Blog/L'ABC della sicurezza online/

Comprendere l'ingegneria sociale: pro e contro

Lukas Grigas
Autore di contenuti sulla cybersicurezza
social engineering

Non tutti gli attacchi di cybersecurity sofisticati utilizzano malware o stringhe di codice. A volte sfruttano emozioni umane basilari come la paura, l'avidità, la fiducia o un senso di urgenza. Scopri come gli hacker utilizzano le tecniche di ingegneria sociale per indurti a rivelare i tuoi dati sensibili.

Contenuti:

Che cos'è l'ingegneria sociale?

L'ingegneria sociale è un insieme di diversi tipi di attacchi che sfruttano la psicologia umana per ottenere informazioni sensibili dai malcapitati. Fanno leva solitamente su emozioni come la paura, la fiducia, l'avidità, lo stress e un senso di urgenza. In preda a sentimenti così forti, la vittima perde la capacità di giudizio e diventa più propensa a rivelare informazioni che normalmente non rivelerebbe.

Gli hacker possono utilizzare varie tecniche di ingegneria sociale per ottenere dati personali, come credenziali di accesso, password, numeri di conto corrente bancario, codici fiscali e così via. Grazie a questi dati, possono accedere alla tua rete e rubare i tuoi soldi o la tua identità. Non è escluso poi che questi dettagli non vengano riutilizzati in attacchi futuri.

Agli hacker piacciono gli attacchi di ingegneria sociale perché sono più facili da eseguire rispetto a quelli malware e il loro tasso di successo è molto più elevato. Infatti, con alcune tattiche di ingegneria sociale, non hanno bisogno di scrivere nemmeno una riga di codice!

Tipologie di attacchi di ingegneria sociale

Phishing

ingegneria sociale

Gli attacchi di phishing sono probabilmente la tecnica di social hacking più comune. Questo tipo di truffe possono verificarsi su piattaforme diverse: e-mail, chat, pubblicità o siti web. Il più delle volte, gli hacker utilizzano le e-mail di phishing per spingerti a scaricare malware o a cliccare su un link pericoloso per rubare i tuoi dati. Sono pensate per attirarti con un'offerta irresistibile, spaventarti con minacce alla sicurezza o manipolare la tua fiducia.

Ecco qualche esempio di attacco di ingegneria sociale:

  • Ricevi un'e-mail che ti informa che hai vinto un milione di euro a una lotteria e che devi cliccare su un link per riscattare il premio.

  • Una banca ti contatta per un prestito che non hai mai sottoscritto e ti chiede di confermare le tue coordinate per il pagamento.

  • Un corriere ti invia una fattura e ti intima di saldarla immediatamente.

Spear phishing

Lo spear phishing è simile al phishing; tuttavia, richiede più lavoro e, di conseguenza, ha un tasso di successo più elevato. Le e-mail e le truffe di phishing possono colpire migliaia di persone di cui l'hacker non sa nulla. Con lo spear phishing, invece, l'hacker sceglie un obiettivo specifico: una persona o un'azienda. Fa quindi delle ricerche per comprendere il profilo della vittima e creare una strategia infallibile per rubarne i dati.

Ad esempio, un contabile appena arrivato in un'azienda potrebbe ricevere un'e-mail dal CEO che gli chiede di trasferire una grossa somma di denaro sul conto di un partner straniero. Nell'e-mail c'è scritto che l'operazione deve essere effettuata immediatamente. Se il nuovo dipendente non conosce le procedure abituali dell'azienda o cosa aspettarsi dal proprio capo, probabilmente trasferirà i fondi all'hacker.

Pretexting

Se il phishing gioca principalmente sulla paura umana e sul senso di urgenza, il pretexting è il contrario - gioca con la fiducia umana. Come suggerisce il nome, il pretexting utilizza un pretesto o una storia credibili che aiutano a creare un rapporto con la vittima e non lasciano spazio a dubbi. Le truffe di pretexting possono verificarsi sia online che nella vita reale. Ad esempio, un hacker può fingere di essere un revisore contabile e convincerti a lasciarlo entrare nella stanza del server. Oppure può fingere di essere il direttore della tua filiale bancaria e chiamarti chiedendo di confermare i tuoi dettagli di pagamento.

Baiting

ingegneria sociale

Nel baiting, gli hacker utilizzano un oggetto o un'offerta irresistibili per infettare il tuo dispositivo o un'intera rete. In passato, magari avrebbero potuto lasciar cadere in un parcheggio una chiavetta USB etichettata come "Salari dirigenti 4° trimestre", che avrebbe attirato l'attenzione di chiunque. Oggi, invece, è più probabile che utilizzino tecniche di baiting sulle piattaforme P2P. Vuoi scaricare un episodio di Game of Thrones di alta qualità? Ma puoi avere la certezza che non sia un Trojan?

Quid pro quo

In un attacco quid pro quo, un hacker ti propone un'offerta allettante, ma ti chiede qualcosa in cambio, di solito per scoprire i tuoi dati personali. Può essere uno "zio d'America" che non hai mai conosciuto, intenzionato a donarti una bella somma: dovrai solo dirgli i tuoi dati bancari. Oppure può trattarsi di un "esperto IT" mai contattato prima che, per dimostrarti la sua generosità, si offre di riparare il tuo laptop. Ti chiederà soltanto di autorizzarlo ad accedere da remoto al dispositivo.

Scareware

Se visiti siti web che non sono sicuri (siti HTTP anziché HTTPS), potresti imbatterti in pubblicità o banner pop-up che ti avvisano che hai un malware installato. Non si tratta di un messaggio del tuo antivirus, ma di un invito a scaricare l'unico programma in grado di rimuovere il pericoloso virus. Il problema è che il software che ti viene chiesto di scaricare è in realtà esso stesso un malware; questo è il motivo per cui si chiama scareware.

Tailgating

Il metodo tailgating può essere un po' paragonato al pretexting. Tuttavia, l’obiettivo primario del primo è di solito di entrare in un edificio sicuro, e non richiede molta ricerca. Un hacker può semplicemente seguire un dipendente o, in altre parole, fare "piggybacking", cioè ottenere un accesso non autorizzato all'edificio fingendosi, ad esempio, un fattorino. Oppure, può semplicemente seguire un dipendente che non si fa troppe domande sulla presenza di uno sconosciuto.

Come puoi proteggerti dagli attacchi di ingegneria sociale

Può sembrare difficile proteggersi da hacker di questo tipo: chiunque può cadere vittima di una truffa. Tuttavia, puoi adottare una serie di semplici misure per prevenire gli attacchi, riconoscerli e fermarli non appena si verificano.

  1. Utilizza un buon antivirus e aggiornalo costantemente.

  2. Prendi tutto con la dovuta cautela. Se l'affare ti pare troppo allettante per essere vero, probabilmente è così.

  3. Non agire d'impulso: fai le opportune verifiche prima di prendere una decisione. Se non hai la certezza che si tratti di un'offerta reale o di una richiesta legittima, contatta direttamente l'azienda o il tuo capo.

  4. Non aprire e-mail di dubbia provenienza, non cliccare su link sospetti e non scaricare allegati strani.

  5. Familiarizza con le informative sulla privacy e sulla sicurezza della tua azienda. Non permettere a estranei di entrare in aree protette: chiedi loro di darti spiegazioni della loro presenza lì.

  6. Non condividere il tuo computer con altri e bloccalo quando non lo usi.

  7. Attiva i filtri antispam con il massimo livello di protezione.

  8. Usa l'autenticazione a più fattori. In questo modo, anche se gli hacker si impossessano delle tue credenziali, non potranno accedere ai tuoi account perché dovranno superare un'ulteriore fase di conferma.

  9. Forma dipendenti e colleghi su come riconoscere gli attacchi di ingegneria sociale.

  10. Evita di condividere online i nomi di figli, animali domestici, luogo o data di nascita oppure altri dati personali.

  11. Diffida degli amici che conosci solo su internet.

  12. Utilizza password complesse e uniche, nonché un gestore di password per tenerle al sicuro.

Iscriviti alla newsletter di NordPass

Ricevi le ultime notizie e i suggerimenti di NordPass direttamente nella tua casella di posta.