Comprendere l'ingegneria sociale: pro e contro

Cybersecurity Content Writer

Non tutti gli attacchi di cybersecurity sofisticati utilizzano malware o stringhe di codice. A volte sfruttano emozioni umane basilari come la paura, l'avidità, la fiducia o un senso di urgenza. Scopri come gli hacker utilizzano le tecniche di ingegneria sociale per indurti a rivelare i tuoi dati sensibili.

Che cos'è l'ingegneria sociale?

L'ingegneria sociale è un insieme di diversi tipi di attacchi che sfruttano la psicologia umana per ottenere informazioni sensibili dai malcapitati. Tali attacchi approfittano solitamente di emozioni come la paura, la fiducia, l'avidità, lo stress e un senso di urgenza. In preda a sentimenti così forti, la vittima perde la capacità di giudizio e diventa più propensa a rivelare informazioni che normalmente non rivelerebbe.

Gli hacker possono utilizzare varie tecniche di ingegneria sociale per ottenere dati personali, come credenziali di accesso, password, numeri di conto corrente bancario, codici fiscali e così via. Grazie a questi dati, possono accedere alla tua rete e rubare i tuoi soldi o la tua identità. Non è escluso poi che questi dettagli non vengano riutilizzati in attacchi futuri.

Agli hacker piacciono gli attacchi di ingegneria sociale perché sono più facili da eseguire rispetto a quelli malware e il loro tasso di successo è molto più elevato. Infatti, con alcune tattiche di ingegneria sociale, non hanno bisogno di scrivere nemmeno una riga di codice!

Tipologie di attacchi di ingegneria sociale

Il phishing

Il phishing è probabilmente la tecnica di social hacking più comune. Questo tipo di truffe possono verificarsi su piattaforme diverse: e-mail, chat, pubblicità o siti web. Il più delle volte, gli hacker utilizzano le e-mail di phishing per spingerti a scaricare malware o a cliccare su un link pericoloso per rubare i tuoi dati. Sono pensate per attirarti con un'offerta irresistibile, spaventarti con minacce alla sicurezza o manipolare la tua fiducia.

Ecco qualche esempio di attacco di ingegneria sociale:

  • Ricevi un'e-mail che ti informa che hai vinto un milione di euro a una lotteria e che devi cliccare su un link per riscattare il premio.

  • Una banca ti contatta per un prestito che non hai mai sottoscritto e ti chiede di confermare le tue coordinate per il pagamento.

  • Un corriere ti invia una fattura e ti intima di saldarla immediatamente.

Spear phishing

Lo Spear phishing è simile al phishing, ma è più articolato da eseguire, sebbene il tasso di successo sia più elevato. Le e-mail e le truffe di phishing possono colpire migliaia di persone di cui l'hacker non sa nulla. Con lo spear phishing, invece, l'hacker sceglie un obiettivo specifico: una persona o un'azienda. Fa quindi delle ricerche per comprendere il profilo della vittima e creare una strategia infallibile per rubarne i dati.

Ad esempio, un contabile appena arrivato in un'azienda potrebbe ricevere un'e-mail dal CEO che gli chiede di trasferire una grossa somma di denaro sul conto di un partner straniero. Nell'e-mail c'è scritto che l'operazione deve essere effettuata immediatamente. Se il nuovo dipendente non conosce le procedure abituali dell'azienda o cosa aspettarsi dal proprio capo, probabilmente trasferirà i fondi all'hacker.

Pretexting

Se il tentativo di phishing sfrutta principalmente le paure umane o un senso di urgenza, il pretexting è esattamente l'opposto: si basa infatti sulla fiducia delle persone. Come suggerisce il nome, il pretexting utilizza un pretesto o una storia credibili che aiutano a creare un rapporto con la vittima e non lasciano spazio a dubbi. Le truffe di pretexting possono verificarsi sia online che nella vita reale. Ad esempio, un hacker può fingere di essere un auditor e convincerti a farlo entrare nella stanza dei server oppure farti credere che è il tuo gestore bancario e chiamarti per chiederti di confermare le tue coordinate per i pagamenti.

Baiting

Nel baiting, gli hacker utilizzano un oggetto o un'offerta irresistibili per infettare il tuo dispositivo o un'intera rete. In passato, magari avrebbero potuto lasciar cadere in un parcheggio una chiavetta USB etichettata come "Salari dirigenti 4° trimestre", che avrebbe attirato l'attenzione di chiunque. Oggi, invece, è più probabile che utilizzino tecniche di baiting sulle piattaforme P2P. Vorresti scaricare un episodio in HD de Il Trono di Spade, ma come fai a sapere a priori che non si tratti di un trojan?

Quid pro quo

In un attacco quid pro quo, un hacker ti propone un'offerta allettante, ma ti chiede qualcosa in cambio, di solito per scoprire i tuoi dati personali. Può essere uno "zio d'America" che non hai mai conosciuto, intenzionato a donarti una bella somma: dovrai solo dirgli i tuoi dati bancari. Oppure può trattarsi di un "esperto IT" mai contattato prima che, per dimostrarti la sua generosità, si offre di riparare il tuo laptop. Ti chiederà soltanto di autorizzarlo ad accedere da remoto al dispositivo.

Scareware

Se visiti siti web che non sono sicuri (siti HTTP anziché HTTPS), potresti imbatterti in pubblicità o banner pop-up che ti avvisano che hai un malware installato. Non si tratta di un messaggio del tuo antivirus, ma di un invito a scaricare l'unico programma in grado di rimuovere il pericoloso virus. Il problema è che il software che ti viene chiesto di scaricare è in realtà un malware, da cui il nome scareware.

Tailgating

Questo metodo può essere in qualche modo paragonato al pretexting, ma l'obiettivo principale dell'hacker è solitamente quello di introdursi in un edificio protetto da misure di sicurezza. Inoltre, questo attacco non richiede molte indagini. Un hacker può semplicemente seguire un dipendente o, in altre parole, fare "piggybacking", cioè ottenere un accesso non autorizzato all'edificio fingendosi, ad esempio, un fattorino. Oppure, può semplicemente seguire un dipendente che non si fa troppe domande sulla presenza di uno sconosciuto.

Come puoi proteggerti dagli attacchi di ingegneria sociale

Può sembrare difficile proteggersi da hacker di questo tipo: chiunque può cadere vittima di una truffa. Tuttavia, puoi adottare una serie di semplici misure per prevenire gli attacchi, riconoscerli e fermarli non appena si verificano.

  1. Utilizza un buon antivirus e aggiornalo costantemente.

  2. Non fidarti mai completamente: se sembra troppo bello per essere vero, probabilmente è una truffa.

  3. Non agire d'impulso: fai le opportune verifiche prima di prendere una decisione. Se non hai la certezza che se si tratti di un'offerta reale o di una richiesta legittima, contatta direttamente l'azienda o il tuo capo.

  4. Non aprire e-mail di dubbia provenienza, non cliccare su link sospetti e non scaricare allegati strani.

  5. Familiarizza con le informative sulla privacy e sulla sicurezza della tua azienda. Non permettere a estranei di entrare in aree protette: chiedi loro di darti spiegazioni della loro presenza lì.

  6. Non condividere il tuo computer con altri e bloccalo quando non lo usi.

  7. Attiva i filtri antispam con il massimo livello di protezione.

  8. Usa l{link1}. In questo modo, anche se gli hacker si impossessano delle tue credenziali, non potranno accedere ai tuoi account perché dovranno superare unulteriore fase di conferma.

  9. Forma dipendenti e colleghi su come riconoscere gli attacchi di ingegneria sociale.

  10. Evita di condividere online i nomi di figli, animali domestici, luogo o data di nascita oppure altri dati personali.

  11. Diffida degli amici che conosci solo su internet.

  12. Utilizza password complesse e uniche, nonché un Password Manager per tenerle al sicuro.

Scopri di più sulla cybersecurity e su come proteggere le password iscrivendoti alla nostra newsletter mensile gratuita che trovi qui di seguito.

Iscriviti alla newsletter di NordPass

Ricevi le ultime notizie e i suggerimenti di NordPass direttamente nella tua casella di posta.