Che cos’è l’ingegneria sociale?

Il significato e i 5 tipi principali

Ingegneria sociale

Sapevi che gli hacker possono penetrare nel tuo computer o in altri dispositivi connessi a Internet senza nessuna vera e propria attività di hacking? Cercano di manipolarti per instaurare un rapporto di fiducia e indurti a condividere le tue informazioni private, e potresti non rendertene conto fino a quando non sarà troppo tardi. Rischi di diventare vittima dell’ingegneria sociale ogni volta che apri link nelle e-mail che ricevi senza controllare attentamente il nome del mittente o ogni volta che divulghi le tue informazioni personali nelle e-mail.

Sommario: L’ingegneria sociale consiste nell’utilizzo di metodi non tecnici da parte di un hacker per ingannare una potenziale vittima e spingerla a condividere le proprie informazioni personali. Gli hacker cercano di convincere il proprio obiettivo, tramite l’inganno, che tali informazioni siano utili per ottenere password, dati relativi al conto bancario e altre informazioni personali. Continua a leggere per saperne di più sui cinque tipi più comuni di ingegneria sociale.

Social Engineering

Che cos’è l’ingegneria sociale?

L’ingegneria sociale è un termine generico che comprende diversi metodi e tecniche, impiegati dagli hacker e altri criminali informatici per ingannare le vittime ignare e spingerle a condividere i propri dati personali, ad aprire link che indirizzano a siti web infetti o a consentire inconsapevolmente agli hacker di installare software malevolo sui propri computer. Gli hacker manipolano le loro vittime aggirando le normali procedure di sicurezza informatica al fine di ottenere l’accesso ai computer e/o alle informazioni personali, solitamente per un guadagno economico.

Il termine ingegneria sociale ha origine nelle scienze sociali, dove indica qualsiasi tentativo da parte dei principali attori del cambiamento (ad esempio media, governi o gruppi privati) per influenzare o modellare il comportamento della popolazione di riferimento. In termini più semplici, l’ingegneria sociale sfrutta la manipolazione per raggiungere un obiettivo, sia esso buono (ad esempio, la promozione della tolleranza) o cattivo (ad esempio, una campagna bellicista). Sebbene risalga alla fine del XIX secolo, il termine ingegneria sociale è ora strettamente legato alla sicurezza informatica.

Per portare a termine i loro attacchi, molti hacker fanno affidamento sulla disponibilità ad aiutare delle loro potenziali vittime. Allo stesso modo, possono provare a fare leva sulla mancanza di conoscenze tecniche. Nella maggior parte dei casi, tuttavia, gli hacker svolgeranno ricerche sul potenziale obiettivo: se l’obiettivo è una persona, l’hacker effettuerà un controllo approfondito del suo account sui social network alla ricerca di informazioni personali, tra cui il compleanno, l’indirizzo e-mail, il numero di telefono e i luoghi più visitati.

Il processo è piuttosto diverso se l’obiettivo è un’impresa: gli hacker hanno bisogno di qualcuno all’interno per raccogliere le informazioni aziendali, le attività, la struttura dei dipendenti e l’elenco dei partner commerciali. Di conseguenza, quasi tutti gli hacker si rivolgono a dipendenti di basso livello che hanno accesso a tali informazioni: l’hacker inganna il proprio obiettivo affinché condivida queste informazioni volontariamente oppure infetta il suo computer con software malevolo che ne controllerà l’attività di rete e invierà report dettagliati direttamente allo stesso hacker.

Quali sono i tipi di ingegneria sociale?

L’ingegneria sociale si presenta in varie forme. Alcuni attacchi possono essere effettuati solo offline (ad esempio quando un estraneo, molto educato, si affida alla gentilezza di un dipendente per entrare in ufficio e acquisire le informazioni di persona). Altri attacchi di ingegneria sociale avvengono telefonicamente: in questi attacchi, noti come “vishing” (voice phishing), una persona si spaccia per un collega o un’autorità e richiede direttamente le informazioni desiderate.

Tra i i cinque tipi più comuni di ingegneria sociale:

1. Spear phishing

Mentre la maggior parte delle campagne di phishing prevede l’invio di e-mail in massa al maggior numero possibile di indirizzi casuali, lo spear phishing si rivolge a gruppi o individui specifici. Gli hacker (noti anche come “phisher”) utilizzeranno i social network per raccogliere informazioni sui loro obiettivi (a volte indicati come “spear”) per personalizzare le e-mail di phishing, facendole sembrare più realistiche e quindi più efficaci.

Nel tentativo di rendere gli attacchi ancora più plausibili, i phisher si presenteranno come amici, partner commerciali o istituzioni esterne in qualche modo correlate alla vittima. Ad esempio, un phisher può fingere di essere un rappresentante della banca della vittima e richiedere le informazioni desiderate; a volta il phisher ricorre al logo e alle immagini ufficiali della banca in questione, così la vittima sarà ancora meno propensa a dubitare dell’autenticità del messaggio.

2. Baiting

Il baiting è diverso dalla maggior parte degli altri tipi di ingegneria sociale online, in quanto comprende anche un componente fisico. Come suggerisce il nome, il baiting implica un’esca fisica a cui la vittima deve abboccare affinché l’attacco abbia successo. Ad esempio, l’hacker può lasciare una chiavetta USB infetta da malware sulla scrivania della vittima, sperando che la vittima abbocchi all’esca e la colleghi al computer; per aumentare le possibilità di successo, l’hacker potrebbe anche etichettare la chiavetta USB come “importante” o “confidenziale”.

Se la vittima abbocca all’esca e inserisce la chiavetta USB nel proprio computer, installerà immediatamente software malevolo sul proprio PC. A sua volta, l’hacker otterrà informazioni dettagliate sulle attività online e offline, nonché l’accesso a file e cartelle. Se il computer infetto fa parte di una rete, l’hacker otterrà anche l’accesso immediato a tutti gli altri dispositivi all’interno della stessa rete.

3. Pretexting

Il pretexting consiste nell’utilizzare un pretesto accattivante pensato per catturare l’attenzione dell’obiettivo e di “agganciarlo”. Una volta che l’obiettivo è immerso nella storia, l’hacker tenterà di ingannare la potenziale vittima spingendola a fornire informazioni preziose. Questo tipo di ingegneria sociale è alla base delle cosiddette truffe e-mail nigeriane che ti promettono un sacco di soldi se fornisci le informazioni del tuo conto bancario; se ci caschi, non solo non vedrai un centesimo, ma potresti addirittura perdere i soldi sul tuo conto.

4. Spam dei contatti

Lo spam dei contatti è forse la forma più diffusa di ingegneria sociale online. Come suggerisce lo stesso nome, gli hacker utilizzano questo metodo per inviare messaggi di spam a tutti i contatti delle loro vittime. Queste e-mail saranno inviate dalla rubrica delle vittime, quindi sembreranno più realistiche agli occhi del destinatario. Ancora più importante, le probabilità che finiscano nella cartella spam sono di gran lunga inferiori.

Questo metodo funziona in maniera semplicissima. Ti arriva un’e-mail da un amico con un Oggetto molto informale (es. “Dai un’occhiata!”), la apri e all’interno è presente un link testuale; il link è generalmente abbreviato, quindi non potrai capire di cosa si tratta senza cliccarci sopra; quando clicchi, verrà inviata una copia esatta dell’e-mail a tutti i tuoi contatti, continuando così la catena di spam. Inoltre, il link potrebbe reindirizzarti a un sito web malevolo e scaricare spyware o altri software malevoli sul tuo computer.

5. Quid pro quo

Quid pro quo (espressione latina che nei Paesi anglosassoni significa “un favore in cambio di un favore”) è un tipo di ingegneria sociale che comporta uno scambio di favori e servizi tra un hacker e il suo obiettivo ignaro. Generalmente, gli hacker fingono di essere tecnici del supporto IT e richiedono informazioni di accesso per svolgere un controllo della sicurezza informatica presumibilmente importante. Inoltre, potrebbero richiederti di disabilitare il tuo software antivirus o di installare un programma che ti hanno inviato, così potranno accedere al tuo computer e installare malware.

Esempi di attacchi di ingegneria sociale

Tra alcuni dei maggiori attacchi di ingegneria sociale degli ultimi anni:

  • Nel 2017, è stata inviata la stessa e-mail di phishing a oltre un milione di utenti di Google Documenti, che includeva una richiesta di condivisione di contenuto da parte di un contatto. Cliccando sul link all’interno dell’e-mail, gli utenti sono stati reindirizzati a una pagina di accesso di Google Documenti falsa, in cui in molti hanno inserito i propri dati di accesso di Google. In questo modo, gli hacker hanno potuto accedere a oltre un milione di account Google, completi di e-mail, contatti, documenti online e backup dello smartphone.
  • Nel 2007, un tesoriere del Michigan fu vittima di una truffa nigeriana di pretexting che coinvolgeva un principe fittizio che voleva fuggire dalla Nigeria, ma aveva bisogno di aiuto per trasferire la sua fortuna fuori dal Paese. Nel giro di pochi mesi, il tesoriere effettuò diversi pagamenti, per un totale di 185.000 di dollari (di cui 72.000 dollari di propria tasca) agli hacker artefici di questa truffa via e-mail. Successivamente fu rivelato che il resto dei fondi proveniva dai 1,2 milioni di dollari che aveva indebitamente sottratto durante i suoi 13 anni di servizio pubblico.
  • Nel 2013, gli hacker sono riusciti a rubare i dati delle carte di credito di oltre 40 milioni di clienti di Target. Secondo i resoconti ufficiali, gli hacker hanno dapprima studiato il principale subappaltatore di aria condizionata della catena di negozi e si sono rivolti ai suoi dipendenti con e-mail di phishing. In seguito, hanno potuto accedere alla rete di Target e rubare le informazioni di pagamento dei clienti. Sebbene il perpetratore non sia mai stato catturato, Target ha dovuto pagare 18,5 milioni di dollari nel 2017 per saldare le richieste dello Stato.

Come proteggerti dagli attacchi di ingegneria sociale

Poiché gli hacker che si occupano delle truffe di ingegneria sociale si affidano molto spesso alla gentilezza delle vittime e alla loro disponibilità ad aiutare, il modo migliore per proteggersi è essere più sospettosi sul web. Anche se è importantissimo utilizzare i migliori software antivirus, devi prestare comunque molta attenzione su Internet.

Se qualcuno ti invia un’e-mail affermando di essere uno dei tuoi fornitori o partner commerciali, devi contattare l’ufficio prima di rispondere all’e-mail o aprire qualsiasi link o allegato. Allo stesso modo, se un’e-mail presumibilmente inviata da un amico sembra sospetta, chiama l’amico in questione per verificare. Indipendentemente dalla persona a cui scrivi, non rivelare mai i dati della tua carta di credito, i dati del tuo conto bancario, il tuo numero di previdenza sociale o qualsiasi altra informazione personale in un’e-mail.

Oltre a manipolare le tue emozioni, gli hacker tenteranno spesso di indurti a installare software malevolo sul tuo computer. In base al tipo di software, potrebbero monitorare la tua attività, copiare ed eliminare i tuoi file e altri dati, nonché rubare le tue password, i dati della carta di credito e altre informazioni sensibili. Affinché ciò non succeda, è necessario utilizzare i migliori software antivirus in grado di trovare e rimuovere facilmente software malevolo e proteggere il tuo computer da tutte le potenziali minacce.

Fonti (in inglese)

 

    Sei protetto?

    Gli hacker utilizzano spesso software malevoli per monitorare la tua attività, accedere ai tuoi file e rubare i tuoi dati. Non lasciare la tua sicurezza online al caso.