L’ingegneria sociale, nel campo della sicurezza informatica, consiste nell’utilizzo, da parte degli hacker, di metodi che hanno come scopo quello di ottenere informazioni personali tramite l’inganno. Questa tecnica è anche un metodo (improprio) di crittoanalisi quando è usata su una persona che conosce la chiave crittografica di un sistema.
Gli attacchi di ingegneria sociale manipolano le persone inducendole a condividere informazioni che non dovrebbero condividere, a scaricare software che non dovrebbero scaricare, a visitare siti Web che non dovrebbero visitare, a inviare denaro a criminali o a commettere altri errori che compromettono la loro sicurezza personale o quella dell’organizzazione. Poiché l’ingegneria sociale utilizza la manipolazione psicologica e sfrutta l’errore o la debolezza umana piuttosto che le vulnerabilità tecniche o digitali del sistema, viene talvolta definita “hacking umano”.
In sintesi, l’ingegneria sociale è l’arte di ingannare le persone per convincerle a fornire informazioni sensibili. È come un borseggio digitale, in cui il ladro usa la manipolazione e la persuasione, non la forza fisica, per rubare i suoi dati preziosi.
Ecco alcuni esempi di attacchi di ingegneria sociale:
1. **Pretexting e pedinamento**: gli aggressori fingono di essere un collega o una persona autorevole, ad esempio un agente di polizia. Utilizzeranno questa veste per stabilire un rapporto di fiducia con l’obiettivo tramite un metodo digitale, il telefono o di persona. Una volta stabilita la fiducia, il truffatore cercherà di estrarre informazioni, come dati personali o dettagli finanziari.
2. **Phishing**: il phishing si presenta in vari modi, tra cui e-mail, telefonate, post sui social media e messaggi di testo.
3. **Kevin Mitnick e il “Pozzo delle password” (1995)**: Uno degli hacker più famosi, Kevin Mitnick, ha usato tattiche di ingegneria sociale per ingannare un dipendente e fargli rivelare una password di sistema, portando a uno degli eventi di hacking più significativi della storia.
4. **Virus ILOVEYOU (2000)**: Un attacco di ingegneria sociale che ha indotto gli utenti ad aprire un allegato e-mail apparentemente innocente, che poi è stato inoltrato a tutti i contatti dell’utente, causando danni miliardari.
5. **Violazione dei dati di Target (2013)**: Gli hacker hanno rubato le credenziali di un fornitore HVAC di terze parti e le hanno utilizzate per accedere al sistema di pagamento di Target, con conseguente furto di 40 milioni di numeri di carte di credito e di debito.
Questi sono solo alcuni esempi di come gli attacchi di ingegneria sociale possono essere portati avanti. La consapevolezza e la formazione sono fondamentali per proteggersi da questi tipi di attacchi.
Ecco alcuni consigli su come proteggersi dagli attacchi di ingegneria sociale:
1. **Essere il più sospettosi possibile**: Non dare mai per scontato che la persona con cui stai interagendo sia chi dice di essere. Se qualcuno ti chiede informazioni sensibili, è sempre meglio verificare la sua identità prima di condividere qualsiasi cosa.
2. **Utilizzare i migliori software antivirus**: Un buon software antivirus può aiutarti a rilevare e rimuovere software malevoli che potrebbero essere installati sul tuo computer attraverso attacchi di ingegneria sociale.
3. **Prestare molta attenzione su Internet**: Fai attenzione ai link che clicchi e ai siti web che visiti. Se qualcosa sembra sospetto, è meglio evitare di cliccare.
4. **Formazione e informazione**: Assicurati di essere informato sugli ultimi tipi di attacchi di ingegneria sociale e su come possono apparire. La formazione può aiutarti a riconoscere un attacco prima che sia troppo tardi.
5. **Analisi dei rischi e policy aziendali**: Se stai cercando di proteggere un’organizzazione, è importante effettuare regolarmente un’analisi dei rischi, aggiornare le policy per l’utilizzo dei dispositivi informatici e degli altri asset aziendali, e stabilire regole sull’utilizzo del marchio o di altre informazioni aziendali online da parte dei dipendenti.
Ricorda, la consapevolezza è la migliore difesa contro gli attacchi di ingegneria sociale. E che nel web nulla viene concesso a titolo gratuito!
Fonti
Ingegneria sociale, cos’è e come proteggersi dagli attacchi – InSic. https://www.insic.it/privacy-e-sicurezza/information-security/ingegneria-sociale-cose-e-come-proteggersi-dagli-attacchi/
https://powerdmarc.com/it/social-engineering-attacks-protection/
Wikipedia. https://it.wikipedia.org/wiki/Ingegneria_sociale
https://www.ibm.com/it-it/topics/social-engineering
www.metacompliance.com
https://softwarelab.org.it/blog/ingegneriasociale/
https://itigic.com.it/what-types-o-social-engneering-attacks-are-there
Quali sono esempi di tecniche malevole di ingegneria sociale?
Eduardo Saturno
