Social engineering

Social engineering: ecco cos’è e come difendersi

Social engineering: cos’è

Il social engineering (o ingegneria sociale) è una tecnica manipolativa basata sullo studio della psicologia umana e utilizzata per trarre un illecito vantaggio, per commettere cioè truffe, frodi, estorsioni, crimini informatici, ecc.

All’attacco vero e proprio precede una fase di indagine e documentazione del target a cui mirare, della vittima designata e del suo ambiente personale e professionale di riferimento.

I canali attraverso cui vengono realizzati gli attacchi d’ingegneria sociale sono molteplici: e-mail, sms, app di messagistica istantanea, siti web, social media, dating app. Ma vi è un unico comune denominatore: lo sfruttamento delle vulnerabilità cognitivo-comportamentali della specie umana (personalità, bisogni, convinzioni, emozioni, mancanza di conoscenze, ecc.).

Social engineering: i metodi

Vediamo i metodi di ingegneria sociale più diffusi.

Phishing

Il metodo più noto e riconoscibile. Consiste nell’invio di e-mail o sms che sembrano provenire da fonti affidabili (come istituti finanziari, operatori telefonici, ditte di spedizioni, ecc.) e contenenti un link o un allegato infetto.

Pretexting

Dall’inglese: creazione di un pretesto. Il criminale veste illegittimamente i panni di un funzionario pubblico o di un dipendente di un’azienda nota e accreditata per sottrarre informazioni riservate e/o dati sensibili.

Baiting

Significa, letteralmente, adescamento. In questo caso, ciò su cui si fa leva è la curiosità insita nella natura umana. I criminali informatici lasciano incustodito – in una posizione strategica – un supporto di memorizzazione (chiavetta USB, cd, hard disk) preventivamente infettato e attendono che susciti l’interesse del loro obiettivo. Una volta inserito nel computer, il dispositivo darà accesso alla rete domestica o aziendale.

Trashing

Dall’inglese: trash, ovvero spazzatura. È un metodo che prevede l’estrazione di informazioni setacciando i rifiuti delle vittime. Da bollette, estratti conto e altri documenti non adeguatamente distrutti e smaltiti è infatti possibile estrapolare dati sensibili. Così come da smartphone, laptop o dispositivi USB guasti e dismessi ma non opportunamente formattati.

Quid pro quo

Consiste nell’offerta di un servizio o un benefit in cambio di informazioni riservate. Ad esempio, un truffatore potrebbe offrire supporto tecnico gratuito in cambio di accesso al sistema informatico della vittima inconsapevole.

Tailgating

É una procedura utilizzata per l’accesso fisico all’interno di un’area riservata. Il criminale si finge un dipendente autorizzato che ha dimenticato il badge. A quel punto, o chiede di poter entrare sfruttando la cortesia altrui o s’insinua abusivamente sfruttando la disattenzione altrui.

Social engineering: come difendersi

Hardware e software per la sicurezza informatica aziendale e personale non sono sufficienti a proteggersi dal social engineering, perché questi non tengono conto della componente umana.

I sistemi di protezione (creazione di password sicure e con autenticazione a due fattori, l’istallazione e l’aggiornamento di antivirus e firewall, uso di una rete VPN), di mantenimento (Business Continuity) e di ripristino (Disaster Recovery) vanno integrati con:

  • educazione e formazione, mediante corsi, webinar, guide e articoli informativi, affinché tutti possano conoscere, riconoscere ed evitare le tattiche di social engineering;
  • sensibilizzazione alla prudenza online e offline, il che implica la costante verifica dell’autenticità e dell’affidabilità delle fonti fisiche e virtuali.