Che cos'è l'ingegneria sociale? È una forma di attacco informatico che prevede l'uso della manipolazione e dell'inganno per ottenere l'accesso a dati o informazioni. L'obiettivo dell'ingegneria sociale è quello di indurre le persone a divulgare informazioni sensibili, come password e dettagli di rete, facendo credere loro che stanno interagendo con qualcuno di cui si fidano.
In alcuni casi, gli ingegneri sociali cercheranno anche di farvi scaricare sul vostro computer, senza che ve ne accorgiate, del malware, un software che può essere utilizzato per scopi dannosi.
Che cos'è l'ingegneria sociale: Definizione
L'ingegneria sociale consiste nel manipolare le persone affinché compiano azioni o divulghino informazioni riservate. Si tratta di una forma di hacking, ma invece di introdursi nei computer, gli ingegneri sociali cercano di accedervi inducendo i dipendenti a fornire informazioni o a scaricare malware.
Tecniche di ingegneria sociale: Come funziona l'ingegneria sociale?
- Il social engineering può essere effettuato per telefono, via e-mail o tramite messaggi di testo. Un social engineer può chiamare un'azienda e chiedere l'accesso a un'area riservata, oppure può impersonare una persona per convincerla ad aprire un account di posta elettronica per suo conto.
- Gli ingegneri sociali utilizzano diverse tattiche per raggiungere i loro obiettivi. Ad esempio, possono affermare di chiamare dall'help desk di un'azienda e richiedere l'accesso remoto per poter risolvere un problema sul computer o sulla rete. Oppure possono affermare di aver bisogno della vostra password o di altre informazioni personali, come le credenziali bancarie, per risolvere un problema con il vostro conto corrente.
- In alcuni casi, i social engineer si fingono addirittura agenti delle forze dell'ordine e minacciano azioni legali se ci si rifiuta di soddisfare le loro richieste di informazioni. Sebbene sia importante che le aziende prendano sul serio queste minacce, ricordate che la polizia non chiamerà mai qualcuno per chiedergli la password al telefono!
Scopo dell'ingegneria sociale
L'ingegneria sociale è spesso utilizzata negli attacchi di phishing, ovvero messaggi di posta elettronica che sembrano provenire da una fonte attendibile ma che in realtà mirano a rubare le vostre informazioni personali. Le e-mail di solito contengono un allegato con un software dannoso (spesso chiamato malware) che, se aperto, infetterà il vostro computer.
L'obiettivo dell'ingegneria sociale è sempre lo stesso: ottenere l'accesso a qualcosa di prezioso senza dover lavorare per ottenerlo.
1. Rubare informazioni sensibili
Gli ingegneri sociali possono quindi cercare di ingannare l'utente per indurlo a fornire la password e le credenziali di accesso (come il nome utente/l'indirizzo e-mail) in modo da poter accedere al suo account e-mail o al suo profilo sui social media, dove possono rubare informazioni personali come i numeri delle carte di credito e le informazioni sui conti bancari da transazioni precedenti. Potreste sapere come vendere su Instagram, ma siete sufficientemente preparati per proteggere la vostra piccola impresa e il vostro account dagli ingegneri sociali?
2. Furto d'identità
Potrebbero anche utilizzare queste informazioni per assumere l'identità della vittima e svolgere attività dannose spacciandosi per lei, se decidono di non distruggerle immediatamente.
Imparare perché i cyberattaccanti utilizzano comunemente l'ingegneria sociale.
Come identificare un attacco di ingegneria sociale?
1. Fidatevi del vostro istinto
Se ricevete e-mail o telefonate che sembrano sospette, non fornite alcuna informazione prima di aver verificato la vostra identità. Potete farlo chiamando direttamente la vostra azienda o contattando la persona che presumibilmente ha inviato l'e-mail o ha lasciato un messaggio in segreteria.
2. Non inviate i vostri dati personali
Se qualcuno chiede il vostro numero di previdenza sociale o altri dati privati, è segno che sta cercando di approfittare della vostra fiducia e di usarla in seguito contro di voi. Si consiglia di non fornire alcuna informazione se non è assolutamente necessario.
3. Richieste insolite senza contesto
Gli ingegneri sociali di solito fanno grandi richieste senza fornire alcun contesto. Se qualcuno chiede denaro o altre risorse senza spiegare perché ne ha bisogno, probabilmente c'è qualcosa di sospetto. È meglio essere prudenti quando qualcuno fa una richiesta di questo tipo: non si sa mai che tipo di danno si potrebbe fare con l'accesso al vostro conto in banca!
Ecco alcuni modi per individuare gli attacchi di social engineering:
- Ricevere un'e-mail da qualcuno che dichiara di provenire dal reparto IT e che chiede di reimpostare la password e di fornirla in un'e-mail o in un messaggio di testo.
- Ricevere un'e-mail da qualcuno che dichiara di provenire dalla vostra banca e che vi chiede informazioni personali, come il numero di conto o il codice PIN.
- Ricevere un'e-mail da qualcuno che dichiara di provenire dalla vostra banca e che vi chiede informazioni personali, come il numero di conto o il codice PIN.
- Una persona che sostiene di appartenere all'ufficio risorse umane dell'azienda chiede informazioni sull'azienda.
Attacchi di social engineering via e-mail
E-mail di phishing - Sembrano provenire da una fonte legittima, ma in realtà cercano di indurre l'utente ad aprire un allegato o a visitare un sito web dannoso.
Spear phishing - Spear phishing sono più mirati delle e-mail di phishing e utilizzano informazioni sull'utente per sembrare più credibili.
Frode dell'amministratore delegato Frode dell'amministratore delegato è un tipo di truffa di phishing che consiste nell'impersonare un amministratore delegato o un dirigente di alto livello per ottenere l'accesso a informazioni sensibili. Queste possono includere numeri di conti bancari, dettagli di bonifici o persino informazioni sulle buste paga dei dipendenti.
Imparare a conoscere altri tipi di ingegneria sociale attacchi.
Come prevenire l'ingegneria sociale?
Abbiamo alcuni consigli su come prevenire gli attacchi di social engineering e proteggersi da essi.
- Assicuratevi di avere installato un buon software antivirus sui vostri dispositivi e computer.
- Non aprite e-mail o allegati sospetti provenienti da persone che non fanno parte della vostra cerchia di fiducia (compresi quelli provenienti da persone che affermano di essere la vostra banca o la società della carta di credito).
- Non cliccate sui link contenuti nelle e-mail se non siete sicuri che siano sicuri, anche se provengono da qualcuno che conoscete! In caso di dubbio sulla legittimità di un'e-mail, contattate direttamente il mittente tramite telefono o SMS, invece di cercare informazioni online.
- Diffidate di telefonate o messaggi di testo non richiesti che offrono qualcosa di "troppo bello per essere vero" (ad esempio, premi gratuiti e altre offerte per la sottoscrizione di prove gratuite).
- Utilizzare l'autenticazione a due fattori quando possibile: ciò significa che anche se qualcuno è in possesso della vostra password, avrà bisogno di un'altra informazione (come un codice a tempo unico) per accedere al vostro account.
- Impostare i protocolli di autenticazione delle e-mail come DMARC per proteggere i vostri canali e-mail da attacchi di phishing, social engineering e abuso di dominio.
Per riassumere
È importante proteggersi dall'ingegneria sociale perché può comportare la perdita di denaro e di altre informazioni personali, nonché la compromissione dei sistemi di sicurezza e la violazione dei dati.
Per quanto il vostro team IT sia bravo a proteggere la vostra azienda dai cyberattacchi, non potrete mai eliminare completamente il rischio che qualcuno cerchi di entrare nel vostro sistema attraverso metodi di social engineering. Ecco perché è così importante formare i dipendenti sull'identificazione delle e-mail di phishing e di altri tipi di attacchi di ingegneria sociale.