Tempo di lettura stimato: 8 min.
Articolo
In questo articolo presentiamo i rischi del Social Engineering e le raccomandazioni su come individuarle e proteggerti da queste tecniche di attacco. Evita che un criminale entri in possesso delle tue password, del PIN della tua carta di credito e delle tue informazioni riservate.
- Cos'è il Social Engineering ?
- Phishing e spear-phishing
- Come difendersi dal Social Engineering?
Cos’è il Social Engineering e quali rischi comporta?
Social Engineering o Ingegneria Sociale è l’arte di ingannare (manipolare) le persone attraverso tecniche di comunicazione per
- ottenere un accesso non autorizzato a risorse (solitamente dati personali, come la carta di credito)
- spingere qualcuno a compiere un’azione che porti a compromettere le informazioni riservate di un’organizzazione (come l’accesso al sistema informatico dell’azienda).
In generale, con queste tecniche i criminali studiano ed analizzano le abitudini delle persone, cioè delle potenziali vittime, al fine di carpirne potenziali informazioni utili.
Ad es. sviluppano un senso di fiducia fingendo di essere un nuovo collega, un amico di vecchia data, un fornitore, consulente,…
Il più delle volte puntano ad ottenere le credenziali (username e password, o PIN della tua carta di credito) fingendo di essere la tua banca o le Poste Italiane, o a sottrarre informazioni attraverso domande specifiche.
I principali vettori di attacco utilizzati sono:
- Posta elettronica;
- Telefono;
- Social network;
- Siti internet finti.
Tipi di Social Engineering
Possiamo dividere le tecniche di Social Engineering in due principali categorie: phishing e spear-phishing. Vediamo le differenze.
Phishing
Il Phishing è un tipico attacco di social engineering che sfrutta l’interazione umana e in cui è richiesta la partecipazione attiva della vittima.
Gli attacchi Phishing sono generalmente indirizzati a più persone e utilizzano le e-mail o i siti internet falsificati per attirare le persone ed indurle a fornire informazioni da utilizzare per usi illeciti.
Ad esempio l’attaccante ti invia una e-mail fingendosi la tua banca, le Poste o un’azienda finanziaria e indicando che per un problema al tuo account devi inserire i dati di accesso (come nome utente e password) per un reset della password o per la riattivazione dell’account.
Nella prossima immagine vediamo un esempio di mail di phishing. Per maggiori dettagli su come riconoscere una mail contraffatta, leggi l’articolo sul Phishing e resta aggiornato iscrivendoti alla Newsletter per ricevere gli ultimi articoli pubblicati.
Spear-phishing
Gli attacchi Spear-phishing (“spear” sta per arpione), a differenza del phishing, sono indirizzati ad una specifica persona o azienda.
In tal caso i criminali utilizzano le informazioni di una specifica vittima prese da Internet, ad esempio quelle che riguardano la vita o l’attività lavorativa dal profilo social network, al fine di predisporre una e-mail accurata, sia nella forma che nel contenuto, aumentando la probabilità di ingannare la persona.
Spesso le campagne di Spear-phishing sono condotte verso vertici di un’organizzazione, dirigenti di alto livello, amministratori di sistema per fare danni o sottrarre informazioni. Avrai sicuramente sentito di e-mail false indirizzate a dirigenti di aziende per indurli a effettuare bonifici su un conto estero, in tal caso come riescono i criminali a ingannare le vittime? Si fingono il proprio capo che ha un urgente bisogno di aiuto: stiamo parlando di e-mail molto accurate e inviate in un momento particolare (conoscono da facebook che il capo dell’azienda è all’estero).
Come difendersi dal Social Engineering?
Di seguito trovi alcune raccomandazioni che potranno esserti d’aiuto per evitare di “cadere nella trappola” del criminale.
- Non rivelare informazioni personali o finanziarie o riguardanti il vostro lavoro tramite e-mail
- Non cliccare su link e non aprite allegati se non sei certo della provenienza.
- Contattare il mittente di una e-mail ricevuta, se non si è certi della sua legittimità o del suo contenuto.
- Non fornire le tue informazioni sensibili ai siti web, accertati che abbiano le competenze per trattare le particolari categorie di dati personali (ad es. le ASL).
- Fai attenzione agli indirizzi (URL) dei siti internet. Come visto, i siti malevoli possono sembrare identici graficamente a quelli legittimi ma con più attenzione vedrai delle differenze (poste.it è diverso da postee.it).
- Controlla il sito del servizio on-line, in alcuni casi troverai pagine web dedicate al problema del phishing. Come ad esempio la pagina delle Poste Italiane che trovi qui.
Nei prossimi articoli vedremo alcuni esempi di email di phishing e presenteremo nel dettaglio quali sono i fattori da considerare per scoprire immediatamente queste truffe. Segui le nostre Categorie e guarda gli ultimi articoli pubblicati.
In conclusione, ti raccomandiamo di fornire le tue informazioni solo dopo esserti accertato dell’identità dell’interlocutore e della sua necessità a richiederle.
Segui le nostre raccomandazioni e i consigli per riconoscere le vulnerabilità e le minacce. Proteggiti dagli attacchi informatici e mantieni al sicuro i tuoi dati personali attivando protezioni di sicurezza aggiornate e seguendo comportamenti adeguati.
Resta connesso!!!
ISCRIVITI ALLA NOSTRA NEWSLETTER
Ricevi periodicamente una mail con le ultime pillole e gli ultimi articoli pubblicati
CONDIVIDI QUESTO ARTICOLO
Contribuisci alla diffusione della cultura digitale
INVIARCI SEGNALAZIONI O RICHIEDI LA PUBBLICAZIONE DI UN ARTICOLO
LEGGI TUTTI I NOSTRI ARTICOLI
Accresci le tue conoscenze, abilità e competenze per proteggere le informazioni
