La social engineering è uno dei trend di quest’anno per quanto riguarda le minacce relative alla cybersecurity.
La crescita delle attività che ciascuno di noi svolge online infatti, apre la strada a una sempre maggiore esposizione dei dati personali che rischiano di essere carpiti attraverso tecniche sempre più sofisticate che sfruttano la psicologia umana.
Che cosa sono le tecniche di social engineering
Con questo termine ci si riferisce a quell’insieme di tecniche che i criminali informatici utilizzano per ottenere dati personali, codici bancari e password direttamente dagli utenti. Facendo leva sulla psicologia umana, che reagisce istintivamente a determinati stimoli più o meno allo stesso modo, se non si presta attenzione a ciò che si sta operando online. Di fatto, studiando il comportamento delle persone online, gli hacker possono riuscire a ottenere gli accessi all’area riservata della banca creando una pagina web fasulla, identica a quella originale. E questo è solo uno dei tanti esempi che si possono fare. Pensiamo anche alla possibilità di creare account fasulli sui social. Si tratta quindi non tanto di sfruttare le debolezze di un sistema informatico quanto l’ingenuità delle persone facendo leva sulla fiducia e sulla mancanza di conoscenza.
Alcuni esempi di social engineering
Molto recente è la scoperta di un attacco di questo tipo, che ha preso di mira gli utenti Twitter che operano con le criptovalute. In particolare, gli esperti hanno scoperto una rete di account fasulli che creavano pagine finte per il ripristino degli account che avevano problemi di accesso, sfruttando così le ricerche di sistemi in grado di risolvere determinati problemi. Concentrando gli sforzi su un’app che si occupa di criptovalute, è stata creata una sorta di assistenza clienti assolutamente finta. Offrendo una soluzione, spesso troppo facile, che dovrebbe accendere un campanello di allarme. Ma la fantasia degli hacker non si ferma qui. Sono in aumento, infatti, per la loro efficacia, gli attacchi basati sulla “voce”, dove i criminali riescono a creare dei call center a cui gli utenti sono invitati a rivolgersi per trovare soluzione a svariati problemi. Il fatto di parlare con qualcuno rende tutto più reale e aumenta il senso di fiducia generato nell’ignara vittima, che viene poi condotta a visitare link e pagine web appositamente preparate dove inserire i propri dati. Che ovviamente finiscono nelle mani sbagliate.
Come prevenire gli attacchi di social engineering
La buona notizia è che contrastare queste minacce non è impossibile. Anzi, basta prestare attenzione e imparare a diffidare di tutto ciò che non si conosce. Ecco cinque consigli per limitare il rischio di essere truffati con queste tecniche:
1. Diffidare di chi chiede password o codici di accesso via e-mail o telefono. Non fornire mai questi dati, anche se la richiesta sembra apparentemente legittima.
2. Se si riceve una telefonata da parte di un’azienda che richiede dati personali richiamarla al numero indicato sul sito web dell’azienda stessa.
3. Evitare di cliccare sui collegamenti che si ricevono, anche se da persone conosciute. Meglio sempre controllare prima l’indirizzo completo.
4. Attenzione agli allegati che si ricevono tramite e-mail ma anche tramite sistemi di messaggistica. Anche se sembrano affidabili verificare sempre la fonte e la reale necessità di dover ricevere quel documento.
5. Quando si tratta di link a domini conosciuti, controllare sempre con attenzione che il nome sia scritto correttamente. Le pagine identiche ma fasulle hanno anche solo una lettera o un punto diverso dall’originale.
Non cadiamo quindi nel tranello della curiosità o della fiducia. Internet è molto utile, semplifica la vita e aggiunge valore in tantissimi casi. Il vero segreto è non abbassare mai la guardia.