L’ingegneria sociale è utilizzata in maniera malevola per indurre la vittima a condividere informazioni private. In questo articolo di Giorgio Perego vediamo quali sono gli attacchi di ingegneria sociale e come difendersi.
Nell'articolo
Ingegneria sociale, significato
Questo termine ha origine nelle scienze sociali ed è utilizzato per influenzare o modellare il comportamento ad esempio della popolazione.
Il termine risale alla fine del XIX secolo e attualmente viene legato alla sicurezza informatica.
Ingegneria sociale: scopo
L’ingegneria sociale è utilizzata per cercare di manipolare una persona ad instaurare un rapporto di fiducia e indurla a condividere le sue informazioni private. Si rischia di diventare vittima dell’ingegneria sociale tutte le volte che apriamo un link all’interno delle e-mail che riceviamo senza controllare attentamente il nome del mittente; oppure quando divulghiamo le nostre informazioni personali nelle e-mail.
L’ingegneria sociale consiste nell’utilizzo di metodi “non tecnici” da parte di un malintenzionato per ingannare una potenziale vittima, facendole condividere informazioni personali quali ad esempio password, dati relativi al conto bancario e altre informazioni personali.
Quali sono gli attacchi di ingegneria sociale?
L’ingegneria sociale sfrutta la manipolazione delle persone per raggiungere un obiettivo, “buono o cattivo”, che sia.
Un malintenzionato per portare a termine il suo attacco potrebbe fare affidamento sulla disponibilità ad aiutare le potenziali vittime, oppure provare a fare leva sulla mancanza di conoscenze tecniche.
Un malintenzionato prima di eseguire un attacco svolge ricerche mirate sul potenziale obiettivo.
Obiettivo dell’attacco possono essere persone o imprese. Vediamoli nel dettaglio.
Attacco ad una persona
In questo caso il malintenzionato farà dei controlli approfonditi sull’account presente nei vari social network; cercherà informazioni personali, come il compleanno, l’indirizzo e-mail, il numero di telefono e i luoghi più visitati.
Attacco ad un’impresa
Molto probabilmente il malintenzionato avrà bisogno di qualcuno all’interno per raccogliere informazioni dettagliate relative all’azienda, come le attività, i dipendenti e l’elenco dei partner commerciali.
Di solito il cyber criminale si rivolge a dipendenti che hanno accesso a queste informazioni, inducendoli alla condivisione di queste informazioni volontariamente; oppure infettando il computer con del software malevolo, così da controllare l’attività tecnica.
Ecco due modalità di attacco di ingegneria sociale:
Attacchi eseguiti in modo offline
Il malintenzionato si affida alla gentilezza di un dipendente per entrare fisicamente in ufficio ed acquisire le informazioni di persona.
Attacchi via telefono
Chiamati vishing – voice phishing. Questa tipologia di attacco avviene quando una persona si spaccia per un collega o un’autorità e richiede direttamente le informazioni desiderate.
Tecniche malevole di ingegneria sociale
Vediamo ora quali sono le principali tecniche malevole di ingegneria sociale
SPEAR PHISHING
La maggior parte delle campagne di phishing, di solito prevede l’invio di e-mail in massa al maggior numero di indirizzi in modo causale, rivolgendosi a gruppi o individui specifici.
I malintenzionati utilizzeranno i social network per raccogliere informazioni sugli obiettivi personalizzando le e-mail e facendole sembrare più realistiche possibili.
Il malintenzionato si presenterà come un amico, o un partner commerciale o come un’istituzione esterna, fingendosi ad esempio un rappresentante della banca richiedendo le informazioni desiderate.
La mail in questo caso avrà il logo e le immagini ufficiali della banca; in questo caso non dubiterà dell’autenticità del messaggio.
BAITING
Rispetto alla precedente tecnica questa tecnica prevede una componente fisica, ad esempio un’esca fisica a cui la vittima deve abboccare.
Potrebbe essere una chiavetta USB infetta, da lasciare sulla scrivania della vittima, oppure all’entrata dell’azienda sperando che la vittima abbocchi e la colleghi al computer.
Una volta inserita la chiavetta nel computer, verrà installato un software malevolo che invierà informazioni al malintenzionato. Ovviamente se il computer infetto fa parte di una rete, potremo ottenere anche l’accesso immediato a tutti gli altri dispositivi all’interno della stessa rete.
PRETEXTING
Questa tipologia consiste nell’utilizzare un pretesto accattivante per catturare l’attenzione dell’obiettivo e indurlo all’inganno per recuperare le informazioni personali.
Questo tipo di ingegneria sociale è alla base delle cosiddette truffe e-mail chiamate “nigeriane”. In queste email vengono promessi soldi se fornite le proprie informazioni bancarie.
Ovviamente la vittima non solo non vedrà un solo soldo, ma addirittura potrebbe perdere i soldi sul suo conto corrente.
SPAM DEI CONTATTI
E’ la forma più diffusa di ingegneria sociale online. Il malintenzionato utilizzerà questo metodo per inviare messaggi di spam a tutti i contatti delle sue vittime; le mail saranno inviate dalla rubrica delle vittime, sembrando così autentiche.
Il metodo è molto semplice: arriva un’e-mail da un amico contenente un “oggetto molto informale”, il destinatario aprirà la mail e all’interno sarà presente un link testuale.
QUID PRO QUO
Questa tecnica è un tipo di ingegneria sociale che comporta uno scambio di favori o servizi tra il malintenzionato e il suo obiettivo.
Generalmente chi effettua l’attacco finge di essere un tecnico IT richiedendo informazioni di accesso per svolgere un controllo importantissimo sulla sicurezza informatica. Potrebbe chiedere di installare un software per il controllo da remoto così da darti supporto.
Come proteggerti da attacchi di ingegneria sociale?
Per proteggersi da un attacco di ingegneria sociale è necessario:
- essere il più sospettosi possibile,
- utilizzare i migliori software antivirus,
- prestare molta attenzione su Internet,
- utilizzare i migliori software antivirus in grado di trovare e rimuovere facilmente software malevolo.
Inoltre è importante seguire i seguenti consigli:
- se qualcuno ci invia un’e-mail affermando di essere uno dei nostri fornitori o partner commerciali, contattiamo subito l’ufficio prima di rispondere all’e-mail o aprire qualsiasi link/allegato,
- nel caso di una mail ricevuta da un amico con contenuti sospetti, è bene contattare l’amico in questione per verificarne la provenienza,
- non rivelare mai i dati della propria carta di credito, o i dati del conto bancario, o il numero di previdenza sociale o qualsiasi altra informazione personale in un’e-mail.
Un malintenzionato oltre a manipolare le tue emozioni, cercherà di indurti a installare software malevolo sul tuo computer.
Attenzione anche quando si utilizza Skype. Esistono vari bot che si camuffano da belle donne o da assistenti help desk di Skype. In realtà questi vogliono solo portarci a compiere un passo falso.
N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.
Per rimanere aggiornato
Consulta il canale youtube Byte Yok
Consulta il Cam TV Giorgio Perego
Puoi trovare test in ambito di sicurezza informatica mostrando nel dettaglio le varie tecniche.
Sono IT Manager di un gruppo italiano leader nella compravendita di preziosi presente in Italia e in Europa con oltre 350 punti vendita diretti e affiliati.
Sono una persona a cui piace mettersi in gioco e penso che non si finisce mai di imparare, adoro la tecnologia e tutta la parte sulla sicurezza informatica.
Mi diverto trovare vulnerabilità per poi scrivere articoli e dare delle soluzioni.