Cos'è l'ingegneria sociale?

Scopri strategie efficaci per proteggere le tue informazioni personali e difenderti dall'ingegneria sociale, una tattica astuta usata dai criminali informatici per manipolare le persone.

SCARICA ANTIVIRUS GRATIS E SCANSIONE VIRUS

In questo articolo:

  • Scoprite cosa sono gli attacchi di social engineering e come i criminali informatici utilizzano la manipolazione psicologica per aggirare la sicurezza e indurre le persone a rivelare informazioni sensibili.
  • Capire come gli aggressori sfruttano le emozioni umane come la paura, la curiosità e l'urgenza attraverso tattiche come l'impersonificazione, il phishing e lo scareware.
  • Scoprite i consigli pratici per proteggervi dall'ingegneria sociale, tra cui l'autenticazione a più fattori, la formazione sulla sicurezza e i filtri antispam.
  • Esplorate i tipi più comuni di attacchi di social engineering, dal phishing all'adescamento, fino alle truffe di assistenza tecnica, e vedete esempi reali come le e-mail di sextortion e la frode COVID-19.

Cosa sono gli attacchi di ingegneria sociale?

Gli attacchi di ingegneria sociale nel mondo informatico sono metodi sofisticati usati dai criminali per manipolare le persone a compromettere la propria sicurezza. Questi attacchi spesso portano le vittime a inviare denaro inconsapevolmente, a divulgare informazioni personali o aziendali sensibili, o a violare protocolli di sicurezza.

L'efficacia dell'ingegneria sociale risiede nella capacità di sfruttare emozioni umane come paura, curiosità o empatia, portando le persone ad agire impulsivamente contro il loro miglior giudizio. Comprendendo e giocando su questi inneschi emotivi, gli aggressori persuadono le vittime a prendere decisioni che possono sembrare irrazionali a posteriori, come scaricare software dannosi, visitare siti non sicuri o condividere dati riservati.

Come funziona l'ingegneria sociale?

L'ingegneria sociale prevede tattiche psicologiche per manipolare le persone a rivelare informazioni sensibili, fondamentali per l'accesso al sistema o per il furto di identità. Sfrutta l'errore umano, spesso attraverso l'inganno o l'impersonificazione, portando a violazioni della sicurezza e compromissione dei dati, senza ricorrere a metodi tecnici di hacking.

Gli attacchi di ingegneria sociale sono tipicamente processi in più fasi. Inizialmente, l'attaccante ricerca il bersaglio per raccogliere abbastanza informazioni e dettagli di sfondo essenziali, identificando vulnerabilità e misure di sicurezza deboli fondamentali per il successo dell'attacco. Successivamente, l'attaccante impiega tattiche come il pretexting o l'impersonificazione di figure autoritarie per guadagnare la fiducia della vittima. Questa manipolazione ha lo scopo di provocare azioni che compromettano la sicurezza, come divulgare informazioni riservate o fornire accesso a sistemi vitali.

Gli attacchi di ingegneria sociale manipolano la psicologia umana per bypassare le misure di sicurezza tecniche. Selezionano attentamente la loro vittima in base a vari fattori. Le tattiche principali includono:

  1. Impersonificazione: Gli aggressori spesso si mascherano come entità rispettabili—grandi marchi, agenzie governative o figure autoritarie—per guadagnare fiducia. Ad esempio, possono creare siti fraudolenti che rispecchiano grandi marchi per ingannare gli utenti a rivelare informazioni sensibili.
  2. Sfruttare le Emozioni: Questi attacchi sfruttano comunemente emozioni come paura, urgenza o avidità. I truffatori potrebbero inviare messaggi allarmanti riguardo a un conto bancario compromesso, o attirare le vittime con promesse fraudolente di guadagni finanziari, come il famigerato schema dell'e-mail del ‘Principe Nigeriano’.
  3. Sfruttare la Benevolenza o la Curiosità: Gli ingegneri sociali sfruttano anche l'inclinazione naturale delle persone ad aiutare o la loro curiosità. Potrebbero inviare email che sembrano provenire da amici o social network, chiedendo informazioni di contatto, assistenza o inducendo gli utenti a cliccare su un link dannoso sotto la veste di una storia intrigante o una risorsa utile.

Comprendere queste tattiche è fondamentale per riconoscere e sventare gli attacchi di ingegneria sociale. Si basano sulla natura umana piuttosto che sui difetti tecnologici, rendendo la consapevolezza e la vigilanza difese chiave contro tali minacce.

Come proteggersi dagli attacchi di ingegneria sociale

Gli attacchi di ingegneria sociale possono assumere molte forme, dalle email di phishing alla manipolazione tramite telefonate o messaggi di testo. Poiché prendono di mira principalmente le vulnerabilità umane piuttosto che i difetti tecnologici, difendersi richiede una combinazione di consapevolezza, vigilanza e salvaguardie tecnologiche.

I seguenti passaggi offrono un approccio completo per migliorare la tua difesa contro questi attacchi sempre più comuni e sofisticati:

  1. Usa l'Autenticazione a Più Fattori: Implementare l'autenticazione a due fattori o a più fattori è fondamentale. Aggiunge un ulteriore livello di sicurezza, garantendo che anche se le credenziali di accesso vengono compromesse, l'accesso non autorizzato è comunque impedito.
  2. Formazione sulla consapevolezza della sicurezza: È fondamentale che tutto il personale sia addestrato regolarmente a riconoscere e rispondere agli attacchi di ingegneria sociale. Questo addestramento dovrebbe includere l'identificazione di attività sospette e l'importanza di non condividere informazioni sensibili.
  3. Installate un solido programma di sicurezza informatica: Utilizzate un software di cybersecurity completo, come Malwarebytes, in grado di riconoscere e neutralizzare le minacce, tra cui siti web dannosi, malvertising, malware, virus e ransomware.
  4. Implementare le politiche di controllo degli accessi e le tecnologie di cybersecurity: Applicare rigorose politiche di controllo degli accessi, tra cui l'autenticazione adattiva e un approccio di sicurezza a fiducia zero. Utilizzare tecnologie come filtri antispam, gateway di posta elettronica sicuri, firewall, software antivirus e mantenere i sistemi aggiornati con le ultime patch.
  5. Attiva i Filtri Antispam: Attiva i filtri antispam per bloccare le email di phishing e altre forme di spam. Mentre alcune email legittime potrebbero essere filtrate, puoi mitigare questo problema contrassegnandole come "non spam" e aggiungendo i mittenti legittimi alla tua lista di contatti.
  6. Impara a Riconoscere le Email di Phishing: Educati e educa altri su come identificare i tentativi di phishing. Cerca segnali di allarme come indirizzi del mittente non corrispondenti, saluti generici, URL insoliti, grammatica scadente e offerte che sembrano troppo belle per essere vere.
  7. Disabilita le Macro nei Documenti: Disattiva le macro nei tuoi software. Sii cauto con gli allegati email che ti chiedono di abilitare le macro, specialmente da fonti sconosciute. In caso di dubbio, verifica la legittimità dell'allegato con il mittente.
  8. Non Rispondere a Supposti Truffe: Evita di rispondere a potenziali truffe, sia tramite email, SMS o telefonate. Rispondere conferma ai truffatori che le tue informazioni di contatto sono valide, incoraggiando ulteriori tentativi. Inoltra i messaggi sospetti al 7726 (SPAM) per aiutare il tuo operatore a filtrare lo spam.

Implementando queste strategie, puoi creare un sistema di difesa robusto contro gli attacchi di ingegneria sociale, proteggendo sia i tuoi dati personali che le informazioni sensibili della tua organizzazione. Ricorda, restare informato e cauto è la tua prima linea di difesa nel panorama in continua evoluzione delle minacce informatiche.

Tipi di attacchi di ingegneria sociale

Gli attacchi di ingegneria sociale avvengono prevalentemente attraverso varie [forme di phishing](malwarebytes. Questi attacchi sfruttano la psicologia e la fiducia umana, piuttosto che affidarsi a metodi tecnici di hacking. L'efficacia e la diffusione del phishing ne fanno un problema critico sia per gli individui che per le organizzazioni. Ecco una descrizione più dettagliata di ciascun tipo:

  1. Phishing tramite Email: Gli aggressori si impersonano come entità legittime attraverso email, ingannando i destinatari a rivelare dati personali o credenziali. Queste email contengono spesso link a siti ingannevoli o allegati dannosi.
  2. Bulk Phishing: questo metodo prevede l'invio della stessa e-mail di phishing a milioni di persone. Le e-mail sembrano provenire da organizzazioni riconoscibili e spesso richiedono informazioni personali con un falso pretesto.
  3. Spear Phishing: Una forma più mirata di phishing, dove gli attaccanti personalizzano i loro messaggi per specifiche persone utilizzando informazioni tratte dai social media o reti professionali.
  4. Phishing con le balene: Una tattica di spear phishing di alto livello rivolta a dirigenti o persone di alto profilo. Questi attacchi sono altamente personalizzati e spesso comportano un inganno complesso.
  5. Phishing vocale (Vishing): Questa tecnica utilizza le telefonate per ingannare le persone e indurle a divulgare informazioni sensibili. Gli aggressori possono spacciarsi per organizzazioni legittime o figure autoritarie.
  6. SMS Phishing (Smishing): Una variante del phishing condotta tramite messaggi di testo. Questi messaggi attirano i destinatari a cliccare su link dannosi o a divulgare informazioni sensibili.
  7. Phishing tramite Motori di Ricerca: In questo approccio, gli attaccanti creano siti falsi che appaiono in alto nei risultati dei motori di ricerca. Quando gli utenti visitano questi siti, rischiano il furto di informazioni.
  8. Phishing su Piattaforme Social: Questa forma sfrutta le piattaforme social, dove gli aggressori creano account di servizio clienti falsi per interagire con le vittime, spesso portandole a siti di phishing.

Dopo il Phishing, gli altri metodi di ingegneria sociale sono:

  1. Esca: Attira le vittime con una falsa promessa di beni o servizi per rubare informazioni o installare malware.
  2. Tailgating/Piggybacking: Comporta l'accesso non autorizzato ad aree riservate seguendo fisicamente una persona autorizzata o sfruttando digitalmente una sessione attiva di qualcun altro.
  3. Pretexting: Gli aggressori fabbricano scenari per estrarre informazioni sensibili o ottenere accesso, spesso impersonando qualcuno con autorità o necessità di verificare l’identità.
  4. Quid Pro Quo: Offre un servizio o beneficio in cambio di informazioni sensibili, sfruttando il desiderio della vittima di un buon affare o ricompensa.
  5. Spaventapasseri: Utilizza tattiche di paura per manipolare le vittime e indurle a installare malware o a rivelare informazioni riservate.
  6. AttaccoWatering Hole: Si rivolge a gruppi specifici infettando i siti web che visitano di frequente, con conseguente furto di dati o installazione di malware.
  7. Trojan Attacks: Malware mascherato da software legittimo, spesso diffuso tramite allegati email provenienti da fonti apparentemente affidabili.
  8. Truffe di Supporto Tecnico: Ingannano le vittime facendole credere che il loro dispositivo sia compromesso e richiedono denaro per "riparazioni" inutili.
  9. Chiamate truffa: Si tratta di telefonate (comprese le robocall) per truffare le vittime, spesso spacciandosi per organizzazioni o autorità legittime.

Comprendere questi metodi di phishing e altre tattiche di ingegneria sociale è cruciale per proteggersi da queste minacce prevalenti e in evoluzione.

Esempi di attacchi di ingegneria sociale

Ecco alcuni esempi reali di social engineering che abbiamo riportato nei Malwarebytes Labs. In ogni esempio, i truffatori dell'ingegneria sociale cercano il bersaglio giusto e l'innesco emotivo giusto. A volte la combinazione di obiettivo e innesco può essere iper-specifica (come nel caso di un attacco di spear phishing). Altre volte, i truffatori possono rivolgersi a un gruppo molto più ampio.

La truffa della sessualità: In questo primo esempio, i truffatori gettano una rete ampia. L'obiettivo? Chiunque guardi film porno. La vittima viene informata via e-mail che la sua webcam è stata presumibilmente violata e utilizzata per registrare la visione di video per adulti. Il truffatore sostiene anche di aver violato l'account di posta elettronica del destinatario, usando come prova una vecchia password. Se la vittima non paga tramite Bitcoin, il truffatore minaccia di diffondere il video a tutti i contatti della vittima. In generale, il truffatore non ha un video di voi e la vostra vecchia password proviene da una violazione dei dati precedentemente divulgata.

La truffa del nonno: Questa truffa circola da anni e prende di mira chiunque abbia famiglia viva, solitamente gli anziani. I genitori o i nonni ricevono una chiamata o un messaggio di testo dal truffatore, che si spaccia per un avvocato o un agente di polizia. Il truffatore sostiene che il parente della vittima sia stato arrestato o ferito e ha bisogno di denaro per coprire la cauzione, spese legali o ospedaliere. Nel caso della versione tramite SMS della truffa, rispondere costa alla vittima del denaro.

La truffa del numero di previdenza sociale: In questa truffa le cose iniziano a restringersi, poiché si applica solo ai cittadini statunitensi. La vittima riceve una chiamata automatica preregistrata che afferma di provenire dall'Amministrazione della sicurezza sociale. Il messaggio afferma che l'SSN della vittima è stato "sospeso" a causa di "tracce sospette di informazioni". Non importa che il vostro SSN non possa essere sospeso, se la vittima cade nello stratagemma e risponde alla chiamata, le verrà chiesto di pagare una multa per sistemare le cose.

La truffa di John Wick 3: Ecco un buon esempio di spear phishing. In questo caso i truffatori cercano un bersaglio molto specifico: un fan di John Wick che ama i fumetti, ma preferisce leggerli su Amazon Kindle. Mentre cerca i fumetti di John Wick, al bersaglio viene offerta una copia gratuita del terzo film di John Wick—al momento della truffa, il film non era ancora uscito nelle sale. Seguire il link incorporato nella descrizione del film porta la vittima in un vortice di siti di streaming illegali per film piratati.

Truffe legate al coronavirus: I truffatori hanno preso nota della scarsità di informazioni sul virus, soprattutto nei primi giorni e mesi dell'epidemia. Mentre i funzionari sanitari faticavano a capire il virus e come si diffondeva da persona a persona, i truffatori hanno riempito gli spazi vuoti con siti web fasulli ed e-mail di spam.

Abbiamo riferito di e-mail di spam mascherate da informazioni sui virus provenienti dall'Organizzazione Mondiale della Sanità. Le e-mail contenevano in realtà allegati pieni di malware. In un altro esempio, Labs hanno segnalato un sito di monitoraggio COVID-19 che mostrava le infezioni in tutto il mondo in tempo reale. Dietro le quinte, il sito caricava sui computer delle vittime un trojan ruba-informazioni.

Che cos'è il phishing?

Che cos'è lo spear phishing?

Cos'è un attacco vishing?

Cos'è il catfishing?

Cos'è il furto d'identità?

FAQs

Qual è la differenza tra ingegneria sociale e ingegneria sociale inversa?

Nell'ingegneria sociale, gli aggressori si avvicinano agli obiettivi per manipolarli e convincerli a condividere informazioni. Nell'ingegneria sociale inversa, le vittime entrano inconsapevolmente in contatto con gli aggressori ingannevoli.