L’ingegneria sociale – o Social Engineering – è un termine che negli ultimi tempi ha guadagnato sempre più attenzione, poiché rappresenta una minaccia insidiosa per la sicurezza dei dati aziendali e personali.
Si tratta di una forma di manipolazione che sfrutta la psicologia umana (o banalmente, buona fede) per indurre l’utente a compiere un’azione che non dovrebbe fare. Pensa, ad esempio, alle mail che puntano sull’avidità e promettono falsi sconti su prodotti costosi ma solo se clicchi su quel link e lasci i tuoi dati personali. Oppure, ricordi quel curioso messaggio del corriere dove ti invitava a fornire e-mail e password per sbloccare il ritiro di un finto pacco?
Il Social Engineering, come vedi, non si serve di bug o firewall ma punta sulle debolezze dell’individuo per spingerlo in modo subdolo a fornire volontariamente i propri dati sensibili. In questo caso, si tratta di messaggi destinati a semplici utenti, ma sapevi che le tecniche Ingegneria Sociale sono un concreto rischio anche per le aziende?
Lato business, informarsi può non bastare. Un buon modo per capire come tutelarsi è comprendere, attraverso un test di consulenza di Cyber Security, quanto e se la propria azienda si trovi in pericolo. Solo dopo (e leggendo questo articolo), potrai esplorare meglio l’ingegneria sociale come funziona, gli esempi e i metodi impiegati dagli ingegneri sociali e i nostri consigli pratici su come proteggersi.
Ingegneria Sociale: cos’è
Come anticipato, vogliamo darti subito qualche informazione sull’ingegneria sociale cos’è. In primo luogo, si tratta di una forma sofisticata di manipolazione psicologica finalizzata a ottenere informazioni sensibili, accesso a sistemi informatici o a indurre le vittime a compiere azioni che altrimenti non compierebbero. Questa pratica sfrutta la buona fede, giocando sulla fiducia e sulla volontà dell’uomo che ha di cooperare.
Ingegneria Sociale: come funziona in modo pratico
Immagina questa situazione: ricevi una chiamata da qualcuno che si presenta come un professionista in Consulenza IT di un’azienda con cui collabori. Questa persona sembra conoscere molti dettagli sulla tua impresa e ti dice che c’è un problema urgente che deve essere risolto accedendo al tuo computer. Ovviamente ti chiederà in modo gentile di fornire le tue credenziali di accesso. Nel caso in cui ti sembri una persona fidata ed affidabile, potresti essere portato a condividere queste informazioni senza rendertene conto. Questo è un esempio di Ingegneria Sociale.
Rispondendo alla domanda “come funziona Ingegneria Sociale”, come hai potuto vedere, un soggetto che usa questa tecnica può adottare diverse identità, dall’esperto tecnico al dipendente aziendale, al fine di ottenere l’accesso alle informazioni che desidera. Questa tecnica può essere pericolosa sia per gli individui che per le aziende, poiché può portare al furto di dati sensibili, al phishing e persino al controllo totale di sistemi informatici aziendali. Attenzione: le tecniche di Ingegneria Sociale possono colpire qualsiasi tipologia di azienda, anche un e-commerce. Per questo è fondamentale tutelarsi con strategie di Business Security o, in questo caso, di E-Commerce Security.
LEGGI ANCHE: Protezione rete aziendale: 5 soluzioni per evitare rischi
Ingegneria Sociale: Tecniche
Ingegneria sociale e tecniche: quali sono quelle utilizzate per manipolare le persone e ottenere ciò che gli hacker desiderano? Di seguito alcuni esempi:
- Phishing: i malintenzionati inviano e-mail o messaggi convincenti che sembrano provenire da fonti affidabili, con l’obiettivo di indurre le vittime a rivelare informazioni sensibili o a cliccare su link dannosi. Il più delle volte queste mail presentano un link sospetto o una richiesta “insolita” di accesso a dei dati aziendali e può capitare provengano, ad esempio, da un dipendente sconosciuto;
- Whaling: si tratta di una truffa che coinvolge le figure più prestigiose di un’azienda ed ha un obiettivo: ottenere informazioni preziose sull’intera impresa, (informazioni che un dipendente comune molto probabilmente non disporrebbe);
- Influenza Emotiva: i malintenzionati sfruttano le emozioni delle vittime, come la paura o l’empatia, per ottenere ciò che vogliono. Ad esempio, possono fingere di essere in difficoltà finanziarie o di necessitare di aiuto. Oppure, facendo leva sulla paura di perdere un’occasione (pensiamo alla FOMO), si incentiva l’utente a fornire i propri dati personali al malfattore in questione. Un esempio lampante: un finto titolare d’azienda che chiede dei dati sensibili in cambio di ferie o regali;
- Ingegneria Sociale Online: gli ingegneri sociali monitorano i social media e altre fonti online per raccogliere informazioni personali, che possono poi utilizzare per costruire un profilo dettagliato delle loro vittime.
Ingegneria Sociale: Tecniche
Ingegneria sociale e tecniche: quali sono quelle utilizzate per manipolare le persone e ottenere ciò che gli hacker desiderano? Di seguito alcuni esempi:
- Phishing: i malintenzionati inviano e-mail o messaggi convincenti che sembrano provenire da fonti affidabili, con l’obiettivo di indurre le vittime a rivelare informazioni sensibili o a cliccare su link dannosi. Il più delle volte queste mail presentano un link sospetto o una richiesta “insolita” di accesso a dei dati aziendali e può capitare provengano, ad esempio, da un dipendente sconosciuto;
- Whaling: si tratta di una truffa che coinvolge le figure più prestigiose di un’azienda ed ha un obiettivo: ottenere informazioni preziose sull’intera impresa, (informazioni che un dipendente comune molto probabilmente non disporrebbe);
- Influenza Emotiva: i malintenzionati sfruttano le emozioni delle vittime, come la paura o l’empatia, per ottenere ciò che vogliono. Ad esempio, possono fingere di essere in difficoltà finanziarie o di necessitare di aiuto. Oppure, facendo leva sulla paura di perdere un’occasione (pensiamo alla FOMO), si incentiva l’utente a fornire i propri dati personali al malfattore in questione. Un esempio lampante: un finto titolare d’azienda che chiede dei dati sensibili in cambio di ferie o regali;
- Ingegneria Sociale Online: gli ingegneri sociali monitorano i social media e altre fonti online per raccogliere informazioni personali, che possono poi utilizzare per costruire un profilo dettagliato delle loro vittime.
Ingegneria Sociale: esempi celebri
Sapevi che ci sono esempi di Ingegneria Sociale davvero celebri che ci possono dimostrare quanto tutti – ma davvero tutti – siamo esposti ogni giorno a questo problema?
Vogliamo elencartene alcuni.
Ingegneria Sociale esempi: la truffa a Google e Facebook del 2017
Nel 2017, un attacco di ingegneria sociale colpì niente meno che Google e Facebook. L’hacker coinvolto si fece passare per un fornitore di servizi mail e cominciò ad inviare ai dipendenti di entrambe le aziende messaggi di posta elettronica apparentemente autentici. Questi contenevano richieste di accesso a informazioni sensibili e dettagli di account.
Gli utenti, ignari, risposero alle richieste dell’hacker e fornirono volontariamente le loro credenziali d’accesso. Una volta in possesso delle credenziali, l’hacker riuscì ad accedere alle informazioni riservate fino a causare danni considerevoli.
Ingegneria Sociale esempi: la truffa “ILOVEYOU” del nuovo millennio
Il virus “ILOVEYOU” fu uno dei worm informatici più famosi e distruttivi della storia. Si diffuse principalmente tramite e-mail e messaggi istantanei grazie ad un oggetto accattivante del tipo “ILOVEYOU” o “Love Letter for You.” Quando gli utenti aprirono l’allegato, il worm infettò i loro sistemi e iniziò a diffondersi attraverso l’elenco dei contatti delle vittime.
Oltre a propagarsi rapidamente, il virus “ILOVEYOU” cancellò o sovrascrisse file importanti sui computer infetti, causando notevoli danni. Questo attacco rappresenta un esempio di come l’ingegneria sociale possa sfruttare l’emotività delle persone per ottenere l’accesso ad informazioni influenti
Ingegneria Sociale: come riconoscerla
Come riconoscere un attacco di ingegneria sociale? Questo richiede senza dubbio attenzione e consapevolezza. Ecco alcuni segnali da osservare:
- Richieste insolite: presta attenzione alle richieste di informazioni sensibili o di accesso che ti sembrano strane, sospette e fuori dall’ordinario;
- Occhio a chi chiede i tuoi contatti: se qualcuno si presenta come un professionista ma non può fornire dettagli specifici su chi è e su cosa si occupa, potrebbe essere un segnale di allarme;
- Link sospetti: evita di cliccare su link di mail sospette e non scaricare gli allegati da fonti sconosciute, anche nel caso si tratti di messaggi Whatsapp;
- Richieste troppo urgenti? Può essere una fregatura: se ricevi messaggi o richieste dove ti viene domandato di fornire dei dati aziendali nell’immediato e con fretta troppo sospetta, potrebbe trattarsi di un tentativo di Ingegneria Sociale.
Ingegneria Sociale: come difendersi
Proteggersi dall’Ingegneria Sociale, sia per un’azienda che per un utente comune, richiede attenzione costante e precauzioni adeguate. Ecco cosa fare:
- Formazione sulla sicurezza aziendale: informati e informa i tuoi dipendenti sulle tecniche di ingegneria sociale più utilizzate, in modo tale da riconoscerle ed evitare di abboccare a delle fregature;
- Controllo del mittente: verifica sempre l’identità di chi richiede le tue informazioni o dati d’accesso;
- Istituisci una Privacy Policy: tutti i dipendenti dovrebbero conoscere le best practices di sicurezza per prevenire attacchi di Ingegneria Sociale. Lavora in questo senso, fornendo loro delle linee guida;
- Fai un test di Vulnerability Assessment: ti aiuterà a comprendere eventuali vulnerabilità presenti nel tuo sistema informatico, in modo da rimediare tempestivamente;
- Software di Sicurezza: per un aiuto in più, utilizza software di sicurezza con Security Database per proteggerti da e-mail e link dannosi. Inoltre, può esserti utile integrare dei sistemi informatici più complessi o istituire una tua rete aziendale, in modo da preservare i dati sensibili della tua azienda.
LEGGI ANCHE: Penetration Test: cos’è e perché è importante per le aziende
Ingegneria sociale: ora è tutto chiaro?
L’ingegneria sociale rappresenta una minaccia reale e in continua evoluzione per la sicurezza dei dati personali e aziendali. Comprendere le sue tecniche e imparare a riconoscerla sono passi essenziali per proteggersi da attacchi di questo genere. Mantenendo alta la consapevolezza e seguendo le migliori pratiche di tutela, è possibile difendersi con successo dagli ingegneri sociali e preservare la propria sicurezza online.