english version

È attivo il nostro contatto WhatsApp! Scrivici o chiamaci al 333 2022801

Social Engineering; cos’è e come proteggersi

Hacker, Cybersicurezza

Oggigiorno esistono molte modalità di attacco informatico, tecniche sempre più raffinate e che vogliono carpire informazioni al fine di accedere ai dati personali o sensibili. Per questo nel 2019 è stato approvato il Cybersecurity Act, che mira a rafforzare la resilienza dell’Unione Europea agli attacchi informatici, a creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi così da accrescere la fiducia dei consumatori nelle tecnologie digitali. Questo documento serve dare delle linee guida univoche per poter fronteggiare ogni tipo di attacco.
Quando si parla di attacco informatico, infatti, possiamo andare incontro a:

  1. Il Phishing
  2. Il Malware
  3. Attacco Man in the Middle
  4. SQL injection
  5. Attacco Denial-of-Service

 

Questi sono solo alcune delle tipologie di aggressione informatica che posiamo subire, per questo è fondamentale avere una preparazione in materia, saper riconoscere immediatamente un attacco e sapersi muovere in modo corretto.

Cos’è il Social Engineering 

Tutela Digitale- Pericolo Social engineering Tra gli attacchi più frequenti ci sono quelli che sfruttano il Social Engineering, lo studio dei comportamenti degli utenti per manipolarli e carpire informazioni utili. In questo caso gli hacker fanno leva proprio sul lato psicologico delle persone più facili da manipolare per indurle a rivelare le proprie password, altri dati personali, codici di accesso e per violare i sistemi informatici.
Questa tecnica sfrutta quindi la debolezza psicologica delle persone attraverso strategie studiate basate su elementi ben precisi, come l’autorevolezza che l’impostore può assumersi incarnando nuove personalità, facendo leva così sul malcapitato; il senso di colpa che si può instillare nell’utente per indurlo a compiere le azioni richieste; l’ignoranza dell’utente che non conoscendo i rischi potrà essere condotto facilmente all’azione richiesta; ma anche il panico, che può scattare nella vittima a causa dell’urgenza o del pericolo portandolo a fare le cose senza pensarci, cadendo così nella trappola dell’hacker.
Gli attacchi che fruttano l’ingegneria sociale si suddividono in diverse fasi:

Footprint o studio della vittima

Gli hacker prima di avviare la truffa sono soliti prendere informazioni sulla vittima: nel caso di una persona fisica indagheranno attraverso social o analizzando ciò che si trova online per risalire a informazioni utili come l’indirizzo e-mail il numero di telefono. Nel caso di un’azienda, invece, questa fase diventa più complessa. Per riuscire ad arrivare ai dati utili l’hacker proverà ad ingannare un dipendente di basso livello per poter avere le informazioni necessarie.

La fase di verifica

Durante la fase di verifica il cyber criminale testerà le informazioni che è riuscito ad ottenere per provare la loro veridicità e per prendere un primo contatto con la vittima. Questo lo può fare telefonicamente o attraverso un primo scambio di mail o messaggi.

 Sfruttamento

In questa fase l’attaccante instaura una relazione con la vittima, guadagnandosi la sua fiducia, portandola così verso la fase finale.

Attacco

La fase di attacco è ovviamente quella più cruciale, quella che porterà a termine la truffa. Nel caso di vishing (il phishing telefonico) scatterà la telefonata dove l’impostore proverà a raggirare il malcapitato per farsi consegnare ciò che vuole.

Se ti interessa approfondire il phishing leggi anche: Cybersicurezza; perché fare attenzione alle Email 

 

Le tipologie di attacco che sfruttano questa tecnica sono davvero numerose e vanno dalle truffe telefoniche a quelle tramite mail:

  • Phishing, consiste nell’inviare mail fake contenenti comunicazioni fraudolente che sembrano provenire da una fonte reale.
  • Spear phishing, il phishing rivolto solo a gruppi di destinatari più contenuti e specifici.
  • Vishing e smishing, in questo caso il truffatore utilizza la telefonata o l’invio di messaggi.
  • Pretexting che sfrutta un pretesto o una promessa fasulla, per avere i dati in cambio.
  • Baiting, utilizza mezzi fisici, come una chiavetta, per installare un malware per dare all’hacker la possibilità di accedere ai dati che vuole.
  • Spam dei contatti. I cyber criminali mandano un messaggio spam con un oggetto informale a tutti i contatti. Questi saranno indotti ad approfondire attraverso un link, che una volta cliccato invierà lo stesso messaggio a tutti i contatti del malcapitato, facendo, così, partire una catena.
  • Quid pro quo, il classico caso del finto tecnico, o operatore telematico che chiede gli accessi per un controllo di sicurezza, per poi installare un virus nel tuo computer.
  • QRcode malevoli, codici che scansioni possono attaccare il tuo dispositivo.
  • Notifiche push malevole, notifiche create dagli hacker che una volta cliccate portano all’installazione di un virus o alla visualizzazione di una pagina web dannosa.
  • Finte collaborazioni, l’hacker invia mail con finti allegati, così il mal capitato invece di collaborare con un collega si infetterà il computer;
  • Deepfake, il cyber criminale simula l’aspetto fisico o il tono di voce di una persona fidata inducendo la vittima a compiere azioni e a rivelare informazioni sensibili che entreranno in possesso del criminale.

 

Come proteggersi dal Social Engineering

Non esistono regole o strumenti che possano proteggerci dagli attacchi che si basano sul social engineering, poiché sono, come abbiamo visto, tutte procedure che operano sulle debolezze umane. Bisogna imparare a cogliere i segnali, a prestare attenzione ai dettagli, senza fidarsi mai di mail o messaggi provenienti da sconosciuti. Non esistono regole ma esistono buoni comportamenti come:

  • Controlla la fonte: nel caso delle mai, ad esempio, controlliamo sempre l’indirizzo mail da cui arriva. Nel caso di un link, leggiamo attentamente l’url e nel caso di messaggi, se non conosciamo il numero evitiamo di dargli credibilità.
  • Chiedi tu dei personali e codice identificativo: quando avviamo una comunicazione con una persona nuova e non sappiamo se fidarci chiediamo sempre: identificativo, nome e cognome. Eventualmente possiamo anche chiedere i dati di un diretto superiore, così da poter verificare la loro esistenza.
  • Controlla di avere un buon antispam. Un buon altro antispam fa già una scrematura delle mail, può quindi ridurre il rischio di incappare in mail malevole
  • Cambia le password di accesso spesso: tieni protetti i tuoi account cambiando spesso la password e nn utilizzando. stessa dappertutto.
  • Aggiornati: le tecniche utilizzate dai cyber crinali sono sempre più evolute e, grazie alla tecnologia, sempre più nuove. Se vuoi proteggerti rimani aggiornato così saprai riconoscere la tuffa dal primo segnale.

 

Se hai bisogno di aiuto, puoi sempre contattare gli esperti di Tutela Digitale.

 

Per Approfondire

digital-strategy.ec.europa.eu/en/policies/cybersecurity-act
securityboulevard.com/2021/05/10-important-facts-about-social-engineering/

Silvia Tugnoli

Silvia Tugnoli

Silvia Tugnoli, libera professionista nel settore del web marketing e della comunicazione, collabora con Tutela Digitale dal 2020

Silvia Tugnoli

Silvia Tugnoli, libera professionista nel settore del web marketing e della comunicazione, collabora con Tutela Digitale dal 2020
Potrebbe interessarti anche
Tutela Digitale | Vittime errori Giudiziari

Tutela Digitale e Articolo 643 in difesa delle vittime di errori giudiziari

Nuova collaborazione tra Tutela Digitale e l’associazione Articolo 643, il gruppo di avvocati, magistrati, professionisti che dà voce alle centinaia di persone che...
6 Giugno 2017
Oipa e Tutela Digitale

Nuova collaborazione tra Tutela Digitale e OIPA: nasce il progetto “Stop viral animal cruelty”

Il team di Tutela Digitale ha stretto un accordo con OIPA Italia Onlus, Organizzazione Internazionale Protezione Animali. L’obiettivo è quello di...
29 Maggio 2017
Fake News

Come proteggere la verità dalle Fake news

Sinan Aral, Data scientist, ha tenuto un interessante TED Talk sull’argomento Fake news condiviso da TED lo scorso dicembre. La...
8 Gennaio 2020
Isolamento e Cyberbullismo ai tempi di Facebook

Approvata alla Camera la legge contro il cyberbullismo

Approvata in via definitiva alla camera la legge contro il cyberbullismo. Il provvedimento è volto a tutelare i minorenni sostenendo in...
23 Maggio 2017
Tutela Digitale | Diritto all'Oblio| Worldcheck

World Check: il database che sa tutto di te, ma tu nulla di lui!

Nato negli anni 2000 da un’idea del gigante dell’informazione finanziaria Thomson Reuters e ormai utilizzato da quasi la...
6 Ottobre 2017
identità on-line

Identità on-line; come difendersi

L’utilizzo del web è oggi parte fondamentale della nostra vita. In questo processo non siamo semplicemente parte passiva,...
13 Settembre 2018