PRENOTA UN
APPUNTAMENTO INVIA UN
MESSAGGIO
News

Cos'è il social engineering, tecniche di attacco e come difendersi

Il Social Engineering è un'arte manipolativa che sfrutta la psicologia umana per ottenere accesso non autorizzato a informazioni confidenziali o compiere azioni dannose. Scopri come difenderti.

prenota appuntamento attiva indagine online

condividi su

 
News

Cos'è il social engineering, tecniche di attacco e come difendersi

Il Social Engineering è un'arte manipolativa che sfrutta la psicologia umana per ottenere accesso non autorizzato a informazioni confidenziali o compiere azioni dannose. Scopri come difenderti.

Cos'è il social engineering?

Il social engineering è una delle tante forme di crimine commesso sfruttando la rete Internet e la nostra presenza ormai sempre più ampia sul web e sui social network. 

Questa tecnica di attacco si fonda essenzialmente su uno studio preliminare del comportamento e delle abitudini di una persona al fine di carpirne informazioni e dati sensibili e preziosi mediante una manipolazione psicologica. 

I cyber criminali puntano infatti a stabilire un rapporto con la vittima, fanno leva sulla fiducia, spesso sulla mancanza di conoscenza in un determinato ambito oppure sfruttano una vulnerabilità anche solo temporanea per arrivare a estorcere denaro, rubare l’identità o dati importanti. 

Social Engineering: definizione

Proviamo quindi a dare una definzione il più completa possibile del Social Engineering:

Il Social Engineering è un'arte manipolativa che sfrutta la psicologia umana per ottenere accesso non autorizzato a informazioni confidenziali o compiere azioni dannose. Questa tecnica di attacco si basa sulla comprensione del comportamento delle persone e mira a sfruttare la fiducia, la mancanza di consapevolezza e le vulnerabilità della vittima. Attraverso la manipolazione, il social engineering può portare all'ottenimento di dati sensibili come password, informazioni finanziarie o persino arrecare gravi danni alle vittime, come estorsione di denaro o furto di identità.

Come funziona il social engineering e quali tecniche usa per fare leva sulle emozioni umane?

Il social engineering - ingegneria sociale in italiano – presuppone che il criminale studi a fondo la vittima, le sue relazioni e le sue conoscenze. Se il bersaglio è un’azienda le informazioni oggetto di studio comprenderanno la struttura organizzativa, il numero e la tipologia di dipendenti, gli asset principali. 

Solo attraverso questa fase di “studio” gli autori di questo crimine saranno in grado di individuare punti deboli da sfruttare per condurre il proprio attacco che può manifestarsi in modi molto diversi. 

Una volta individuato il bersaglio e acquisite le informazioni necessarie viene stabilito con esso un contatto che mira a stabilire un rapporto. I cyber criminali sfruttano sapientemente le debolezze e le emozioni della vittima. 

Persuasione e conquista della fiducia sono gli strumenti utilizzati sfruttando stati emotivi come la paura, la rabbia, il senso di colpa, la tristezza, l’eccitazione, la curiosità. L’approccio alla vittima non è essenzialmente virtuale ma può avvenire o prevedere anche una fase di contatto reale

Una volta ottenuta la fiducia gli hacker saranno in grado di sfruttare anche elementi come l’urgenza – mediante proposte irrinunciabili o sfruttando appunto la fretta - e la scarsa conoscenza di un problema o di una situazione. 

social engineering tecniche di attacco più diffuse

Quali sono le tecniche di attacco più diffuse?

La tecnica di social engineering più diffusa è il phishing che sfrutta l’invio di e-mail ma anche sms e messaggi tramite app di messaggistica istantanea contenenti link malevoli. 

La truffa può rivelarsi particolarmente efficace soprattutto se gli hacker riescono a costruire un sistema tale da indurre la vittima a fidarsi e a cliccare su un link o a inserire le proprie credenziali su una pagina. Questo può accadere perché, ad esempio, la vittima riceve una comunicazione da una fonte che ritiene attendibile – il proprio istituto bancario, una compagnia telefonica, una compagnia dell’energia – e non presta molto attenzione a dettagli spesso insignificanti come un account e-mail solo in parte simile a quelli originali. 

Una volta rivelati i dati o dopo aver cliccato sul link ricevuto gli hacker provvedono a sottrarre informazioni o a infiltrarsi nei sistemi, oppure sfruttano le password rivelate per rubare denaro. 

Simile ma condotto in modo diverso è l’attacco che sfrutta una telefonata alla vittima, nella quale gli autori della truffa si presentano come operatori di una compagnia o di un istituto bancario, di un provider o di un gestore di servizi di cui la vittima si serve e, carpita la fiducia di questa, si fanno dare informazioni e dati privati (password, codici delle carte di credito, Iban). 

Una fonte di informazione preziosa possono essere anche i dispositivi tecnologici dismessi, se non opportunamente resettati, di cui gli hacker potrebbero venire in possesso. Esistono poi modalità fisiche mediante le quali i criminali forniscono delle chiavette Usb o altri dispositivi simili alla vittima suscitandone la curiosità. Una volta inseriti nel pc questi dispositivi infettano il computer consentendo agli hacker di accedervi da remoto.  

Più sofisticata e meno percorribile è un’altra forma di social engineering mediante la quale il truffatore segue la vittima o cerca di ottenerne la fiducia – in una grande azienda, ad esempio, presentandosi come un collega - per   accedere a informazioni riservate, chiavi di sicurezza e di accesso, ecc. 

I 10 esempi di attacco social engineering più usati

Qui di seguito elenchiamo gli attacchi di social engineering più diffusi per aiutare a prevenirne i rischi:

  1. Phishing: invio di e-mail, messaggi o siti web contraffatti che sembrano provenire da fonti attendibili al fine di indurre le persone a rivelare informazioni personali come password, numeri di carta di credito, o altre informazioni sensibili.

  2. Inganno telefonico (Vishing): simile al phishing, ma avviene tramite chiamate telefoniche. Gli aggressori si fanno passare per rappresentanti di istituti finanziari, aziende o istituzioni governative al fine di ottenere informazioni riservate.

  3. Pretesti: gli attaccanti creano una storia credibile o una ragione per ottenere informazioni sensibili dalle vittime. Ad esempio, possono fingere di essere tecnici IT o dipendenti aziendali per ottenere accesso a sistemi o dati.

  4. Ingegneria sociale online: questa tecnica sfrutta i social media e altre piattaforme online per raccogliere informazioni su una persona o un'organizzazione al fine di creare un attacco mirato.

  5. Ingegneria sociale fisica: gli aggressori possono ottenere accesso fisico a edifici o sistemi informatici utilizzando tecniche come l'inganno, la manipolazione o la semplice forza.

  6. Dumpster Diving: ricerca di informazioni sensibili o utili nei rifiuti di un'organizzazione. Gli aggressori possono trovare documenti, note o altri materiali che possono essere utilizzati per scopi fraudolenti.

  7. Baiting: Gli aggressori offrono una ricompensa o un incentivo, come una chiavetta USB "persa" contenente malware, al fine di convincere le persone a eseguire azioni non sicure.

  8. Quid pro quo: questa tecnica sfrutta il malcontento di eventuali, che potrebbero essere indotti a fornire informazioni sensibili ai malintenzionati in cambio di denaro o altre utilità.
     
  9. Truffa del CEO, i criminali inducono i dipendenti a eseguire determinate azioni facendosi passare per alti dirigenti dell'azienda. Approfittando del normale senso di urgenza e pressione che i dipendenti sentono quando ricevono direttive dai dirigenti, i truffatori mirano a suscitare un senso di urgenza nella vittima, spingendola ad agire rapidamente secondo le loro istruzioni.
     
  10. Trashing: gli aggressori cercano informazioni sensibili scrutando tra i rifiuti delle vittime alla ricerca di documenti come bollette, estratti conto e altri dati personali. Inoltre, mirano anche a dispositivi dismessi come smartphone, laptop o chiavette USB guaste, che se non resettati correttamente possono contenere informazioni preziose.

La Differenza tra Phishing e Social Engineering

Si parla spesso anche di phishing, ma qual'è la differenza rispetto al Social Engineering? Facciamo un pò di chiarezza.

Il Phishing è un attacco informatico specifico in cui i cybercriminali cercano di ingannare le vittime inducendole a rivelare informazioni sensibili, come password o numeri di carte di credito, fingendo di essere entità fidate come aziende o familiari. Questo tipo di attacco si manifesta comunemente tramite e-mail, SMS e telefonate. I criminali spesso creano un senso di urgenza, spingendo le vittime a fornire rapidamente le informazioni senza riflettere troppo.

Il Social Engineering è una tecnica più ampia di manipolazione psicologica rispetto al phishing, utilizzata per indurre le persone a compiere azioni o rivelare informazioni riservate. Inoltre gli attacchi di social engineering possono avvenire sia online che di persona. Online, si presentano sotto forme diverse, come phishing, pretexting e scareware. Di persona, gli attacchi possono includere tentativi di accesso non autorizzato a luoghi riservati, con i malintenzionati che si spacciano per figure come corrieri o custodi. Il social engineering quindi sfrutta si più le debolezze umane piuttosto che le vulnerabilità tecniche dei sistemi come il phishing.

Per riassumere possiamo dire che le Differenze Chiave sono le seguenti:

  • Il Phishing è un tipo specifico di attacco di social engineering, che utilizza canali digitali come e-mail, SMS e telefonate per ottenere informazioni sensibili. Si concentra su un metodo di inganno ben definito.
  • Il Social Engineering comprende una gamma più ampia di tecniche di manipolazione psicologica. Mentre il phishing è una forma di social engineering, non tutti gli attacchi di social engineering sono phishing. 

Quindi possiamo dire che il phishing è una sotto-categoria del social engineering, ma il social engineering include molte altre tattiche oltre al phishing.

Come difendersi dal social engineering: 6 consigli utili

Prendendo in considerazione l’ambito aziendale, dove spesso possono verificarsi questi crimini, è fondamentale che le aziende investano sull’informazione e sulla formazione dei propri dipendenti circa i rischi per la sicurezza personale e aziendale. 

Conoscere bene i sistemi informatici e i dispositivi che si utilizzano per lo svolgimento delle mansioni, così come avere informazioni adeguate sulla sicurezza dei sistemi informatici aziendali, la sensibilizzazione del dipendente sono alcuni dei rimedi più importanti per evitare questo tipo di attacchi. 

Qui abbiamo identificato 6 consigli utili per ridurre significativamente il rischio di subire attacchi di social engineering e proteggere meglio le vostre informazioni sensibili.

  1. Verifica l'Identità del richedente:

    • Prima di fornire informazioni sensibili o accedere a risorse critiche, verifica sempre l'identità del richiedente. Utilizza canali di comunicazione indipendenti per confermare richieste sospette.
       

  2. Considera importanti la Formazione e la Consapevolezza:

    • Educa te stesso e il personale sui vari tipi di attacchi di social engineering che abbiamo analizato: phishing, pretexting, baiting e tailgating. La consapevolezza è la prima linea di difesa.
       

  3. Adotta Politiche di Sicurezza Rigide:

    • Implementa politiche di sicurezza aziendale rigorose che includano protocolli per la gestione delle informazioni sensibili, l'accesso ai dati e la risposta agli incidenti di sicurezza.
       

  4. Utilizza l'Autenticazione Multi-Fattore (MFA):

    • Adotta l'autenticazione multi-fattore per proteggere gli account. MFA aggiunge un livello di sicurezza in più, rendendo più difficile per i malintenzionati accedere ai sistemi solo con una password.
       

  5. Adotta politiche di Controllo Fisico e Logico degli Accessi:

    • Limita l'accesso fisico agli edifici e agli uffici con badge di identificazione e controlli di sicurezza. Assicurati che l'accesso logico ai sistemi sia basato su necessità operative e periodicamente rivisto.
       

  6. Segnala Attività Sospette:

    • Incoraggia la segnalazione immediata di qualsiasi attività sospetta o comportamento anomalo. Avere un processo chiaro per la segnalazione e la gestione delle potenziali minacce può aiutare a rispondere rapidamente e prevenire danni.

La diffusione di una cultura della sicurezza all’interno dell’azienda, la formazione sugli aspetti più tecnici e l’invito a diffidare in caso di richieste sospette sono fondamentali per mettere i dipendenti nelle condizioni di non cadere in questi tranelli informatici che spesso si risolvono in una perdita economica per l’azienda. 

Quanto ai singoli sono validi i principali accorgimenti che si devono adottare per evitare le truffe informatiche. Aggiornare i sistemi operativi e gli antivirus, dubitare di e-mail e di ogni altro tipo di comunicazione che desti sospetto – controllando ad  esempio il mittente -, verificare se le comunicazioni che riceviamo sono affidabili e non cliccare a priori su qualsiasi link che ci viene inviato sono difese sempre valide  per mettersi al riparo da questi cyber crimini. 

Il social engineering è una forma di attacco complessa da cui può essere molto complicato difendersi e una minaccia sempre più diffusa per la sicurezza online di persone e imprese. L'Agenzia Investigativa Dogma è specializzata nei vari contesti, in cui può agire l'ingegneria sociale: la cybersecurity, le truffe online, l'accesso non autorizzato a sistemi o strutture fisiche e il campo dell'intelligence.


Autore: Dimitri Russo
Amministratore Delegato Dogma S.p.A.  

Chiama il Numero Verde per ricevere immediatamente un preventivo ed una consulenza riservata e gratuita, oppure, utilizza il modulo presente sulla pagina per inviarci una richiesta o PRENOTARE UN APPUNTAMENTO.

Ti potrebbero interessare anche

    VISUALIZZA TUTTE

    La realtà pone domande.
    Noi cerchiamo le risposte.

    Un sito non basta a risolvere ogni dubbio e soprattutto a far fronte a tutte le necessità. Utilizza il form qui a lato o la CHAT per contattarci, prenotare un appuntamento e chiederci informazioni.

    • Colloquio preliminare GRATUITO
    • Massima RISERVATEZZA
    • Risposta RAPIDA

    PRENOTA UN APPUNTAMENTO INVIA UN MESSAGGIO
    Indica una data e un orario preferito per l'appuntamento:
    Confermo di aver letto l'informativa e la accetto
    Tutti i campi sono obbligatori
    Agenzia Investigativa DOGMA S.p.A.
    Agenzia Investigativa Milano
    Via Cino del Duca, 5
    20122 - Milano
    Tel. +39 02 76281415
    Fax +39 02 76391517
    Agenzia Investigativa Torino
    Corso Vittorio Emanuele II, 92
    10121 - Torino
    Tel. +39 011 5617504
    Fax +39 011 531117
    Agenzia Investigativa Roma
    Via G. Gioacchino Belli, 39
    00193 - Roma
    Tel. +39 06 89871789
    Agenzia Investigativa Londra
    Level 33, 25 Canada Square
    Canary Wharf
    London E15 5LB nb
    Agenzia Investigativa New York
    3rd and 4th Floors,
    57 West 57th Street - Manhattan
    New York 10019 USA
    Seguici su:

    numero verde 800.750.751
    da lunedì a sabato dalle 09:00 alle 20:00
    servizio gratuito da telefono fisso e mobile da Italia
    FAQ
    Glossario
    Privacy Policy
    Cookie Policy
    P.IVA 10425470019
    web by NET BULL.