Social Engineering
Complessità bassa
Complessità bassa
Livello sicurezza 3/5
Livello sicurezza 3/5

Tempo di lettura stimato: 8 min.

Articolo

In questo articolo presentiamo i rischi del Social Engineering e le raccomandazioni su come individuarle e proteggerti da queste tecniche di attacco. Evita che un criminale entri in possesso delle tue password, del PIN della tua carta di credito e delle tue informazioni riservate.

  • Cos'è il Social Engineering ?
  • Phishing e spear-phishing
  • Come difendersi dal Social Engineering?

Cos’è il Social Engineering e quali rischi comporta?

Social Engineering o Ingegneria Sociale è l’arte di ingannare (manipolare) le persone attraverso tecniche di comunicazione per

  • ottenere un accesso non autorizzato a risorse (solitamente dati personali, come la carta di credito)
  • spingere qualcuno a compiere un’azione che porti a compromettere le informazioni riservate di un’organizzazione (come l’accesso al sistema informatico dell’azienda).

In generale, con queste tecniche i criminali studiano ed analizzano le abitudini delle persone, cioè delle potenziali vittime, al fine di carpirne potenziali informazioni utili.

Ad es. sviluppano un senso di fiducia fingendo di essere un nuovo collega, un amico di vecchia data, un fornitore, consulente,…

Il più delle volte puntano ad ottenere le credenziali (username e password, o PIN della tua carta di credito) fingendo di essere la tua banca o le Poste Italiane, o a sottrarre informazioni attraverso domande specifiche.

I principali vettori di attacco utilizzati sono:

  • Posta elettronica;
  • Telefono;
  • Social network;
  • Siti internet finti.

Tipi di Social Engineering

Possiamo dividere le tecniche di Social Engineering in due principali categorie: phishing e spear-phishing. Vediamo le differenze.

Phishing

Il Phishing è un tipico attacco di social engineering che sfrutta l’interazione umana e in cui è richiesta la partecipazione attiva della vittima.

Gli attacchi Phishing sono generalmente indirizzati a più persone e utilizzano le e-mail o i siti internet falsificati per attirare le persone ed indurle a fornire informazioni da utilizzare per usi illeciti.

Ad esempio l’attaccante ti invia una e-mail fingendosi la tua banca, le Poste o un’azienda finanziaria e indicando che per un problema al tuo account devi inserire i dati di accesso (come nome utente e password) per un reset della password o per la riattivazione dell’account.

Nella prossima immagine vediamo un esempio di mail di phishing. Per maggiori dettagli su come riconoscere una mail contraffatta, leggi l’articolo sul Phishing e resta aggiornato iscrivendoti alla Newsletter per ricevere gli ultimi articoli pubblicati.

poste-phishing

Spear-phishing

Gli attacchi Spear-phishing (“spear” sta per arpione), a differenza del phishing, sono indirizzati ad una specifica persona o azienda.

In tal caso i criminali utilizzano le informazioni di una specifica vittima prese da Internet, ad esempio quelle che riguardano la vita o l’attività lavorativa dal profilo social network, al fine di predisporre una e-mail accurata, sia nella forma che nel contenuto, aumentando la probabilità di ingannare la persona.

Spesso le campagne di Spear-phishing sono condotte verso vertici di un’organizzazione, dirigenti di alto livello, amministratori di sistema per fare danni o sottrarre informazioni. Avrai sicuramente sentito di e-mail false indirizzate a dirigenti di aziende per indurli a effettuare bonifici su un conto estero, in tal caso come riescono i criminali a ingannare le vittime? Si fingono il proprio capo che ha un urgente bisogno di aiuto: stiamo parlando di e-mail molto accurate e inviate in un momento particolare (conoscono da facebook che il capo dell’azienda è all’estero).

Come difendersi dal Social Engineering?

Di seguito trovi alcune raccomandazioni che potranno esserti d’aiuto per evitare di “cadere nella trappola” del criminale.

  • Non rivelare informazioni personali o finanziarie o riguardanti il vostro lavoro tramite e-mail
  • Non cliccare su link e non aprite allegati se non sei certo della provenienza.
  • Contattare il mittente di una e-mail ricevuta, se non si è certi della sua legittimità o del suo contenuto.
  • Non fornire le tue informazioni sensibili ai siti web, accertati che abbiano le competenze per trattare le particolari categorie di dati personali (ad es. le ASL).
  • Fai attenzione agli indirizzi (URL) dei siti internet. Come visto, i siti malevoli possono sembrare identici graficamente a quelli legittimi ma con più attenzione vedrai delle differenze (poste.it è diverso da postee.it).
  • Controlla il sito del servizio on-line, in alcuni casi troverai pagine web dedicate al problema del phishing. Come ad esempio la pagina delle Poste Italiane che trovi qui.

Nei prossimi articoli vedremo alcuni esempi di email di phishing e presenteremo nel dettaglio quali sono i fattori da considerare per scoprire immediatamente queste truffe. Segui le nostre Categorie e guarda gli ultimi articoli pubblicati.

In conclusione, ti raccomandiamo di fornire le tue informazioni solo dopo esserti accertato dell’identità dell’interlocutore e della sua necessità a richiederle.

Segui le nostre raccomandazioni e i consigli per riconoscere le vulnerabilità e le minacce. Proteggiti dagli attacchi informatici e mantieni al sicuro i tuoi dati personali attivando protezioni di sicurezza aggiornate e seguendo comportamenti adeguati.

Resta connesso!!!

mail

ISCRIVITI ALLA NOSTRA NEWSLETTER

Ricevi periodicamente una mail con le ultime pillole e gli ultimi articoli pubblicati

CONDIVIDI QUESTO ARTICOLO

Contribuisci alla diffusione della cultura digitale

INVIARCI SEGNALAZIONI O RICHIEDI LA PUBBLICAZIONE DI UN ARTICOLO

pillole informative

LEGGI TUTTI I NOSTRI ARTICOLI

Accresci le tue conoscenze, abilità e competenze per proteggere le informazioni

Ultimi articoli pubblicati

Cambia la privacy e la sicurezza in Chrome: scopri i dettagli

Cambia la privacy e la sicurezza in Chrome: scopri i dettagli

Scopri come cambia la privacy e la sicurezza in Chrome. Un nuovo aggiornamento consente una migliore gestione per la protezione dei tuoi dati personali e la tua sicurezza.
Leggi
Cosa sono i cookies del browser, scopri i rischi e le potenzialità

Cosa sono i cookies del browser, scopri i rischi e le potenzialità

Scopri cosa sono i cookies del browser, quali sono i rischi e quali le potenzialità di questi file utilizzati da buona parte dei siti web.
Leggi
Carta di credito rubata o clonata – Cosa puoi fare

Carta di credito rubata o clonata – Cosa puoi fare

Cosa fare quando la nostra carta di credito è stata rubata o clonata. Quali azioni intraprendere prima e dopo per tutelarci dai furti sul nostro conto.
Leggi
Truffa WhatsApp dei buoni Ikea in regalo

Truffa WhatsApp dei buoni Ikea in regalo

Attenzione a un messaggio truffa sulla chat WhatApp che promette buoni Ikea da 250 euro. Si tratta di una truffa per rubare i tuoi dati.
Leggi
Cos’è una rete informatica?

Cos’è una rete informatica?

Cos'è una rete informatica (o rete di calcolatori) e quali sono le diverse tipologie a seconda del mezzo trasmissivo, topologia o protocollo. Leggi la definizione e le caratteristiche in questo articolo.
Leggi
La differenza tra dato e informazione

La differenza tra dato e informazione

Per comprendere fino in fondo il significato delle raccomandazioni e dei diritti del cittadino è importante conoscere la differenza tra dato e informazione. In questa pillola descriviamo brevemente questa differenza.
Leggi
EasyJet, violazione dei dati personali degli utenti

EasyJet, violazione dei dati personali degli utenti

Ti informiamo sul maxi attacco subito da EasyJet e sui rischi per i tuoi dati personali. Inoltre ti indichiamo alcune raccomandazioni per tutelarti da possibili truffe.
Leggi
Le truffe informatiche durante l’epidemia di Coronavirus (covid-19)

Le truffe informatiche durante l’epidemia di Coronavirus (covid-19)

Scopri le truffe informatiche durante il Coronavirus (Covid-19) che stanno ingannando diverse vittime sfruttando le paure e le necessità dei cittadini. Leggi i consigli su come difenderti con alcune semplici accortezze.
Leggi