Cos'è l'ingegneria sociale?

Scopri strategie efficaci per proteggere le tue informazioni personali e difenderti dall'ingegneria sociale, una tattica astuta usata dai criminali informatici per manipolare le persone.

SCARICA ANTIVIRUS GRATIS E SCANSIONE VIRUS

Cosa sono gli attacchi di ingegneria sociale?

Gli attacchi di ingegneria sociale nel mondo informatico sono metodi sofisticati usati dai criminali per manipolare le persone a compromettere la propria sicurezza. Questi attacchi spesso portano le vittime a inviare denaro inconsapevolmente, a divulgare informazioni personali o aziendali sensibili, o a violare protocolli di sicurezza.

L'efficacia dell'ingegneria sociale risiede nella capacità di sfruttare emozioni umane come paura, curiosità o empatia, portando le persone ad agire impulsivamente contro il loro miglior giudizio. Comprendendo e giocando su questi inneschi emotivi, gli aggressori persuadono le vittime a prendere decisioni che possono sembrare irrazionali a posteriori, come scaricare software dannosi, visitare siti non sicuri o condividere dati riservati.

Come funziona l'ingegneria sociale?

L'ingegneria sociale coinvolge tattiche psicologiche per manipolare le persone a rivelare informazioni sensibili, cruciali per l'accesso ai sistemi o il furto d'identità. Sfrutta l'errore umano, spesso tramite inganno o impersonificazione, portando a violazioni della sicurezza e compromissione dei dati, senza fare affidamento su metodi di hacking tecnico.

Gli attacchi di ingegneria sociale sono tipicamente processi in più fasi. Inizialmente, l'attaccante ricerca il bersaglio per raccogliere abbastanza informazioni e dettagli di sfondo essenziali, identificando vulnerabilità e misure di sicurezza deboli fondamentali per il successo dell'attacco. Successivamente, l'attaccante impiega tattiche come il pretexting o l'impersonificazione di figure autoritarie per guadagnare la fiducia della vittima. Questa manipolazione ha lo scopo di provocare azioni che compromettano la sicurezza, come divulgare informazioni riservate o fornire accesso a sistemi vitali.

Gli attacchi di ingegneria sociale manipolano la psicologia umana per bypassare le misure di sicurezza tecniche. Selezionano attentamente la loro vittima in base a vari fattori. Le tattiche principali includono:

  1. Impersonificazione: Gli aggressori spesso si mascherano come entità rispettabili—grandi marchi, agenzie governative o figure autoritarie—per guadagnare fiducia. Ad esempio, possono creare siti fraudolenti che rispecchiano grandi marchi per ingannare gli utenti a rivelare informazioni sensibili.
  2. Sfruttare le Emozioni: Questi attacchi sfruttano comunemente emozioni come paura, urgenza o avidità. I truffatori potrebbero inviare messaggi allarmanti riguardo a un conto bancario compromesso, o attirare le vittime con promesse fraudolente di guadagni finanziari, come il famigerato schema dell'e-mail del ‘Principe Nigeriano’.
  3. Sfruttare la Benevolenza o la Curiosità: Gli ingegneri sociali sfruttano anche l'inclinazione naturale delle persone ad aiutare o la loro curiosità. Potrebbero inviare email che sembrano provenire da amici o social network, chiedendo informazioni di contatto, assistenza o inducendo gli utenti a cliccare su un link dannoso sotto la veste di una storia intrigante o una risorsa utile.

Comprendere queste tattiche è fondamentale per riconoscere e sventare gli attacchi di ingegneria sociale. Si basano sulla natura umana piuttosto che sui difetti tecnologici, rendendo la consapevolezza e la vigilanza difese chiave contro tali minacce.

Come proteggersi dagli attacchi di ingegneria sociale

Gli attacchi di ingegneria sociale possono assumere molte forme, dalle email di phishing alla manipolazione tramite telefonate o messaggi di testo. Poiché prendono di mira principalmente le vulnerabilità umane piuttosto che i difetti tecnologici, difendersi richiede una combinazione di consapevolezza, vigilanza e salvaguardie tecnologiche.

I seguenti passaggi offrono un approccio completo per migliorare la tua difesa contro questi attacchi sempre più comuni e sofisticati:

  1. Usa l'Autenticazione a Più Fattori: Implementare l'autenticazione a due fattori o a più fattori è fondamentale. Aggiunge un ulteriore livello di sicurezza, garantendo che anche se le credenziali di accesso vengono compromesse, l'accesso non autorizzato è comunque impedito.
  2. Formazione sulla consapevolezza della sicurezza: È fondamentale che tutto il personale sia addestrato regolarmente a riconoscere e rispondere agli attacchi di ingegneria sociale. Questo addestramento dovrebbe includere l'identificazione di attività sospette e l'importanza di non condividere informazioni sensibili.
  3. Installare un solido programma di cybersecurity: Utilizza software di sicurezza informatica completi, come Malwarebytes, in grado di riconoscere e neutralizzare le minacce, inclusi siti web dannosi, malvertising, malware, virus e ransomware.
  4. Implementa Politiche di Controllo degli Accessi e Tecnologie di Sicurezza Informatica: Imporre rigide politiche di controllo degli accessi, inclusa l'autenticazione adattiva e un approccio di sicurezza a fiducia zero. Utilizza tecnologie come filtri antispam, gateway email sicuri, firewall, software antivirus e mantieni i sistemi aggiornati con le ultime patch.
  5. Attiva i Filtri Antispam: Attiva i filtri antispam per bloccare le email di phishing e altre forme di spam. Mentre alcune email legittime potrebbero essere filtrate, puoi mitigare questo problema contrassegnandole come "non spam" e aggiungendo i mittenti legittimi alla tua lista di contatti.
  6. Impara a Riconoscere le Email di Phishing: Educati e educa altri su come identificare i tentativi di phishing. Cerca segnali di allarme come indirizzi del mittente non corrispondenti, saluti generici, URL insoliti, grammatica scadente e offerte che sembrano troppo belle per essere vere.
  7. Disabilita le Macro nei Documenti: Disattiva le macro nei tuoi software. Sii cauto con gli allegati email che ti chiedono di abilitare le macro, specialmente da fonti sconosciute. In caso di dubbio, verifica la legittimità dell'allegato con il mittente.
  8. Non Rispondere a Supposti Truffe: Evita di rispondere a potenziali truffe, sia tramite email, SMS o telefonate. Rispondere conferma ai truffatori che le tue informazioni di contatto sono valide, incoraggiando ulteriori tentativi. Inoltra i messaggi sospetti al 7726 (SPAM) per aiutare il tuo operatore a filtrare lo spam.

Implementando queste strategie, puoi creare un sistema di difesa robusto contro gli attacchi di ingegneria sociale, proteggendo sia i tuoi dati personali che le informazioni sensibili della tua organizzazione. Ricorda, restare informato e cauto è la tua prima linea di difesa nel panorama in continua evoluzione delle minacce informatiche.

Tipi di attacchi di ingegneria sociale

Gli attacchi di ingegneria sociale avvengono prevalentemente attraverso varie [forme di phishing]( https://www.malwarebytes.com/phishing). Questi attacchi sfruttano la psicologia e la fiducia umana, piuttosto che affidarsi a metodi tecnici di hacking. L'efficacia e la diffusione del phishing ne fanno un problema critico sia per gli individui che per le organizzazioni. Ecco una descrizione più dettagliata di ciascun tipo:

  1. Phishing tramite Email: Gli aggressori si impersonano come entità legittime attraverso email, ingannando i destinatari a rivelare dati personali o credenziali. Queste email contengono spesso link a siti ingannevoli o allegati dannosi.
  2. Phishing di Massa: Questo metodo implica l'invio della stessa email di phishing a milioni di persone. Le email sembrano provenire da organizzazioni riconoscibili e spesso richiedono informazioni personali sotto pretesti falsi.
  3. Spear Phishing: Una forma più mirata di phishing, dove gli attaccanti personalizzano i loro messaggi per specifiche persone utilizzando informazioni tratte dai social media o reti professionali.
  4. Whale Phishing: Una tattica di spear phishing di alto livello rivolta a dirigenti senior o individui di alto profilo. Questi attacchi sono altamente personalizzati e spesso implicano inganni complessi.
  5. Phishing Vocale (Vishing): Questa tecnica utilizza telefonate per ingannare le persone a divulgare informazioni sensibili. Gli aggressori possono fingere di essere organizzazioni legittime o figure autoritarie.
  6. SMS Phishing (Smishing): Una variante del phishing condotta tramite messaggi di testo. Questi messaggi attirano i destinatari a cliccare su link dannosi o a divulgare informazioni sensibili.
  7. Phishing tramite Motori di Ricerca: In questo approccio, gli attaccanti creano siti falsi che appaiono in alto nei risultati dei motori di ricerca. Quando gli utenti visitano questi siti, rischiano il furto di informazioni.
  8. Phishing su Piattaforme Social: Questa forma sfrutta le piattaforme social, dove gli aggressori creano account di servizio clienti falsi per interagire con le vittime, spesso portandole a siti di phishing.

Dopo il Phishing, gli altri metodi di ingegneria sociale sono:

  1. Esca: Attira le vittime con una falsa promessa di beni o servizi per rubare informazioni o installare malware.
  2. Tailgating/Piggybacking: Comporta l'accesso non autorizzato ad aree riservate seguendo fisicamente una persona autorizzata o sfruttando digitalmente una sessione attiva di qualcun altro.
  3. Pretexting: Gli aggressori fabbricano scenari per estrarre informazioni sensibili o ottenere accesso, spesso impersonando qualcuno con autorità o necessità di verificare l’identità.
  4. Quid Pro Quo: Offre un servizio o beneficio in cambio di informazioni sensibili, sfruttando il desiderio della vittima di un buon affare o ricompensa.
  5. Scareware: Utilizza tattiche di paura per manipolare le vittime a installare malware o rivelare informazioni riservate.
  6. Attacco Watering Hole: Prende di mira gruppi specifici infettando siti web che visitano frequentemente, portando al furto di dati o installazione di malware.
  7. Trojan Attacks: Malware mascherato da software legittimo, spesso diffuso tramite allegati email provenienti da fonti apparentemente affidabili.
  8. Truffe di Supporto Tecnico: Ingannano le vittime facendole credere che il loro dispositivo sia compromesso e richiedono denaro per "riparazioni" inutili.
  9. Chiamate di Truffa: Comporta l'uso di telefonate (inclusi robocall) per truffare le vittime, spesso fingendosi organizzazioni legittime o autorità.

Comprendere questi metodi di phishing e altre tattiche di ingegneria sociale è cruciale per proteggersi da queste minacce prevalenti e in evoluzione.

Esempi di attacchi di ingegneria sociale

Ecco alcuni esempi reali di ingegneria sociale di cui abbiamo parlato su Malwarebytes Labs. In ciascun esempio, i truffatori di ingegneria sociale cercano il bersaglio giusto e il giusto innesco emotivo. A volte la combinazione di bersaglio e innesco può essere iper-specifica (come nel caso di un attacco di spear phishing). Altre volte, i truffatori possono colpire un gruppo molto più ampio.

La truffa della sextortion: In questo primo esempio, i truffatori lanciando un'ampia rete. L'obiettivo? Chiunque guardi porno. La vittima viene avvisata tramite email che la loro webcam è stata presumibilmente hackerata e usata per registrarli mentre guardano video per adulti. Il truffatore afferma anche di aver hackerato l'account email del destinatario, utilizzando una vecchia password come prova. Se la vittima non paga in Bitcoin, il truffatore minaccia di diffondere il video a tutti i contatti della vittima. Generalmente, il truffatore non ha un video di te e la tua vecchia password proviene da una precedente violazione di dati.

La truffa del nonno: Questa truffa circola da anni e prende di mira chiunque abbia famiglia viva, solitamente gli anziani. I genitori o i nonni ricevono una chiamata o un messaggio di testo dal truffatore, che si spaccia per un avvocato o un agente di polizia. Il truffatore sostiene che il parente della vittima sia stato arrestato o ferito e ha bisogno di denaro per coprire la cauzione, spese legali o ospedaliere. Nel caso della versione tramite SMS della truffa, rispondere costa alla vittima del denaro.

La truffa del Social Security Number: In quest'inganno, le cose iniziano a restringersi poiché riguarda solo i cittadini statunitensi. La vittima riceve una chiamata preregistrata che afferma di provenire dall'Amministrazione della Sicurezza Sociale. Il messaggio asserisce che il SSN della vittima è stato "sospeso" per "tracce di informazioni sospette." Anche se il tuo SSN non può essere sospeso, se la vittima cade nella trappola e richiama, le verrà chiesto di pagare una multa per sistemare tutta la situazione.

La truffa di John Wick 3: Ecco un buon esempio di spear phishing. In questo caso i truffatori cercano un bersaglio molto specifico: un fan di John Wick che ama i fumetti, ma preferisce leggerli su Amazon Kindle. Mentre cerca i fumetti di John Wick, al bersaglio viene offerta una copia gratuita del terzo film di John Wick—al momento della truffa, il film non era ancora uscito nelle sale. Seguire il link incorporato nella descrizione del film porta la vittima in un vortice di siti di streaming illegali per film piratati.

Truffe Coronavirus: I truffatori hanno preso nota della mancanza di informazioni sul virus, specialmente nei primi giorni e mesi dell'epidemia. Mentre i funzionari sanitari lottavano per capire il virus e come si diffonde da persona a persona, i truffatori colmarono le lacune con siti web falsi e email spam.

Abbiamo segnalato email di spam che si spacciavano per informazioni sui virus provenienti dall'Organizzazione Mondiale della Sanità. In realtà, le email contenevano allegati pieni di malware. In un altro esempio, Labs aveva segnalato un sito di tracciamento COVID-19 che mostrava le infezioni nel mondo in tempo reale. Dietro le quinte, il sito caricava un Trojan in grado di rubare informazioni nei computer delle vittime.

Che cos'è il phishing?

Che cos'è lo spear phishing?

Cos'è un attacco vishing?

Cos'è il catfishing?

Cos'è il furto d'identità?

FAQs

Qual è la differenza tra ingegneria sociale e ingegneria sociale inversa?

Nell'ingegneria sociale, gli aggressori si avvicinano agli obiettivi per manipolarli e convincerli a condividere informazioni. Nell'ingegneria sociale inversa, le vittime entrano inconsapevolmente in contatto con gli aggressori ingannevoli.