Tempo di lettura: 8 min.
Articolo
In questo articolo ti presentiamo le tecniche e i rischi del Social Engineering. Scopri come proteggerti ed evita che un criminale entri in possesso delle tue password, del PIN della tua carta di credito e delle tue informazioni riservate.
- Cos'è il Social Engineering ?
- Phishing e spear-phishing
- Come difendersi dal Social Engineering?
I rischi del Social Engineering
Il Social Engineering (o Ingegneria Sociale) è l’arte di ingannare (manipolare) le persone attraverso tecniche di comunicazione al fine di
- ottenere un accesso non autorizzato a risorse (solitamente dati personali, come la carta di credito) e
- spingere qualcuno a compiere un’azione che porti a compromettere le informazioni riservate di un’organizzazione (come l’accesso al sistema informatico dell’azienda).
In generale, con queste tecniche i criminali studiano ed analizzano le abitudini delle persone, cioè delle potenziali vittime, al fine di ottenere informazioni utili. Ad es. sviluppano un senso di fiducia fingendo di essere un nuovo collega, un amico di vecchia data, un fornitore, un consulente,… Il più delle volte puntano ad ottenere le credenziali (username e password, o PIN della tua carta di credito) fingendo di essere la tua banca o le Poste Italiane, o a sottrarre informazioni attraverso domande specifiche.
I principali vettori di attacco utilizzati sono:
- Posta elettronica;
- Telefono;
- Social network;
- Siti internet finti.
Di seguito ti presentiamo i principali rischi del Social Engineering. Restando aggiornato sulle principali tecniche di attacco sarai in grado di non cadere in queste “trappole”.
Tipi di Social Engineering
Possiamo dividere le tecniche di Social Engineering in due principali categorie: phishing e spear-phishing. Vediamo le differenze.
Phishing
Il Phishing è un tipico attacco di social engineering che sfrutta l’interazione umana e in cui è richiesta la partecipazione attiva della vittima. Gli attacchi Phishing sono generalmente indirizzati a più persone e utilizzano le email o i siti internet falsificati per attirare le persone e indurle a fornire informazioni da utilizzare per usi illeciti. Ad esempio l’attaccante ti invia una email fingendosi la tua banca, le Poste o un’azienda finanziaria e ti indica che per un problema al tuo account devi inserire i dati di accesso (come nome utente e password) per la riattivazione dell’account.
Nella prossima immagine ti riportiamo un esempio di mail di phishing. Per maggiori dettagli su come riconoscere una mail contraffatta, leggi l’articolo sul Phishing e resta aggiornato iscrivendoti alla Newsletter per ricevere gli ultimi articoli pubblicati.
Spear-phishing
Gli attacchi Spear-phishing (“spear” sta per arpione), a differenza del phishing, sono indirizzati ad una specifica persona o azienda.
In tal caso i criminali utilizzano le informazioni di una specifica vittima prese da Internet, ad esempio dal profilo social, al fine di predisporre una email più accurata, sia nella forma che nel contenuto, aumentando la probabilità di ingannare la persona.
Spesso le campagne di Spear-phishing sono condotte verso vertici di un’organizzazione o amministratori di sistema per creare danni o sottrarre informazioni. Avrai sicuramente sentito delle email false indirizzate a dirigenti di aziende per indurli ad effettuare bonifici su un conto estero. In questo caso come riescono i criminali a ingannare le vittime? Si fingono il proprio capo che ha urgente bisogno di aiuto. Stiamo parlando di email molto accurate e inviate in un momento particolare (conoscono da Facebook che il capo dell’azienda è all’estero).
Come difendersi dal Social Engineering?
Di seguito trovi alcune raccomandazioni che potranno esserti d’aiuto per evitare di “cadere nella trappola” del criminale.
- Non rivelare informazioni personali o finanziarie o riguardanti il vostro lavoro tramite e-mail.
- Non cliccare su link e non aprite allegati se non sei certo della provenienza.
- Contattare il mittente di una e-mail ricevuta, se non si è certi della sua legittimità o del suo contenuto.
- Non fornire le tue informazioni sensibili ai siti web, accertati che abbiano le competenze per trattare le particolari categorie di dati personali (ad es. le ASL).
- Fai attenzione agli indirizzi (URL) dei siti internet. Come visto, i siti malevoli possono sembrare identici graficamente a quelli legittimi ma con più attenzione vedrai delle differenze (poste.it è diverso da postee.it).
- Controlla il sito del servizio on-line, in alcuni casi troverai pagine web dedicate al problema del phishing. Come ad esempio la pagina delle Poste Italiane che trovi qui.
Nei prossimi articoli vedremo alcuni esempi di email di phishing e presenteremo nel dettaglio quali sono i fattori da considerare per scoprire immediatamente queste truffe. Segui le nostre Categorie e guarda gli ultimi articoli pubblicati.
In conclusione ti raccomandiamo di fornire le tue informazioni solo dopo esserti accertato dell’identità dell’interlocutore e della sua necessità a richiederle.
Segui le nostre raccomandazioni e i consigli per riconoscere le vulnerabilità e le minacce. Proteggiti dagli attacchi informatici e mantieni al sicuro i tuoi dati personali attivando protezioni di sicurezza aggiornate e seguendo comportamenti adeguati.
ISCRIVITI ALLA NOSTRA NEWSLETTER
Ricevi periodicamente una mail con le ultime pillole e gli ultimi articoli pubblicati
CONDIVIDI QUESTO ARTICOLO
Contribuisci alla diffusione della cultura digitale
INVIARCI SEGNALAZIONI O RICHIEDI LA PUBBLICAZIONE DI UN ARTICOLO
LEGGI TUTTI I NOSTRI ARTICOLI
Accresci le tue conoscenze, abilità e competenze per proteggere le informazioni
