Social engineering: l’arma più insidiosa dei cyber criminali

Mar 9, 2021

Prima di tutto: cosa vuol dire Social Engineering?

 

Il Social Engineering, o Ingegneria Sociale, è una tra le più sofisticate tecniche di cyber attacco. Non si basa su ransomware o virus, ma fa leva sulle debolezze dell’anello più indifeso di ogni sistema informatico: l’essere umano.

Questo insieme di tecniche permette agli hacker di insinuarsi nella vita online delle persone giocando con la loro curiosità, le loro paure o la loro vanità. L’obiettivo è spingere le persone a fidarsi di sconosciuti e a seguire indicazioni che permettono ai cyber criminali di accedere a molti dati personali.
Questi dati vengono poi sottratti dagli hacker o utilizzati per inserirsi nei sistemi aziendali senza che ci siano allarmi di sicurezza violata.
Parliamo non soltanto di tecniche sofisticate di abilità informatiche, ma anche di manipolazione della percezione delle vittime per sfruttare le loro debolezze e riuscire ad ingannarle con maggiore facilità.

Come funziona il Social Engineering?

 

Sono molte le tecniche che appartengono a questa categoria.
Tra le più note troviamo sicuramente il phishing.
Un tentativo di truffa che utilizza come veicolo l’e-mail o gli SMS. Il mittente si finge un’azienda nota, un istituto come una banca o le poste, e contatta migliaia di utenti chiedendo alle potenziali vittime di compiere azioni immediate e urgenti sul loro conto o profilo online. L’obiettivo è portare i destinatari di queste comunicazioni a condividere informazioni personali per rubarle e rivenderle nel dark web.

Sono tre i fattori chiave delle azioni di phishing:

  • il tempo: viene sempre chiesto di agire in fretta perché le questioni da risolvere sono urgenti, ad esempio problemi di accesso all’home banking o di aggiornamento dei dati inseriti
  • i temi: sono sempre questioni delicate come la sicurezza del conto corrente o il blocco della carta di credito
  • la forma: esteticamente i siti clonati dagli hacker sono molto simili a quelli ufficiali, per rendere autentica la richiesta.

Ci sono poi altre tecniche, sempre appartenenti alla famiglia del social engineering, che si stanno diffondendo:

  • il pretexting: in questo caso il contatto avviene tramite telefono e sfruttando un pretesto. Ad esempio, potremmo ricevere una chiamata da un finto dipendente della banca o della compagnia di telecomunicazioni. Durante questo contatto il cyber criminale cerca di creare empatia con la vittima per poi sottrarle informazioni personali una volta guadagnata la sua fiducia. Ad esempio, di recente alcuni clienti Vodafone hanno ricevuto delle telefonate da finti operatori dell’azienda che prima comunicavano alla vittima l’imminente scadenza della sua offerta attiva e poi cercavano di sottrarle dati personali.
  • il baiting: è un vero e proprio adescamento. Questa tecnica sfrutta la naturale curiosità umana. Si basa infatti sul lasciare incustodito ma ben visibile un dispositivo infetto, come una chiavetta usb o scheda di memoria contenente un malware. Lasciando questa esca all’interno di un’azienda, gli hacker aspettano che qualche dipendente la utilizzi per scoprire cosa contiene. In questo modo i cyber criminali infettano il dispositivo e da quello attaccare tutti i sistemi interni, ottenendo l’accesso a moltissime informazioni private;
  • il quid pro quod: offrire un aiuto in cambio di un vantaggio. Questa tecnica di social engineering prevede che l’hacker finga di aiutare i dipendenti di un’azienda in cambio di un vantaggio. Ad esempio, può presentarsi come il tecnico IT e chiedere la momentanea disattivazione dell’antivirus su un computer per installare un programma. Questo conterrà un malware che aprirà le porte dell’azienda ai cyber criminali.

Come difendersi dal social engineering?

 

Non esistono strumenti come antivirus o altri software in grado di proteggerci da queste tecniche subdole e sofisticate.

Possiamo però agire per una nostra maggiore tutela. Ad esempio, nel caso del phishing è proprio considerando i tre fattori chiave che possiamo difenderci. Con maggiore attenzione e più tempo a disposizione possiamo notare che i siti sono simili ma non uguali, che i messaggi contengono errori di battitura o di sintassi e ricordarci che normalmente non sono le e-mail o gli SMS i canali usati per contattarci dalla nostra banca o da siti di ecommerce.

Più in generale è necessaria una maggiore cultura digitale sia a livello personale sia a livello aziendale. È importante che le persone conoscano i rischi perché possano individuarli anche in autonomia.
È inoltre fondamentale che ci sia una formazione dei dipendenti sui temi della privacy e della sicurezza informatica. Bisogna imparare a diffidare dagli sconosciuti che ci chiedono informazioni personali, dalle richieste di pagamenti urgenti o aggiornamenti improvvisi dei nostri dati online.
Conoscere i rischi online ci aiuta a proteggere la nostra identità in rete e a navigare con maggiore serenità.

CybeRefund Srl - Società Benefit, Sede Legale Piazza Luigi Vittorio Bertarelli, 1 - 20122 Milano (MI)
P.I. e Cod. Fisc. 11076520961

cyberefund emblema bianco e arancione