Ingegneria sociale: qualche consiglio per non cadere nelle trappole della Rete

L’ingegneria sociale, nel campo della sicurezza informatica, consiste nell’utilizzo, da parte degli hacker, di metodi che hanno come scopo quello di ottenere informazioni personali tramite l’inganno. Questa tecnica è anche un metodo (improprio) di crittoanalisi quando è usata su una persona che conosce la chiave crittografica di un sistema.
Gli attacchi di ingegneria sociale manipolano le persone inducendole a condividere informazioni che non dovrebbero condividere, a scaricare software che non dovrebbero scaricare, a visitare siti Web che non dovrebbero visitare, a inviare denaro a criminali o a commettere altri errori che compromettono la loro sicurezza personale o quella dell’organizzazione. Poiché l’ingegneria sociale utilizza la manipolazione psicologica e sfrutta l’errore o la debolezza umana piuttosto che le vulnerabilità tecniche o digitali del sistema, viene talvolta definita “hacking umano”.
In sintesi, l’ingegneria sociale è l’arte di ingannare le persone per convincerle a fornire informazioni sensibili. È come un borseggio digitale, in cui il ladro usa la manipolazione e la persuasione, non la forza fisica, per rubare i suoi dati preziosi.

Ecco alcuni esempi di attacchi di ingegneria sociale:
1. **Pretexting e pedinamento**: gli aggressori fingono di essere un collega o una persona autorevole, ad esempio un agente di polizia. Utilizzeranno questa veste per stabilire un rapporto di fiducia con l’obiettivo tramite un metodo digitale, il telefono o di persona. Una volta stabilita la fiducia, il truffatore cercherà di estrarre informazioni, come dati personali o dettagli finanziari.
2. **Phishing**: il phishing si presenta in vari modi, tra cui e-mail, telefonate, post sui social media e messaggi di testo.
3. **Kevin Mitnick e il “Pozzo delle password” (1995)**: Uno degli hacker più famosi, Kevin Mitnick, ha usato tattiche di ingegneria sociale per ingannare un dipendente e fargli rivelare una password di sistema, portando a uno degli eventi di hacking più significativi della storia.
4. **Virus ILOVEYOU (2000)**: Un attacco di ingegneria sociale che ha indotto gli utenti ad aprire un allegato e-mail apparentemente innocente, che poi è stato inoltrato a tutti i contatti dell’utente, causando danni miliardari.
5. **Violazione dei dati di Target (2013)**: Gli hacker hanno rubato le credenziali di un fornitore HVAC di terze parti e le hanno utilizzate per accedere al sistema di pagamento di Target, con conseguente furto di 40 milioni di numeri di carte di credito e di debito.
Questi sono solo alcuni esempi di come gli attacchi di ingegneria sociale possono essere portati avanti. La consapevolezza e la formazione sono fondamentali per proteggersi da questi tipi di attacchi.
Ecco alcuni consigli su come proteggersi dagli attacchi di ingegneria sociale:
1. **Essere il più sospettosi possibile**: Non dare mai per scontato che la persona con cui stai interagendo sia chi dice di essere. Se qualcuno ti chiede informazioni sensibili, è sempre meglio verificare la sua identità prima di condividere qualsiasi cosa.
2. **Utilizzare i migliori software antivirus**: Un buon software antivirus può aiutarti a rilevare e rimuovere software malevoli che potrebbero essere installati sul tuo computer attraverso attacchi di ingegneria sociale.
3. **Prestare molta attenzione su Internet**: Fai attenzione ai link che clicchi e ai siti web che visiti. Se qualcosa sembra sospetto, è meglio evitare di cliccare.
4. **Formazione e informazione**: Assicurati di essere informato sugli ultimi tipi di attacchi di ingegneria sociale e su come possono apparire. La formazione può aiutarti a riconoscere un attacco prima che sia troppo tardi.
5. **Analisi dei rischi e policy aziendali**: Se stai cercando di proteggere un’organizzazione, è importante effettuare regolarmente un’analisi dei rischi, aggiornare le policy per l’utilizzo dei dispositivi informatici e degli altri asset aziendali, e stabilire regole sull’utilizzo del marchio o di altre informazioni aziendali online da parte dei dipendenti.
Ricorda, la consapevolezza è la migliore difesa contro gli attacchi di ingegneria sociale. E che nel web nulla viene concesso a titolo gratuito!
Fonti
Ingegneria sociale, cos’è e come proteggersi dagli attacchi – InSic. https://www.insic.it/privacy-e-sicurezza/information-security/ingegneria-sociale-cose-e-come-proteggersi-dagli-attacchi/

Proteggere le aziende dagli attacchi di ingegneria sociale


https://powerdmarc.com/it/social-engineering-attacks-protection/
Wikipedia. https://it.wikipedia.org/wiki/Ingegneria_sociale
https://www.ibm.com/it-it/topics/social-engineering

[IT] What is Social Engineering


www.metacompliance.com
https://softwarelab.org.it/blog/ingegneriasociale/
https://itigic.com.it/what-types-o-social-engneering-attacks-are-there

Quali sono esempi di tecniche malevole di ingegneria sociale?

Esplorando gli abissi dell’ingegneria sociale: dalla definizione alle tattiche d’attacco di alto livello!

Eduardo Saturno