Social Engineering; cos’è e come proteggersi

Oggigiorno esistono molte modalità di attacco informatico, tecniche sempre più raffinate e che vogliono carpire informazioni al fine di accedere ai dati personali o sensibili. Per questo nel 2019 è stato approvato il Cybersecurity Act, che mira a rafforzare la resilienza dell’Unione Europea agli attacchi informatici, a creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi così da accrescere la fiducia dei consumatori nelle tecnologie digitali. Questo documento serve dare delle linee guida univoche per poter fronteggiare ogni tipo di attacco.
Quando si parla di attacco informatico, infatti, possiamo andare incontro a:

1. Il Phishing
2. Il Malware
3. Attacco Man in the Middle
4. SQL injection
5. Attacco Denial-of-Service

Questi sono solo alcune delle tipologie di aggressione informatica che posiamo subire, per questo è fondamentale avere una preparazione in materia, saper riconoscere immediatamente un attacco e sapersi muovere in modo corretto.

Cos’è il Social Engineering 

Tra gli attacchi più frequenti ci sono quelli che sfruttano il Social Engineering, lo studio dei comportamenti degli utenti per manipolarli e carpire informazioni utili. In questo caso gli hacker fanno leva proprio sul lato psicologico delle persone più facili da manipolare per indurle a rivelare le proprie password, altri dati personali, codici di accesso e per violare i sistemi informatici.
Questa tecnica sfrutta quindi la debolezza psicologica delle persone attraverso strategie studiate basate su elementi ben precisi, come l’autorevolezza che l’impostore può assumersi incarnando nuove personalità, facendo leva così sul malcapitato; il senso di colpa che si può instillare nell’utente per indurlo a compiere le azioni richieste; l’ignoranza dell’utente che non conoscendo i rischi potrà essere condotto facilmente all’azione richiesta; ma anche il panico, che può scattare nella vittima a causa dell’urgenza o del pericolo portandolo a fare le cose senza pensarci, cadendo così nella trappola dell’hacker.
Gli attacchi che fruttano l’ingegneria sociale si suddividono in diverse fasi:

Footprint o studio della vittima

Gli hacker prima di avviare la truffa sono soliti prendere informazioni sulla vittima: nel caso di una persona fisica indagheranno attraverso social o analizzando ciò che si trova online per risalire a informazioni utili come l’indirizzo e-mail il numero di telefono. Nel caso di un’azienda, invece, questa fase diventa più complessa. Per riuscire ad arrivare ai dati utili l’hacker proverà ad ingannare un dipendente di basso livello per poter avere le informazioni necessarie.

La fase di verifica

Durante la fase di verifica il cyber criminale testerà le informazioni che è riuscito ad ottenere per provare la loro veridicità e per prendere un primo contatto con la vittima. Questo lo può fare telefonicamente o attraverso un primo scambio di mail o messaggi.

 Sfruttamento

In questa fase l’attaccante instaura una relazione con la vittima, guadagnandosi la sua fiducia, portandola così verso la fase finale.

Attacco

La fase di attacco è ovviamente quella più cruciale, quella che porterà a termine la truffa. Nel caso di vishing (il phishing telefonico) scatterà la telefonata dove l’impostore proverà a raggirare il malcapitato per farsi consegnare ciò che vuole.

Se ti interessa approfondire il phishing leggi anche: Cybersicurezza; perché fare attenzione alle Email 

Le tipologie di attacco che sfruttano questa tecnica sono davvero numerose e vanno dalle truffe telefoniche a quelle tramite mail:

• Phishing, consiste nell’inviare mail fake contenenti comunicazioni fraudolente che sembrano provenire da una fonte reale.
• Spear phishing, il phishing rivolto solo a gruppi di destinatari più contenuti e specifici.
• Vishing e smishing, in questo caso il truffatore utilizza la telefonata o l’invio di messaggi.
• Pretexting che sfrutta un pretesto o una promessa fasulla, per avere i dati in cambio.
• Baiting, utilizza mezzi fisici, come una chiavetta, per installare un malware per dare all’hacker la possibilità di accedere ai dati che vuole.
• Spam dei contatti. I cyber criminali mandano un messaggio spam con un oggetto informale a tutti i contatti. Questi saranno indotti ad approfondire attraverso un link, che una volta cliccato invierà lo stesso messaggio a tutti i contatti del malcapitato, facendo, così, partire una catena.
• Quid pro quo, il classico caso del finto tecnico, o operatore telematico che chiede gli accessi per un controllo di sicurezza, per poi installare un virus nel tuo computer.
• QRcode malevoli, codici che scansioni possono attaccare il tuo dispositivo.
• Notifiche push malevole, notifiche create dagli hacker che una volta cliccate portano all’installazione di un virus o alla visualizzazione di una pagina web dannosa.
• Finte collaborazioni, l’hacker invia mail con finti allegati, così il mal capitato invece di collaborare con un collega si infetterà il computer;
• Deepfake, il cyber criminale simula l’aspetto fisico o il tono di voce di una persona fidata inducendo la vittima a compiere azioni e a rivelare informazioni sensibili che entreranno in possesso del criminale.

Come proteggersi dal Social Engineering

Non esistono regole o strumenti che possano proteggerci dagli attacchi che si basano sul social engineering, poiché sono, come abbiamo visto, tutte procedure che operano sulle debolezze umane. Bisogna imparare a cogliere i segnali, a prestare attenzione ai dettagli, senza fidarsi mai di mail o messaggi provenienti da sconosciuti. Non esistono regole ma esistono buoni comportamenti come:

• Controlla la fonte: nel caso delle mai, ad esempio, controlliamo sempre l’indirizzo mail da cui arriva. Nel caso di un link, leggiamo attentamente l’url e nel caso di messaggi, se non conosciamo il numero evitiamo di dargli credibilità.
• Chiedi tu dei personali e codice identificativo: quando avviamo una comunicazione con una persona nuova e non sappiamo se fidarci chiediamo sempre: identificativo, nome e cognome. Eventualmente possiamo anche chiedere i dati di un diretto superiore, così da poter verificare la loro esistenza.
• Controlla di avere un buon antispam. Un buon altro antispam fa già una scrematura delle mail, può quindi ridurre il rischio di incappare in mail malevole
• Cambia le password di accesso spesso: tieni protetti i tuoi account cambiando spesso la password e nn utilizzando. stessa dappertutto.
• Aggiornati: le tecniche utilizzate dai cyber crinali sono sempre più evolute e, grazie alla tecnologia, sempre più nuove. Se vuoi proteggerti rimani aggiornato così saprai riconoscere la tuffa dal primo segnale.

Se hai bisogno di aiuto, puoi sempre contattare gli esperti di Tutela Digitale.

Per Approfondire

digital-strategy.ec.europa.eu/en/policies/cybersecurity-act
securityboulevard.com/2021/05/10-important-facts-about-social-engineering/