Site icon Panda Security Mediacenter

Attenzione al social engineering

social engineering

Scopriamo cos’è l’ingegneria sociale, chi è a rischio e come proteggerci

Il social engineering, in italiano ingegneria sociale, è lo studio del comportamento di una persona per carpirne i dati personali con l’inganno. I cosiddetti ingegneri sociali sono truffatori di professione dotati di talento e creatività, che sfruttano vari meccanismi psicologici e le informazioni reperibili su una persona per spingerla a rivelare dati sensibili personali o dell’azienda per cui lavora. Con questi dati, il truffatore realizzerà azioni illecite di vario tipo in base ai propri obiettivi, dal furto di denaro ai danni all’immagine o all’infrastruttura dell’azienda.

In questo post descriveremo in modo approfondito il social engineering, spiegheremo chi è a rischio e come fare a proteggersi da questo tipo di truffe.

Caso reale di ingegneria sociale

Per capire meglio cosa sia il social engineering, partiamo da un esempio reale: nel 2013, l’attore Erik Stolhanske accettò che l’esperto di cybersicurezza Brandan Geise provasse ad hackerare il suo account Twitter. Geise non solo riuscì nell’intento, ma, avvalendosi di tattiche di ingegneria sociale, ebbe accesso ad altri account del famoso attore americano, tra cui quelli di Amazon, Apple e Dropbox (leggi la storia completa). Sintetizzando, le cose andarono in questo modo: Geise cercò informazioni sulla vittima, trovò il suo account Amazon, chiamò la compagnia spacciandosi per Stolhanske, registrò una nuova carta di credito e, durante una seconda telefonata, disse di aver perso i dati di accesso e volerli recuperare. Per autenticarsi, l’agente di Amazon gli chiese le ultime quattro cifre della carta di credito (che Geise aveva appena aggiunto) e di dirgli il nome di un articolo comprato recentemente, che Geise riuscì a indovinare grazie alle ricerche che aveva svolto prima: un cofanetto di DVD di Game of Thrones.

Questo è il social engineering: un mix di talento, improvvisazione, ricerca, competenze informatiche e, a volte, un pizzico di fortuna! Con i dati di accesso dell’account Amazon, Geise ebbe accesso agli altri profili online di Stolhanske, tra cui quello di Twitter, e vinse la scommessa.

In questo caso, l’hacker ha utilizzato le informazioni che aveva trovato sulla vittima e il suo talento per la recitazione per convincere l’agente del servizio di assistenza di Amazon. Altre volte, i criminali utilizzano malware o altri strumenti per rubare le informazioni iniziali e fanno leva su altri meccanismi psicologici per convincere la vittima a partecipare suo malgrado alla truffa. Vediamo come.

Attacchi di social engineering

Le truffe di ingegneria sociale seguono questi passaggi:

    1. Selezione della vittima. In base all’obiettivo della truffa, il criminale sceglie la vittima adeguata, ad esempio un segretario o un agente di sicurezza di un’impresa.
    2. Creare una relazione con la vittima. Nella maggior parte dei casi il contatto avviene per telefono. A seconda dell’attacco, il truffatore può avere bisogno di creare un vincolo di fiducia con la vittima, seppure superficiale, senza il quale sarebbe impossibile estorcerle le informazioni.
    3. Richiesta delle informazioni. Una volta creata la relazione, il criminale adotta diverse tecniche psicologiche per convincere la vittima a rivelare le informazioni che gli interessano attraverso un’azione che normalmente non compierebbe.

La quarta fase è la truffa vera e propria ed è qui che entrano in gioco le doti di recitazione e manipolazione del truffatore, che per ottenere le informazioni può far leva su diversi meccanismi psicologici:

Social engineering e sicurezza informatica

Oltre alle proprie abilità come attori e truffatori, gli ingegneri sociali hanno a disposizione varie tecnologie, le principali sono il phishing, il baiting e la spazzatura informatica. Con le email e i siti di phishing, facendo leva su un misto di paura e ignoranza della vittima, un hacker può portarla a installare malware sul computer o comunicare indirettamente dati personali. Il baiting, invece, consiste nel lanciare un’esca, ad esempio lasciare una chiavetta USB incustodita che, facendo leva sulla curiosità e il desiderio, la vittima connetterà al proprio sistema informatico diffondendo il trojan installato su di essa. Infine, molte persone non smaltiscono adeguatamente i rifiuti informatici, ad esempio un hard disk rotto o un portatile vecchio, e da questi componenti è possibile estrarre moltissimi dati… basta essere un hacker e avere cattive intenzioni!

Un’altra tattica impiegata dai truffatori contemporanei è il montaggio audio di risposte estorte con l’inganno in conversazioni fasulle. Ne è un esempio la truffa del sì, che abbiamo trattato nel nostro articolo su finti call center e truffe telefoniche.

Vittime dell’ingegneria sociale

Chi è a rischio? In linea di massima tutti, perché ci sono hacker interessati solo a causare danni agli utenti o ai loro sistemi e che in questo caso vengono chiamati cracker. Statisticamente però, sono più a rischio i dipendenti di imprese di grandi dimensioni, in cui è più facile trovare vulnerabilità e i potenziali profitti di una truffa sono molto maggiori rispetto a quelle contro singoli individui e piccole imprese (spionaggio industriale, ransomware, trasferimenti di fondi e così via).

Tuttavia, ultimamente il settore della sicurezza ha registrato un aumento dei microattacchi, cioè quelli diretti a privati. Il motivo di questo incremento è che gli utenti hanno sistemi di sicurezza meno potenti e sono meno informati, inoltre con loro gli hacker possono utilizzare strumenti di attacco a tappeto, moltiplicando le probabilità di successo. Per questo motivo, di seguito ti proponiamo i nostri consigli per proteggerti dagli attacchi di ingegneria sociale.

Come difendersi dal social engineering

La parola d’ordine è diffidare. Come ha detto anche Frank Abbagnale, truffatore famoso e pentito, passato dalla parte dei buoni: “le persone devono essere più consapevoli dei rischi e deve esserci maggiore informazione sui furti d’identità. Siate più attenti e anche un po’ più furbi, non c’è nulla di male nell’essere diffidenti”.

Ecco allora i nostri consigli per prevenire gli attacchi di ingegneria sociale:

Per chi lavora in un’impresa:

  1. Creare protocolli e procedure di sicurezza per i dati sensibili e a rischio
  2. Sensibilizzare il personale sulla sicurezza
  3. Provare le procedure
  4. Smaltire adeguatamente i rifiuti informatici
  5. In caso di attacco, chiedere aiuto alle autorità (non tutti sanno che le attività di social engineering sono riconosciute come reati e punite come tali).

In conclusione, ora che abbiamo spiegato che cos’è l’ingegneria sociale, come funziona un attacco e cosa possiamo fare per proteggerci, speriamo di averti trasmesso il nostro messaggio più importante: fai sempre attenzione a come tratti i tuoi dati personali.

Buona navigazione al riparo dagli ingegneri sociali!

</a

Exit mobile version