Social Engineering: pericolo per la sicurezza informatica?

Social Engineering: pericolo per la sicurezza informatica?


Cos’è il Social Engineering?

Social Engineering” significa letteralmente “Ingegneria Sociale”. Con questa espressione si intende un insieme di tecniche di carattere psicologico utilizzate da chi vuole INDURRE le persone a compiere una determinata azione.

A livello informatico è infatti possibile prendere tutte le accortezze possibili, ma l’anello debole del nostro “sistema di sicurezza” talvolta è rappresentato proprio dalla mente umana.

Coloro che si servono di tale tecnica sfruttano questa vulnerabilit con l’obiettivo di RACCOGLIERE più informazioni possibili del comportamento di una persona, in modo da manipolarne la mente; la vittima, ignara, consentirà l’accesso ad una serie di informazioni che la riguardano, nella maggior parte dei casi pagandone un caro prezzo.

Nella fattispecie, si tratta di metodi adottati dai criminali informatici per ingannare le persone nella rete, persuadendole a condividere i propri dati personali, installare software dannosi o ad aprire link che indirizzano a siti web malevoli.

Desideri saperne di più con un Corso di Formazione dedicato?

CONTATTACI senza impegno!

Esempi tipici di Social Engineering:

Sebbene si tratti di un fenomeno informatico, in realtà questa tecnica è molto efficace per l’hackerche vuole raggiungere il suo intento, perché riesce tranquillamente a raggirare il Firewall o l’Antivirus dei dispositivi e a far leva sulle emozioni e le debolezze umane, come: ansia, curiosità, vanità, avidità o senso di colpa.

Come abbiamo specificato in un precedente articolo, il PHISHING può considerarsi l’esempio di Ingegneria Sociale per eccellenza. In sostanza, si tratta di casi in cui, tramite e-mail o sms che all’apparenzasembrano provenire da fonti legittime, viene segnalata qualche anomalia sconosciuta, come il blocco di una carta, la sospensione o la chiusura del conto corrente e per poter “risolvere” il problema in questione è necessario fare il login inserendo le proprie informazioni, tra cui anche quelle bancarie.

Tuttavia, la tipologia di ATTACCO può ovviamente essere diversificata. Ad esempio, è possibile:

  • Imbattersi in pop-up in cui si vincono dei prodotti costosi;
  • Il messaggio della Polizia Postale quando navighiamo in siti “pirata” accusandoci di Reati penali;
  • La mail dello spedizioniere che segnala di un ipotetico ordine bloccato alla dogana;
  • Far credere all’utente che il proprio computer sia infetto per poi offrire una soluzione con cui infettarlo veramente (scareware).

Vi sono altri esempi di Ingegneria Sociale che potremmo definire non convenzionali,in quanto non sfruttano il mezzo informatico; citiamo:

  • Il dumpster diving: è un termine inglese che si può tradurre come “tuffarsi nel cassonetto” e suggerisce appunto la ricerca nella spazzatura di informazioni sensibili, come ricevute fiscali o estratti conti;
  • Il baiting: ovvero, l’adescamento. Si lascia in un posto incustodito un dispositivo di memorizzazione infetto, come ad esempio una chiavetta USB: i curiosi che verificheranno quale sia il contenuto del dispositivo, saranno colpiti da un potente attacco malware.

A pratiche simili solitamente segue una richiesta di riscatto: quanto può essere pericoloso anche per un’azienda trovarsi in una situazione di tale entità?

NON incorrere in rischi inutili sperando che tanto a te non potrà mai succedere. Se vuoi sapere come ridurre di gran lunga il rischio CONTATTAi nostri Consulenti esperti in Privacy e Cybersecurity!

Esiste un modo per evitare questo fenomeno?

Possiamo dire con certezza che NON è possibile prevedere quando e come gli attacchi saranno effettuati, questo perché si tratta di tecniche “escogitate ad hoc” in grado di bypassare anche determinati Antivirus, quindi non si fa riferimento a qualcosa di strettamente fisico, ma di premeditato.

La risposta comunque è, ovviamente:

  • SI,è possibile prevenire il Social Engineering.

La prima arma di difesa a tale fenomeno è l’istruzione e l’educazione degli utenti per una giusta consapevolezza del web.

Imparare a riconoscere gli attacchi e dotarsi di un Antivirus di alta qualit è indubbiamente un passo avanti.

Bisogna tenere presente che qualsiasi tipo di comunicazione (specialmente se richiede di portare a termine una determinata azione, o il clic ad un collegamento) deve essere valutata con attenzione, soprattutto quando viene richiesto di fornire password o dati finanziari. In casi simili non si può e non si deve assolutamente cadere in trappola: è una truffa!

Altro accorgimento essenziale è la creazione di password inviolabili; è consigliato NON utilizzare la stessa password su siti diversi, ma di usarne una diversa per ogni sito o servizio di cui si usufruisce e di non applicare il salvataggio automaticodi user e password sul browser.

Grazie a queste semplici mosse, i dati saranno protetti nei migliori dei modi, ma se vuoi sapere come ridurre di gran lunga il rischio che essi vengano violati, CONTATTA i nostri Consulenti esperti in Privacy e Cybersecurity: ti seguiranno passo dopo passo per incrementare le misure di sicurezza nella tua azienda!





law

Comments

No comments yet. Why don’t you start the discussion?

Leave a Reply

Your email address will not be published. Required fields are marked *