Cosa significa social engineering? Quali sono le tecniche usate dai cybercriminali e come possiamo imparare a difenderci? In questo articolo ti daremo le risposte a tutti questi quesiti sul social engineering!
Cosa si intende per ingegneria sociale?
Il social engineering è una pratica che mira a manipolare le persone per ottenere informazioni o influenzare i loro comportamenti. Questo termine viene spesso utilizzato nel contesto della sicurezza informatica e della protezione dei dati, ma può essere applicato anche ad altre aree, come la psicologia e la sociologia.
Nel contesto della sicurezza informatica, il social engineering si riferisce all’utilizzo di tecniche di manipolazione psicologica per ottenere accesso a informazioni riservate o sistemi informatici. Gli ingegneri sociali cercano di sfruttare la naturale tendenza delle persone ad affidarsi ad altre persone o ad essere socievoli, al fine di ottenere accesso a informazioni confidenziali come password, numeri di carta di credito o dati aziendali sensibili. Ad esempio, potrebbero impersonare un tecnico IT, un rappresentante del servizio clienti o un collega per indurre le persone a rivelare informazioni riservate o ad aprire link o allegati dannosi.
Il social engineering può anche essere utilizzata per influenzare i comportamenti delle persone al di fuori del contesto informatico. Ad esempio, i professionisti del marketing possono utilizzare tecniche di ingegneria sociale per influenzare le decisioni di acquisto dei consumatori, sfruttando fattori come la pressione sociale, l’attrazione o il desiderio di appartenenza a un determinato gruppo.
In generale, dunque, lo scopo dell’ingegneria sociale è quello di ottenere informazioni sensibili, accedere a sistemi informatici, influenzare comportamenti mediante lo studio della psicologia umana e delle dinamiche sociali più comuni. È importante essere consapevoli di tali tecniche e di come difendersi da esse, sia nel contesto della sicurezza informatica che nella vita quotidiana.
Chi è e come agisce un social engineer?
Un social engineer è un individuo che pratica l’ingegneria sociale, ovvero, come detto sopra, utilizza tecniche psicologiche per manipolare e ingannare le persone al fine di ottenere informazioni riservate, influenzare comportamenti o accedere a sistemi informatici.
Un social engineer può adottare diverse strategie per raggiungere i propri obiettivi. Alcuni esempi comuni includono tecniche di phishing, pretesti, infiltrazione fisica, manipolazione emotiva, ingegneria inversa, tecniche che dimostrano che l’ingegneria sociale fa leva sui comportamenti comuni e ricorsivi che le persone assumono.
Nel prossimo paragrafo descriveremo i più comuni esempi di sociale engineering.
Tipi di attacchi di social engineering
Ci sono diversi tipologie di attacchi di ingegneria sociale che vengono utilizzati per manipolare le persone e ottenere informazioni riservate o accesso non autorizzato a sistemi. Ecco alcuni esempi comuni.
Phishing
Gli attacchi di phishing si verificano quando i malintenzionati inviano e-mail, messaggi o chiamate telefoniche ingannevoli, fingendo di provenire da organizzazioni legittime, al fine di ottenere informazioni personali, come username, password o numeri di carta di credito.
Spear Phishing
Il spear phishing è una forma mirata di attacco di phishing in cui l’aggressore personalizza il messaggio per un individuo o un gruppo specifico, utilizzando informazioni precedentemente raccolte per rendere l’attacco più credibile. Ad esempio, potrebbero utilizzare informazioni ottenute dai social media per ingannare la vittima.
Tailgating
Nel tailgating, l’aggressore si sfrutta della cortesia delle persone per ottenere l’accesso a edifici o aree riservate. Ad esempio, potrebbe fingere di essere un dipendente che ha dimenticato la sua chiave di accesso e chiedere a un’altra persona di tenergli compagnia mentre entrano.
Pretexting
In un attacco di pretesto, l’aggressore si fa passare per qualcun altro o si presenta come un individuo o un’organizzazione di fiducia per ottenere informazioni riservate. Ad esempio, potrebbe fingere di essere un tecnico IT o un rappresentante di un’azienda per ottenere accesso ai sistemi.
Quid pro quo
In un attacco di quid pro quo, l’aggressore offre un vantaggio o un servizio in cambio di informazioni. Ad esempio, potrebbe fare una telefonata a una persona fingendo di essere un rappresentante di un’azienda di software che offre un aggiornamento gratuito, ma richiede le credenziali per “attivare” il servizio.
Scareware
L’attacco Scareware mira a spaventare gli utenti e costringerli ad agire in modo impulsivo o a fornire informazioni personali o finanziarie sensibili. Gli aggressori utilizzano tattiche ingannevoli per far credere alle vittime che i loro computer siano stati infettati da malware o che siano a rischio imminente. Questo tipo di attacco si basa sulla paura e sfrutta la mancanza di conoscenza o la mancanza di consapevolezza degli utenti riguardo alla sicurezza informatica.
Attacco Watering hole
L’attacco Watering Hole (pozzo d’acqua) è una forma sofisticata di attacco di social engineering che mira a compromettere i visitatori di un sito web legittimo sfruttando la fiducia che le persone ripongono in quel sito. Invece di mirare direttamente alle vittime desiderate, i criminali identificano un sito web frequentato regolarmente dalle loro vittime e lo compromettono inserendo codice dannoso o malware.
Il processo di attacco Watering Hole di solito segue questi passaggi.
- Identificazione del bersaglio: i cybercriminali individuano un sito web frequentato dalle loro vittime desiderate. Potrebbe essere un sito di notizie, un forum di discussione o un sito di social media.
- Compromissione del sito web: gli aggressori infiltrano il sito web compromettendo i suoi sistemi o sfruttando vulnerabilità presenti. Possono utilizzare tecniche come l’iniezione di codice malevolo (ad esempio, tramite Cross-Site Scripting) o la sostituzione dei file del sito con versioni modificate contenenti malware.
- Distribuzione del malware: una volta che il sito web è stato compromesso, i criminali inseriscono malware o codice malevolo nelle pagine del sito. Quando le persone visitano il sito compromesso, il malware viene scaricato sui loro dispositivi senza che loro se ne accorgano.
- Infezione delle vittime: i visitatori ignari del sito compromesso vengono infettati dal malware. Il malware potrebbe essere progettato per sfruttare le vulnerabilità dei loro dispositivi, rubare informazioni personali o fornire accesso remoto agli aggressori.
Ingegneria sociale inversa
Questa tecnica comporta l’aggressore che si fa passare per una vittima o un utente autorizzato al fine di ottenere accesso a informazioni o risorse. Ad esempio, un aggressore potrebbe chiamare un dipartimento IT e farsi passare per un dipendente che ha dimenticato la password, cercando di convincere l’operatore a fornire l’accesso.
Dumpster diving
Questa tecnica coinvolge l’aggressore che cerca informazioni preziose o sensibili dai rifiuti di un’organizzazione. Ad esempio, potrebbero cercare documenti gettati via contenenti informazioni come password, diagrammi di rete o piani aziendali.
Come avvengono gli attacchi di ingegneria sociale?
Gli attacchi di social engineering coinvolgono l’utilizzo di tecniche psicologiche e manipolazione per ingannare le persone e ottenere accesso a informazioni sensibili o indurre comportamenti indesiderati. Di seguito sono descritti i metodi di ingegneria sociale più utilizzati per mettere a punto un attacco.
- Raccolta di informazioni: gli aggressori iniziano raccogliendo informazioni sul loro bersaglio o sulla situazione target. Questo può includere la ricerca online, l’esplorazione dei social media, la consultazione di pubblicazioni o l’osservazione diretta delle abitudini e dei comportamenti delle persone coinvolte.
- Creazione di un’identità credibile: una volta che i criminali hanno raccolto informazioni sul bersaglio, creano un’identità o un personaggio credibile per ingannare la vittima. Possono fingere di essere un dipendente di un’azienda, un rappresentante di un’istituzione o una persona fidata nel contesto specifico.
- Guadagnare la fiducia: i malintenzionati cercano di guadagnare la fiducia della vittima sfruttando la credibilità dell’identità che hanno creato. Possono utilizzare tecniche di persuasione, come la simpatia, l’autorità o l’uso di informazioni personali raccolte in precedenza, per creare un legame e far abbassare la guardia della vittima.
- Manipolazione delle emozioni: i criminali sfruttano le emozioni della vittima per indurla a comportarsi in un certo modo. Possono utilizzare la paura, l’urgenza, la curiosità o il desiderio di aiutare per spingere la vittima a fornire informazioni sensibili o compiere azioni non sicure.
- Richiesta di informazioni o azioni: una volta che l’aggressore ha guadagnato la fiducia della vittima e ha manipolato le sue emozioni, può procedere a chiedere informazioni riservate o a indurla a compiere azioni indesiderate. Questo potrebbe includere fornire password, dati finanziari, consentire l’accesso a sistemi o eseguire determinate azioni sul computer o sulla rete.
- Mantenere l’accesso o sfruttare le informazioni: una volta ottenute le informazioni o compiute le azioni desiderate, i criminali informatici possono utilizzare queste informazioni per scopi dannosi. Possono accedere a sistemi, rubare dati sensibili, commettere frodi o perpetrare ulteriori attacchi contro la vittima o l’organizzazione di destinazione.
Come ci si difende dal social engineering?
Per difendersi efficacemente dall’ingegneria sociale, è fondamentale adottare una combinazione di misure di sicurezza tecniche e comportamentali. Ecco alcune pratiche consigliate per proteggersi da questo tipo di attacchi molto difficili da riconoscere.
- Consapevolezza: sviluppare una consapevolezza critica riguardo alle minacce del social engineering è fondamentale. Informarsi sulle tattiche e sugli esempi di attacchi di ingegneria sociale può aiutare a riconoscerli e adottare misure preventive.
- Formazione: offrire formazione e sensibilizzazione sulla sicurezza informatica a tutti i dipendenti e agli utenti. Questa formazione dovrebbe includere gli avvertimenti sulle tattiche di social engineering e suggerire comportamenti sicuri da adottare.
- Verifica delle identità: prima di fornire informazioni riservate o compiere azioni richieste, è essenziale verificare attentamente l’identità della persona o dell’organizzazione con cui si sta interagendo. Utilizzare canali di comunicazione affidabili e verificare le richieste in modo indipendente contattando direttamente l’organizzazione o la persona coinvolta.
- Protezione delle informazioni personali: evitare di condividere informazioni personali o finanziarie sensibili su canali non sicuri o con persone sconosciute. Prestare attenzione alle richieste di fornire tali informazioni attraverso e-mail, telefonate o siti web sospetti.
- Utilizzo di password robuste: utilizzare password uniche e complesse per gli account online e cambiarle regolarmente. Evitare di utilizzare password facilmente indovinabili o basate su informazioni personali facilmente accessibili.
- Aggiornamenti regolari del software: mantenere sempre il sistema operativo, le applicazioni e gli strumenti di sicurezza aggiornati con le ultime patch di sicurezza. Questo può ridurre la probabilità che gli aggressori sfruttino vulnerabilità note.
- Utilizzo di soluzioni di sicurezza affidabili: installare e mantenere un software antivirus/antimalware affidabile sul proprio sistema per rilevare e prevenire minacce informatiche.
- Controllo delle impostazioni di privacy sui social media: limitare le informazioni personali che vengono condivise sui social media e impostare le opzioni di privacy in modo appropriato per ridurre la possibilità che gli aggressori utilizzino queste informazioni a proprio vantaggio.
- Prudenza nella navigazione online: evitare di cliccare su link sospetti o di scaricare file da fonti non verificate. Prestare attenzione a messaggi o annunci che sembrano troppo buoni per essere veri.
- Monitoraggio delle attività: monitorare regolarmente le proprie attività online e bancarie per individuare eventuali attività sospette o transazioni non autorizzate.
Implementando queste pratiche e mantenendo una mentalità critica, è possibile ridurre significativamente il rischio di cadere vittima di attacchi di social engineering.