Social Engineering
Complessità bassa
Complessità bassa
Livello sicurezza 3/5
Livello sicurezza-privacy 3/5
Tempo di lettura: 8 min.

Articolo

In questo articolo ti presentiamo le tecniche e i rischi del Social Engineering. Scopri come proteggerti ed evita che un criminale entri in possesso delle tue password, del PIN della tua carta di credito e delle tue informazioni riservate.

  • Cos'è il Social Engineering ?
  • Phishing e spear-phishing
  • Come difendersi dal Social Engineering?

I rischi del Social Engineering

Il Social Engineering (o Ingegneria Sociale) è l’arte di ingannare (manipolare) le persone attraverso tecniche di comunicazione al fine di

  • ottenere un accesso non autorizzato a risorse (solitamente dati personali, come la carta di credito) e
  • spingere qualcuno a compiere un’azione che porti a compromettere le informazioni riservate di un’organizzazione (come l’accesso al sistema informatico dell’azienda).

In generale, con queste tecniche i criminali studiano ed analizzano le abitudini delle persone, cioè delle potenziali vittime, al fine di ottenere informazioni utili. Ad es. sviluppano un senso di fiducia fingendo di essere un nuovo collega, un amico di vecchia data, un fornitore, un consulente,… Il più delle volte puntano ad ottenere le credenziali (username e password, o PIN della tua carta di credito) fingendo di essere la tua banca o le Poste Italiane, o a sottrarre informazioni attraverso domande specifiche.

I principali vettori di attacco utilizzati sono:

  • Posta elettronica;
  • Telefono;
  • Social network;
  • Siti internet finti.

Di seguito ti presentiamo i principali rischi del Social Engineering. Restando aggiornato sulle principali tecniche di attacco sarai in grado di non cadere in queste “trappole”. 

Tipi di Social Engineering

Possiamo dividere le tecniche di Social Engineering in due principali categorie: phishing e spear-phishing. Vediamo le differenze.

Phishing

Il Phishing è un tipico attacco di social engineering che sfrutta l’interazione umana e in cui è richiesta la partecipazione attiva della vittima. Gli attacchi Phishing sono generalmente indirizzati a più persone e utilizzano le email o i siti internet falsificati per attirare le persone e indurle a fornire informazioni da utilizzare per usi illeciti. Ad esempio l’attaccante ti invia una email fingendosi la tua banca, le Poste o un’azienda finanziaria e ti indica che per un problema al tuo account devi inserire i dati di accesso (come nome utente e password) per la riattivazione dell’account.

Nella prossima immagine ti riportiamo un esempio di mail di phishing. Per maggiori dettagli su come riconoscere una mail contraffatta, leggi l’articolo sul Phishing e resta aggiornato iscrivendoti alla Newsletter per ricevere gli ultimi articoli pubblicati.

poste-phishing

Spear-phishing

Gli attacchi Spear-phishing (“spear” sta per arpione), a differenza del phishing, sono indirizzati ad una specifica persona o azienda.

In tal caso i criminali utilizzano le informazioni di una specifica vittima prese da Internet, ad esempio dal profilo social, al fine di predisporre una email più accurata, sia nella forma che nel contenuto, aumentando la probabilità di ingannare la persona.

Spesso le campagne di Spear-phishing sono condotte verso vertici di un’organizzazione o amministratori di sistema per creare danni o sottrarre informazioni. Avrai sicuramente sentito delle email false indirizzate a dirigenti di aziende per indurli ad effettuare bonifici su un conto estero. In questo caso come riescono i criminali a ingannare le vittime? Si fingono il proprio capo che ha urgente bisogno di aiuto. Stiamo parlando di email molto accurate e inviate in un momento particolare (conoscono da Facebook che il capo dell’azienda è all’estero).

Come difendersi dal Social Engineering?

Di seguito trovi alcune raccomandazioni che potranno esserti d’aiuto per evitare di “cadere nella trappola” del criminale.

  • Non rivelare informazioni personali o finanziarie o riguardanti il vostro lavoro tramite e-mail.
  • Non cliccare su link e non aprite allegati se non sei certo della provenienza.
  • Contattare il mittente di una e-mail ricevuta, se non si è certi della sua legittimità o del suo contenuto.
  • Non fornire le tue informazioni sensibili ai siti web, accertati che abbiano le competenze per trattare le particolari categorie di dati personali (ad es. le ASL).
  • Fai attenzione agli indirizzi (URL) dei siti internet. Come visto, i siti malevoli possono sembrare identici graficamente a quelli legittimi ma con più attenzione vedrai delle differenze (poste.it è diverso da postee.it).
  • Controlla il sito del servizio on-line, in alcuni casi troverai pagine web dedicate al problema del phishing. Come ad esempio la pagina delle Poste Italiane che trovi qui.

Nei prossimi articoli vedremo alcuni esempi di email di phishing e presenteremo nel dettaglio quali sono i fattori da considerare per scoprire immediatamente queste truffe. Segui le nostre Categorie e guarda gli ultimi articoli pubblicati.

In conclusione ti raccomandiamo di fornire le tue informazioni solo dopo esserti accertato dell’identità dell’interlocutore e della sua necessità a richiederle.

Segui le nostre raccomandazioni e i consigli per riconoscere le vulnerabilità e le minacce. Proteggiti dagli attacchi informatici e mantieni al sicuro i tuoi dati personali attivando protezioni di sicurezza aggiornate e seguendo comportamenti adeguati.

Resta connesso!!!
mail
ISCRIVITI ALLA NOSTRA NEWSLETTER

Ricevi periodicamente una mail con le ultime pillole e gli ultimi articoli pubblicati

CONDIVIDI QUESTO ARTICOLO

Contribuisci alla diffusione della cultura digitale

INVIARCI SEGNALAZIONI O RICHIEDI LA PUBBLICAZIONE DI UN ARTICOLO
pillole informative
LEGGI TUTTI I NOSTRI ARTICOLI

Accresci le tue conoscenze, abilità e competenze per proteggere le informazioni

Ultimi articoli pubblicati
Attenzione alle False Offerte di Lavoro

Attenzione alle False Offerte di Lavoro

Attenzione, in rete circolano false offerte di lavoro nelle quali i criminali tentano di rubare il tuo documento d’identità per varie truffe. Scopri i dettagli in questa pillola.
Read More
Proteggi i messaggi, le foto e i video su WhatsApp con la crittografia end-to-end

Proteggi i messaggi, le foto e i video su WhatsApp con la crittografia end-to-end

Con la crittografia end-to-end su Whatsapp i tuoi messaggi, foto, video, messaggi vocali, documenti, aggiornamenti allo stato e chiamate non potranno essere letti da persone non autorizzate (hacker).
Read More
Perché è importante l’autenticazione a due fattori (verifica a due passaggi)?

Perché è importante l’autenticazione a due fattori (verifica a due passaggi)?

L'autenticazione a due fattori (o verifica a due passaggi) ti consente di aumentare la sicurezza del tuo account (Gmail, Outlook, Banca, Poste, ...) contro gli hacker.
Read More
Furto d’identità: la truffa con la tua carta d’identità

Furto d’identità: la truffa con la tua carta d’identità

Scopri i dettagli della truffa con la tua carta d'identità. Sono in aumento i casi di furto d'identità tramite posta elettronica
Read More
La truffa della falsa email dell’Agenzia delle Entrate

La truffa della falsa email dell’Agenzia delle Entrate

Scopri i dettagli sulla falsa email dell'Agenzia delle Entrate che sta circolando in Rete. Si tratta della nuova truffa di phishing.
Read More
Consenso e Informativa Privacy: cosa sono e quando sono obbligatori

Consenso e Informativa Privacy: cosa sono e quando sono obbligatori

Il consenso e l'informativa privacy sono obbligatori per alcuni trattamenti. Vediamo in quali casi e quali sono le tutele dei cittadini.
Read More
Aumento degli attacchi “man in the middle”. Scopri cosa sono e come difenderti.

Aumento degli attacchi “man in the middle”. Scopri cosa sono e come difenderti.

Nell’ultimo periodo la Polizia Postale ha rilevato un aumento delle truffe tramite l’attacco man in the middle. In questo articolo ti spieghiamo come riconoscere queste truffe e come difenderti.
Read More
Videosorveglianza: quando posso installare una telecamera di sicurezza

Videosorveglianza: quando posso installare una telecamera di sicurezza

L’installazione delle telecamere di sicurezza (videosorveglianza) non è sempre possibile. Nell'articolo trovi i dettagli e i vincoli normativi.
Read More