Skip to content
Rivista Cybersecurity Trends
Rivista Cybersecurity Trends
Secondary Navigation Menu
Menu
  • News
    • In Primo Piano
    • Cyber News
  • Articoli
    • Articoli
    • Interviste VIP
  • Video Interviste
  • For Beginners
    • Cyber Pills
    • Awareness Video
  • For Experts
    • Hacking Around
    • Technical Video
  • Rubriche
    • Bibliografia e Filmografia
    • Dalla Redazione
    • Dalle Aziende
    • Dalle Università
    • Eventi
    • Offerte di Lavoro
    • Barometro
  • Sfoglia la rivista
  • About Us
    • La Rivista
    • Comitato Scientifico
    • Autori
    • Altre Edizioni
    • Contattaci
  • Supportaci

Social engineering: se lo conosci lo eviti

By: Alessandra Rose
On: 18 Ottobre 2021
In: Cyber Pills, Senza categoria

Social engineering: cos’è e come difendersi. I consigli di GoDaddy

Tra le minacce informatiche sempre più diffuse c’è il social engineering (o ingegneria sociale), termine dietro al quale si nascondono una serie di tecniche utilizzate dagli hacker per ottenere informazioni ingannando gli utenti. GoDaddy, azienda che gestisce la piattaforma cloud più grande del mondo dedicata ad aziende indipendenti di piccole dimensioni, in questo articolo approfondisce il social engineering e come difendersi da questa tipologia di attacco.

Social engineering: cos’è e come funziona

«Secondo il sito dell’ENISA, cioè l’Agenzia dell’Unione europea per la cibersicurezza: “L’ingegneria sociale si riferisce a tutte le tecniche volte a convincere un obiettivo a rivelare informazioni specifiche o ad eseguire un’azione specifica per motivi illegittimi.”

Volendo dare una descrizione ancora più semplice, possiamo definire l’ingegneria sociale come l’arte utilizzata dagli hacker per manipolare le persone e indurle con l’inganno a divulgare informazioni sensibili o riservate – spesso attraverso comunicazioni digitali – che possono essere utilizzate per scopi fraudolenti. Alcuni tipi di informazioni a cui gli hacker possono mirare sono le password, le informazioni finanziarie, gli accessi ai conti correnti e via dicendo.

Al contrario degli altri tipi di attacchi informatici che prevedono lo sfruttamento di vulnerabilità tecniche della sicurezza per introdursi in una rete o un device, l’ingegneria sociale informatica fa leva sulla vulnerabilità delle persone.

Gli attacchi di social engineering possono mirare a privati cittadini, oppure a persone che fanno parte di un’organizzazione e impresa, con l’obiettivo di accedere ad informazioni aziendali importanti o alla sua rete informatica.

Secondo NortonLifeLock, azienda specializzata in cybersecurity, l’ingegneria sociale prevede di solito 4 fasi:

  1. La preparazione: l’hacker (o ingegnere sociale) raccoglie informazioni sulla vittima per capire come contattarla (ad esempio via mail, sui social media, al telefono, ecc.)
  2. L’infiltrazione:l’ingegnere sociale approccia la sua vittima, spesso fingendosi una fonte autorevole e affidabile, e utilizza le informazioni che ha raccolto per guadagnare la sua fiducia.
  3. Sfruttamento:l’hacker usa tecniche di persuasione per chiedere alla vittima informazioni come i dati per accedere ai suoi account, i metodi di pagamento, informazioni di contatto, o altro, che così può utilizzare per commettere un attacco informatico.
  4. Disimpegno:Il criminale informatico commette l’attacco e si allontana rapidamente.

 Le principali tecniche di social engineering

Esistono diverse tecniche di ingegneria sociale. Ecco le più frequenti:

Phishing

Probabilmente è uno dei metodi più famosi e diffusi. L’ingegnere sociale invia alla vittima un’email mascherandola come un messaggio proveniente da un amico o da una fonte autorevole. Nella mail di solito viene richiesto di cliccare su un link (che però nasconde un malware o virus) oppure di fornire delle informazioni.

Uno degli esempi più classici di phishing è quello in cui l’email sembra provenire dalla banca presso cui la vittima ha il proprio conto corrente. Spesso, in questi casi viene chiesto di cliccare su un link che porta all’area riservata del sito della banca o alla compilazione di un form con il quale l’hacker carpisce le informazioni dell’utente, come il codice di sicurezza, il PIN bancario, il numero di conto corrente, ecc.

Questa tecnica di social engineering può utilizzare anche altri canali di comunicazione come gli SMS (in questo caso si parla di smishing) e le telefonate (vishing)

Scareware

Scareware deriva dalla parola inglese “scare”, cioè “spaventare”. In questo caso l’ingegnere sociale induce la propria vittima a scaricare e installare un software maligno facendo leva sulla paura e sul senso di urgenza. Spesso questo avviene con l’invio di email o pop-up che comunicano alla vittima che il suo device è stato infettato da un virus o un malware e che la invitano ad agire in fretta per liberarsene, scaricando un file o cliccando su un link. La paura e il senso di urgenza fanno sì che la vittima scarichi il file o clicchi sul link malevolo scaricando (questa volta per davvero) il virus o malware.

Pretexting

Di solito il criminale informatico contatta telefonicamente la propria vittima impersonando una fonte autorevole come un addetto della banca, un agente della polizia o di un ufficio pubblico. Utilizzando un pretesto (da qui il nome pretexting), creando empatia con la vittima e fornendole delle informazioni su di lei che ha raccolto precedentemente, l’ingegnere sociale ottiene la sua fiducia e si fa comunicare informazioni importanti.

Baiting

In questo caso l’hacker fa leva sulla curiosità della vittima e la induce ad effettuare un’azione tramite un’esca. Un esempio: il cyber criminale lascia una chiavetta USB, un hard disk o un CD con all’interno un codice maligno in un luogo pubblico o all’ingresso di un’azienda. La vittima che colta dalla curiosità, inserisce il supporto di memorizzazione nel proprio computer, fornisce l’accesso al proprio device o alla rete aziendale

Quid Pro Quo

Come si può intuire dal nome, questa tecnica di social engineering si basa sul concetto dello scambio di favori. Ad esempio, il malintenzionato può contattare la vittima fingendosi un tecnico IT pronto a risolvere un problema in cambio della password di accesso.

Tailgating

Questa volta l’attacco di ingegneria sociale avviene dal vivo: l’hacker segue fisicamente una persona che ha accesso ad un’area riservata e le chiede di entrare fingendo di aver dimenticato il badge o di avere le mani troppo occupate per utilizzarlo.

Trashing

In questo caso il malintenzionato setaccia la spazzatura della vittima e risale ad informazioni sensibili grazie a bollette, estratti conto, lettere o dispositivi guasti come smartphone, hard disk e computer.

Come riconoscere il social engineering

Ecco i casi in cui nella tua mente dovrebbe scattare il campanello di allarme:

  • Quando qualcuno ti chiede una password o un codice di sicurezza o i tuoi dati finanziari. Nessun istituto legittimo richiede mai queste informazioni, soprattutto via telefono, SMS o moduli online.
  • Quando ti viene offerto un consiglio o un aiuto non richiesto.
  • Quando un tuo amico ti invia un’email o messaggio strano chiedendoti di cliccare su un link.
  • Quando ti viene richiesto di fare qualcosa con urgenza (ad esempio scaricare un file o un software o cliccare su un link).
  • Quando ti viene presentata un’offerta troppo bella per essere vera.

In tutti questi casi, è molto probabile che ti trovi di fronte ad un tentativo di truffa

Come difendersi dal social engineering

Ecco alcune regole per difendersi dall’ingegneria sociale:

  • Non cliccare mai su link, non scaricare file o aprire allegati che non hai richiesto o che provengono da fonti di cui non sei assolutamente sicuro.
  • Controlla sempre con attenzione l’indirizzo email di ogni mittente per accertarti che sia legittimo e non aprire mai le email sospette.
  • Non fornire mai le tue password o i dati bancari e, in generale, evita di condividere molte informazioni personali online o per telefono, soprattutto nel caso di telefonate che non hai sollecitato.
  • Non accettare offerte che non hai richiesto.
  • Utilizza programmi antivirus o anti-malware che possono bloccare eventuali minacce.
  • Imposta dei filtri anti spam efficaci.
  • Utilizza l’autenticazione a due fattori.
  • Crea una password sicura e unica per ogni singolo account.
  • Non gettare nella spazzatura supporti di memorizzazione come hard disk, CD, computer e chiavette USB senza averne prima distrutto le parti meccaniche o il sistema di memorizzazione.
  • Distruggi accuratamente i documenti che contengono informazioni sensibili prima di gettarli nel cestino.

Come difenderti se sei un’impresa:

  • Stabilisci dei protocolli di sicurezza e delle procedure interne per la diffusione di informazioni sensibili e per la gestione delle password.
  • Informa e forma il personale sui pericoli del social engineering e sensibilizzalo sui temi della sicurezza informatica.
  • Mantieni i tuoi software aggiornati.

Cosa fare se sei vittima dell’ingegneria sociale

Ti sei accorto di essere vittima di un attacco di social engineering? Nel caso tu abbia scaricato un malware o virus, per rimuoverlo puoi utilizzare un programma antivirus di qualità. Se, invece, hai condiviso informazioni come password e codici di accesso, cambiali subito con password nuove e difficili da violare.

Bene, ora sai cos’è il social engineering e come difenderti. Purtroppo le minacce informatiche sono sempre più diffuse ed è necessario tenere alta la guardia per proteggere se stessi e la propria impresa.

Se hai un sito web aziendale, adotta le misure di sicurezza necessarie per proteggere i tuoi visitatori e la tua attività. Proteggi il tuo sito da malware, difendi i dati dei tuoi clienti grazie ad un certificato SSL e crei automaticamente backup del tuo sito per ripristinare tutto in un batter d’occhio in caso di imprevisti».

 

https://it.godaddy.com/blog/social-engineering-cos-e/

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati:

  • 2c3b86d2ffad75651a43c35e30dca179
    MFA Fatigue: in aumento gli attacchi con questa…
  • 01 proof
    Proofpoint 2022 Social Engineering Report
  • original
    Engineering ricerca un Software Developer JAVA – Spring
  • cyber exposure
    Conosci davvero il tuo perimetro? Un efficace…
2021-10-18
Previous Post: Mediobanca ricerca un Internship IT RISK e CYBER SECURITY
Next Post: Attacco informatico alla banca più grande dell’Ecuador

In Primo Piano

  • NIST: ecosistema delle credenziali digitali verificabili
  • DDL Intelligenza Artificiale: 409 emendamenti per rafforzare la sicurezza in Italia
  • CRON#TRAP: nuova minaccia con ambienti Linux emulati

Articoli

  • Direttiva NIS2: le sfide per le imprese italiane

Copyright © 2024
Cookies Policy | Privacy Policy

error:
Twitter

Utilizziamo i cookie per offrirti un servizio migliore nel navigare il nostro sito web.

Puoi scoprire di più su quali cookie stiamo utilizzando o disattivarli nelle .

Offerta da  GDPR Cookie Compliance
Informazioni sulla Privacy

Questo sito Web utilizza i cookie per consentirci di offrire il miglior servizio possibile all'utente nel navigare il nostro sito. Le informazioni sui cookie vengono memorizzate nel tuo browser ed eseguono funzioni come riconoscerti quando visiti nuovamente il nostro sito web, aiutando il nostro team a capire quali sezioni del sito web trovi più interessanti e utili.

È possibile abilitare o disabilitare tutte le impostazioni dei cookie navigando le schede sul lato sinistro.