E’ da molti definita la più grave ed insidiosa minaccia nel campo della sicurezza informatica. L’ingegneria sociale rientra tra gli strumenti utilizzati dei cyber criminali per violare e trafugare informazioni personali ed aziendali dai sistemi digitali. Vediamo insieme di cosa si tratta.
Il social engineering altro non è che un insieme di tecniche a metà strada tra l’ingegneria e la psicologia.
L’hacker che pone in essere strategie di social engineering non sempre è un esperto informatico. A volte le informazioni raccolte provengono dalla spazzatura o da dati sbirciati mentre l’utente utilizza il proprio tablet o smartphone.
Nella maggior parte dei casi, però, l’hacker convince le persone a rivelare informazioni importanti e riservate tramite la semplice persuasione e l’uso appropriato di meccanismi psicologici consolidati. Contro questa tipologia di attacco non esiste firewall che tenga e nessun sistema potrà mai definirsi sicuro.
L’attacco in genere si divide in quattro fasi distinte:
- Ricerca dell’obiettivo
- Selezione della vittima
- Instaurazione di una relazione
- Furto di informazioni
Le tecniche principali di ingegneria sociale possono essere classificate in funzione del mezzo utilizzato:
- Ingegneria sociale umana. Tecnica molto efficace, ma che richiede doti empatiche e relazionali non semplici da porre in essere. L’hacker deve carpire la fiducia della vittima e deve essere in grado di improvvisare. In genere un attacco di questo tipo può durare anche diverse settimane, ma alla fine i risultati sono di gran lunga più fruttuosi rispetto ad un qualunque attacco malware.
- Ingegneria sociale digitale. Phishing e mail fasulle sono un esempio.
- Ingegneria sociale mobile. Il largo uso di smartphone ha reso questi dispositivi mezzi perfetti per carpire informazioni riservate. Pensiamo, ad esempio, alle APP. Mai installare applicazioni che provengono da store non ufficiali. O anche un semplice sms con all’interno un link in grado di installare malware sul proprio dispositivo.
Come difendersi
Anche se può sembrare banale, il consiglio principale è quello di non fidarsi di nessuno su internet. Mai.
Mai dare informazioni a persone di cui non si è sicuri circa l’identità e la provenienza. Molto spesso chi pone in essere tali strategie ha spiccate doti persuasive e comunicative ed utilizza autorevolezza, paura, senso di colpa, compassione a seconda dei casi e dell’interlocutore. Non cedere, non lasciarsi intimidire e creare protocolli e procedure operative dalle quali i propri dipendenti non devono assolutamente prescindere.
Prestare, inoltre, attenzione alle e-mail provenienti da uffici bancari, giudiziari o dagli organi di polizia che chiedono di modificare i propri dati o di effettuare pagamenti (i.e. multe, tasse, ecc.).
