Home » Social Engineering: cos’è e come proteggerci dall’ingegneria sociale

Social Engineering: cos’è e come proteggerci dall’ingegneria sociale

Categorie I'm the creeper · Inside IT

Almeno una volta avremo sicuramente sentito parlare di malware, cavalli di Troia, ransomware: tutti nomi che fanno riferimento a programmi malevoli capaci di entrare e replicarsi nei nostri sistemi, sfruttando configurazioni errate dei computer o errori negli applicativi che utilizziamo. Negli ultimi anni, però, abbiamo affinato sempre più le armi a nostra disposizione per proteggerci dai nemici: i sistemi antivirus sono estremamente più efficaci, gli stessi sistemi operativi ricevono aggiornamenti di frequente che correggono eventuali errori o vulnerabilità rilevate dagli sviluppatori. Per questo motivo gli hacker hanno trovato nuove forme per aggirarci e ottenere ugualmente l’accesso a dati privati e sistemi personali: una di queste è il Social Engineering.

L’ingegneria sociale è un insieme di tecniche che sfruttano l’interazione con gli utenti per accedere ai sistemi da attaccare. In altre parole, è come se un ladro venisse a bussare alla vostra porta di casa e foste proprio voi a farlo entrare.

Phishing: attenzione all’esca

Per capire meglio il Social Engineering e questa subdola modalità di attacco analizziamo insieme un caso che ha colpito molti clienti di Poste Italiane. L’utente riceve un SMS che, a prima vista, sembrerebbe autentico. Infatti, il mittente è PosteInfo, come quello di molti SMS che vengono inviati dal gruppo di servizi postali. Il contenuto, per un utilizzatore medio, sembra quasi allarmante: c’è il rischio che ci blocchino l’accesso al conto e ai servizi di pagamento. La trappola è proprio dietro l’angolo! Infatti, seguendo il collegamento in fondo al messaggio saremo indirizzati a un sito non di Poste Italiane ma simile.

Il social engineering attraverso un SMS. Credits: tuttosullapostaelettronica.it
Il social engineering attraverso un SMS. Credits: tuttosullapostaelettronica.it

Una volta inseriti i dati richiesti saremo stati noi ad autorizzare gli attaccanti ad accedere a informazioni sensibili ma soprattutto alle nostre riserve di denaro. Questo tipo di attacco si chiama phishing (tradotto “pescare”). Come nella pesca si utilizzano le esche per catturare le prede, così gli attaccanti sfruttano questi messaggi (esche) per catturare gli utenti meno attenti.

Social engineering: occhio all’operatore

Esistono innumerevoli altre tipologie di attacchi che, come dicevamo in apertura, finiscono sotto la categoria di ingegneria sociale. A questo punto dovrebbe iniziare ad essere più chiaro il perché di questo nome: una parte rilevante dell’attacco è data dalla componente sociale, cioè noi! Se non siete ancora convinti, proviamo ad analizzare un altro attacco faraonico: questa volta a danno di due operatori telefonici italiani.

Social Engineering: la finta pagina dei due operatori. Credits: SecureList
Social Engineering: la finta pagina dei due operatori. Credits: SecureList

L’attacco sociale è solo l’overture di un piano estremamente più complesso che sfrutta molte vulnerabilità per inoculare nel telefono del ricevente un programma in grado di recuperare informazioni sensibili (spyware). L’utente viene in qualche modo indirizzato verso siti fasulli, realizzati affinché possano essere credibili (stessi loghi, stile, linguaggio, colori). Qui il “lascia passare” è dietro “Scarica adesso”: quel bottone, infatti, scarica un’applicazione che una volta installata avrà parecchio lavoro da fare per recuperare le nostre informazioni personali. È chiaro quanto sia importante la prudenza quando ci muoviamo nel mondo digitale ma, soprattutto, è necessaria una certa dose di attenzione per scovare quei dettagli che potrebbero evitarci di incappare in situazioni spiacevoli.

Come difenderci dal Social Engineering

In molti diranno “non siamo tutti ingegneri informatici”: questo è sicuramente vero ma i malintenzionati lasciano sempre qualche traccia che può essere scovata prima di cadere nei loro tranelli. Ad esempio, nel primo caso, un occhio leggermente più attento avrebbe notato le frasi leggermente sgrammaticate e con errori di punteggiatura (mancano diverse virgole). Una semplice ricerca su Google non ci avrebbe fornito informazioni in merito al Decreto 286/336, facendolo suonare strano. Infine, il collegamento riportato alla fine del messaggio non risulta affatto fra i domini di Poste Italiane (tipicamente poste.it). Ma soprattutto, mai vi avrebbero chiesto di inserire direttamente su un sito i vostri dati personali, senza chiedervi di autenticarvi e quindi senza nessuna forma di protezione.

Il ciclo di un attacco di Social Engineering. Credits: Imperva
Il ciclo di un attacco di Social Engineering. Credits: Imperva

Se non siete sicuri di ciò che avete ricevuto o non vi stavate aspettando quella comunicazione “strana”, informatevi! Una semplice chiamata all’ufficio postale avrebbe potuto evitare danni peggiori, dato che il dipendente probabilmente non vi avrebbe confermato la liceità del messaggio ricevuto.

I dettagli da controllare

In circostanze sospette ci sono dei dettagli che possiamo controllare per evitare di incappare in situazioni spiacevoli:

  • fate attenzione alla grammatica, agli errori di ortografia, alla punteggiatura (di solito si tratta di errori palesi);
  • occhio al tono della comunicazione: spesso gli attaccanti puntano sulla fretta e sull’emergenza. In queste situazioni tendiamo ad essere più vulnerabili dato che la nostra capacità di giudizio viene ad essere inficiata dalla natura emergenziale del momento;
  • nelle e-mail attenzione al mittente (o negli sms attenzione al numero se presente): non fidarsi del nome che vedete visualizzato ma cercare fra i dettagli il vero indirizzo (ad esempio potrebbe capitare di ricevere una e-mail da Amazon.it ma con indirizzo amz0nItalya@d0minioAm0n.it, tutt’altro che attendibile);
  • così come per le e-mail, nei messaggi bisogna essere prudenti nel seguire collegamenti verso altre destinazioni e, in questo caso, bisogna sempre controllare il dominio (ovvero la parte di indirizzo prima del .it, .com …), potrebbe, infatti, non essere legato al mittente;
  • come ultimo consiglio, attenzione a non inserire mai dati estremamente personali (come numero di carta di credito, codici di accesso alla banca via internet, password per aree riservate, pin, ecc…) in siti di dubbia provenienza!

Vivere in un mondo connesso aumenta la nostra esposizione a potenziali malintenzionati da tutti i punti di vista. Per la nostra vita domestica questi erano alcuni spunti per aumentare la consapevolezza nei confronti del digitale. Naturalmente questi suggerimenti sono utili anche nel proprio ambiente lavorativo. Un numero sempre maggiore di imprese si sta muovendo per sensibilizzare i propri dipendenti con campagne di phishing ad-hoc. In conclusione, non lasciamoci ingannare da falsi messaggi e occhio a… non abboccare all’amo del Social Engineering!

Articolo a cura di Nicola Fioranelli

FONTI VERIFICATE

Lascia un commento