenti gli strumenti mentali per riconoscere un'esca, sia online che nella vita reale, e metterla in discussione invece di agire d'impulso. Abitudini fondamentali da sviluppare:

  • Non collegare mai un dispositivo USB sconosciuto, indipendentemente da dove sia stato trovato o da cosa sia indicato sull'etichetta. Consegnalo al reparto IT.
  • Le offerte online che sembrano «troppo belle per essere vere». Software gratuiti, notifiche di premi inaspettati e download esclusivi sono chiari segnali di truffa.
  • Verificare prima di scaricare. I dipendenti che controllano la provenienza di un download confrontandola con un elenco di siti affidabili corrono un rischio notevolmente minore di installare malware tramite tecniche di baiting.
  • Segnalate, non ignorate. Vale la pena segnalare una chiavetta USB trovata o una richiesta di download sospetta. Rendere normale questa pratica permette ai team di sicurezza di ricevere un preavviso tempestivo.

Il baiting sfrutta ciò che rende le persone efficaci in altri contesti: curiosità, apertura mentale e disponibilità. La formazione sulla consapevolezza non cerca di eliminare queste caratteristiche, ma insegna alle persone quando è opportuno adottare un ulteriore grado di scetticismo prima di agire sulla base di esse.

Formare i dipendenti affinché sappiano riconoscere le esche

Prima che la curiosità diventi una breccia.

Richiedi una demo
Dinela Lokvancic
Dinela Lokvancic Specialista di marketing Dinela mantiene aggiornata la presenza online di Guardey. Crea contenuti che rendono accessibili argomenti complessi relativi alla sicurezza informatica e aiuta le organizzazioni a comprendere perché la formazione sulla consapevolezza della sicurezza è importante per i loro team.
PRONTO A INIZIARE?

Unisciti alle oltre 500 aziende che già proteggono i propri team con Guardey

Inizia la tua prova gratuita di 14 giorni
14 giorni gratis · Nessuna carta di credito richiesta · Accesso completo · Configurazione in 5 minuti
Oppure prenota una demo personalizzata