Come dimostrano i report sempre più numerosi redatti dagli esperti del settore, il vero anello debole della catena della sicurezza informatica è rappresentato dall’utente.
Per diffondere i malware più pericolosi gli hacker si affidano proprio al fattore umano. Infatti, sono gli utenti, molto spesso inconsapevolmente, ad essere dei vettori virali informatici. Basta soltanto cliccare su una falsa pubblicità, leggere una fake news o scaricare un’applicazione poco sicura per ritrovarsi con il computer bloccato da qualsiasi tipo di attacco informatico.
Il merito, per così dire, è delle cosiddette tecniche di social engineering, che non prevedono l’utilizzo di malware o intrusioni in altri sistemi informatici ma si basano semplicemente sulla persuasione umana e sulla psicologia.
Come funziona
Un attacco di social engineering si compone di tre macro-fasi. Nella prima viene studiata la vittima in modo da raccogliere informazioni che siano utili per acquistare la sua fiducia e farle abbassare la guardia. Una volta acquisito un certo livello di confidenza, si può “passare all’azione” facendo leva su alcuni aspetti psicologici della vittima e spingendola a compiere le azioni desiderate. Solitamente si tende a sfruttare l’autorevolezza (dimostrandosi, ad esempio, esperti di un particolare settore come quello della sicurezza informatica), ma anche dei sentimenti come paura, senso di colpa e compassione possono tornare più che utili per i propri scopi.
Infine, l’ultima tappa è quella relativa all’attacco informatico vero e proprio in cui, grazie a delle tecniche specifiche, si truffa definitivamente la vittima, obbligandola a scaricare malware oppure a cedere informazioni personali.
Gli attacchi più comuni
La maggior parte delle azioni di ingegneria sociale possono essere racchiuse in due grandi tipologie: phishing e baiting.
Nel primo caso, il più utilizzato, il cyber criminale invierà messaggi (via e-mail o social network) utilizzando le informazioni raccolte nelle prime due fasi dell’ingegneria sociale. Potrà riprendere, ad esempio, un tema di cui i due avevano parlato oppure contenere un invito implicito a compiere un’azione già descritta in precedenza. All’interno del messaggio l’utente-obiettivo potrà trovare un link verso un sito internet compromesso, oppure gli potranno essere richiesti dei dati personali da inviare via messaggio.
Il baiting (che in inglese significa “adescamento“) è una vera e propria esca virtuale anticipata da una fase in cui si crea un desiderio implicito nella vittima, successivamente soddisfatto (almeno in evidenza) tramite il contenuto di un messaggio di posta elettronica o di messaggistica istantanea. Si può trattare, ad esempio, di sconti molto elevati su prodotti già cercati oppure di informazioni riservate particolarmente interessanti.
Come proteggersi
Può essere difficile evitare di cadere vittima del social engineering ma ci sono alcune cose che bisogna sempre tenere a mente.
I consigli per difendersi da attacchi di ingegneria sociale si concentrano soprattutto sull’evitare di cliccare su link che non si conoscono (magari verificandoli prima con gli strumenti a disposizione online) o di fornire informazioni personali – come l’indirizzo di casa, le password di accesso alla posta elettronica o al banking online – via e-mail o via messaggi su WhatsApp. Allo stesso tempo non bisogna mai fidarsi troppo di sconti eccessivi o di notizie apparentemente incredibili: in entrambi i casi ci sono moltissime probabilità che si tratti di falsi costruiti ad hoc. È importante non fidarsi di nessuno (o quasi) online: di conseguenza, se si dovesse essere contattati da uno sconosciuto che sa fin troppe cose sul proprio conto, è necessario dubitare immediatamente della sua buona fede.
Pertanto, è sempre bene ricordare che ognuno ha il controllo di sé stesso e non bisogna mai lasciarsi convincere da nessuno a fare qualcosa di cui non si è sicuri.
Se qualcosa sembra troppo bello per essere vero, quasi sempre non lo è!
Hai trovato l’articolo interessante? Continua a seguirci sul blog e rimani connesso con tante altre novità riguardanti la sicurezza informatica.
Inoltre, se vuoi diventare un esperto del settore, ti invitiamo a scoprire il corso di Ethical Hacker & Security Manager targato Musa Formazione.
Alla prossima!