Social Engineering è un termine che sentiamo costantemente nelle notizie relative agli attacchi informatici, ma cosa significa esattamente?

L’ingegneria sociale è l’arte di manipolare le persone affinché compiano determinate azioni o divulghino informazioni riservate.

Piuttosto che utilizzare i tradizionali attacchi di hacking, i criminali informatici sfruttano la nostra natura umana fiduciosa per indurci a violare le normali pratiche di sicurezza.

Questi tipi di attacchi sono diventati sempre più frequenti e sofisticati e si stanno rivelando un modo molto efficace per i truffatori di ottenere un accesso non autorizzato alle reti informatiche e ai dati sensibili.

Gli attacchi di ingegneria sociale si presentano in molte forme diverse, ma il filo conduttore di tutti è lo sfruttamento del comportamento umano. Gli esempi che seguono sono le forme di attacco più comuni.

Phishing

Il phishing rimane l’attacco di ingegneria sociale più popolare in assoluto grazie al suo alto tasso di successo. La maggior parte degli attacchi informatici può essere ricondotta a un’e-mail di phishing e la truffa online funziona inducendo le persone a fornire informazioni sensibili o a scaricare un malware dannoso.

Le e-mail di phishing sono progettate per sembrare autentiche e sembrano provenire da una fonte legittima. L’email include un link o un allegato che, una volta cliccato, infetterà il computer con un malware.

Vishing

Vishing è una combinazione delle parole voice e phishing e si riferisce alle truffe di phishing che avvengono al telefono. È l’attacco più umano di tutti quelli di ingegneria sociale, ma segue lo stesso schema di inganno. I truffatori spesso creano un senso di urgenza per convincere la vittima a divulgare informazioni sensibili.

Spesso la chiamata viene effettuata attraverso un ID spoofato, in modo da far sembrare che provenga da una fonte affidabile. Uno scenario tipico prevede che il truffatore si finga un impiegato della banca per segnalare un comportamento sospetto su un conto. Una volta ottenuta la fiducia della vittima, chiederà informazioni personali come dati di accesso, password e pin. I dati possono essere utilizzati per svuotare i conti bancari o per commettere frodi di identità.

Smishing

Lo smishing è un tipo di phishing che utilizza i messaggi SMS anziché le e-mail per colpire le persone. Viene utilizzato dai criminali per incoraggiare le persone a divulgare informazioni personali come i dettagli del conto, i dati della carta di credito o i nomi utente e le password. Questo metodo prevede che il truffatore invii un messaggio di testo al numero di telefono di un individuo e di solito include un invito all’azione che richiede una risposta immediata. I messaggi spesso affermano di provenire da banche, agenzie delle entrate e persino da amici. Possono chiederti di cliccare su un link, di chiamare un numero o di informarti che stai per ricevere una telefonata da un membro dell’assistenza.

Lancia – Phishing

Lo Spear-Phishing è un tentativo più mirato di rubare informazioni sensibili e in genere si concentra su un individuo o un’organizzazione specifici. Questi tipi di attacchi utilizzano informazioni personali specifiche dell’individuo per apparire legittimi.  Scopri di più sullo spear phishing.

I truffatori si rivolgono spesso ai social media per cercare le loro vittime. Una volta individuato l’obiettivo, iniziano a inviare e-mail personalizzate che includono link che, una volta cliccati, infettano il computer con un malware.

La caccia alle balene

Ciò che distingue questa categoria di phishing dalle altre è la scelta di un obiettivo di alto livello. Un attacco whaling è un tentativo di rubare informazioni sensibili e spesso è rivolto ai dirigenti o ad altri obiettivi di alto profilo come politici o celebrità. Il termine whaling viene utilizzato per indicare che l’obiettivo perseguito è un pesce grosso da catturare.

Le email di whaling sono molto più sofisticate delle classiche email di phishing e sono molto più difficili da individuare. In genere, le email contengono informazioni personalizzate sull’obiettivo o sull’organizzazione e il linguaggio è di tipo aziendale. La creazione di queste email richiede molti più sforzi e riflessioni, visto l’alto livello di ritorno per i truffatori.

Adescamento

L’adescamento, come dice il nome, consiste nell’attirare qualcuno in una trappola per rubare le sue informazioni personali o infettare il suo computer con un malware.

Per invogliare le vittime a cadere nella loro trappola, gli adescatori utilizzano spesso offerte di download gratuito di musica o film se gli utenti forniscono i loro dati di accesso. Un altro trucco popolare consiste nel lasciare un dispositivo infetto da malware, come una chiavetta USB, in un luogo dove qualcuno possa trovarlo.

I truffatori si affidano alla curiosità umana per portare a termine la truffa e, inserendo il dispositivo nel computer per vedere cosa contiene, installano a loro volta un malware.

Tailgating

Il tailgating consiste nel seguire un dipendente in un’area riservata. Questi attacchi sono spesso effettuati offline, ma possono portare a futuri attacchi online.

Un esempio comune di questo tipo di attacco è rappresentato da qualcuno che si finge un autista di consegne e aspetta che un dipendente si avvicini all’edificio. A quel punto, l’aggressore gli chiederà di tenergli aperta la porta in modo da poter accedere. Una volta dentro, l’aggressore può accedere a informazioni aziendali sensibili.

Per evitare di cadere vittima di questo tipo di attacchi, puoi seguire una serie di accorgimenti. Non aprire mai e-mail da fonti sconosciute, non cliccare su link sospetti, installa un software antivirus e leggi l’informativa sulla privacy della tua azienda.

Per scoprire come MetaCompliance può aiutarti a proteggerti da questi tipi di attacchi di social engineering, clicca qui.