Puoi proteggerti dal furto d'identità proteggendo il numero di previdenza sociale e altri documenti sensibili, rivedendo regolarmente i rapporti sul credito, utilizzando uno strumento di monitoraggio
Aggiornato l’1 novembre 2023.
Il social engineering è una tecnica di manipolazione psicologica utilizzata dai malintenzionati per indurre gli altri a fare cose o rivelare informazioni private. Il social engineering può avvenire online o di persona. Tra il 70% e il 90% delle violazioni dei dati avviene tramite social engineering, il che lo rende una delle maggiori minacce alla sicurezza informatica a cui debbano far fronte sia le aziende che gli individui.
Continuate a leggere per scoprire come avvengono gli attacchi di social engineering, i diversi tipi di attacchi di social engineering e come proteggervi da essi.
Come avvengono gli attacchi di social engineering?
Per prepararsi a un attacco di social engineering, i malintenzionati esaminano dapprima il loro obiettivo per apprendere dettagli di base e possibili punti deboli, ad esempio delle scarse pratiche di sicurezza informatica. Il malintenzionato fingerà quindi di essere qualcuno che non è per conquistare la fiducia della vittima, in modo che quest’ultima sia più propensa a rivelare informazioni riservate o a consentire al malintenzionato di accedere ai sistemi interni.
È importante tenere presente che il social engineering può avvenire anche di persona. Quando condotti di persona, gli attacchi di social engineering spesso avvengono a opera di malintenzionati che fingono di essere qualcuno come un addetto alla manutenzione o alle consegne, in modo da poter entrare in un edificio a cui altrimenti non sarebbe consentito accedere. Una volta che un malintenzionato accede all’edificio, tenta di violare i sistemi e di sottrarre informazioni riservate per poi utilizzarle a scopi illeciti.
Tipi di attacchi di social engineering
Ecco sette tipi di attacchi di social engineering.
Phishing
Il phishing è l’attacco di social engineering più diffuso. In un attacco di phishing, i cybercriminali spingono le loro vittime a rivelare volontariamente informazioni sensibili fingendo di essere qualcuno che la vittima conosce o un’azienda con cui la vittima ha un account o un servizio. La maggior parte delle volte gli attacchi di phishing vengono inviati tramite e-mail.
Queste e-mail possono contenere link e allegati dannosi e sollecitare la vittima a cliccare su di essi. Cliccare su un link o un allegato dannoso può immediatamente infettare il dispositivo della vittima con un malware o indirizzare la vittima a un sito web falsificato. I siti web falsificati sono progettati per rubare informazioni sensibili come le credenziali di login e i numeri delle carte di credito.
Smishing e vishing
Lo smishing, noto anche come phishing via SMS, è un tipo di attacco di phishing che avviene attraverso messaggi di testo SMS anziché tramite e-mail. Questi messaggi contengono spesso offerte per omaggi gratuiti o avvisi urgenti che riguardano informazioni bancarie o altre informazioni sensibili. L’obiettivo principale di un attacco di smishing è quello d’indurre le vittime a cliccare su un link dannoso per rubare le loro informazioni sensibili.
Il vishing è un altro tipo di attacco di phishing, ma avviene attraverso una telefonata, anziché attraverso messaggi di testo o e-mail. Questo tipo di attacco di phishing tende a essere più convincente, poiché di solito c’è un’altra persona a parlare dall’altra parte. Attraverso il vishing, il malintenzionato cerca d’indurre la vittima a rivelare informazioni sensibili per poi utilizzarle per scopi illeciti. Individuare il vishing è diventato più difficile, poiché adesso i malintenzionati sfruttano l’intelligenza artificiale (AI) per imitare le voci delle persone che le vittime conoscono.
Piggybacking e tailgating
Il piggybacking avviene quando i malintenzionati tentano di accedere a una rete, a un sistema o a un edificio fisico in modo da poter violare le informazioni sensibili. Utilizzando il piggybacking, i malintenzionati possono accedere a una rete o a un sistema utilizzando il WiFi non protetto. Per accedere a un edificio fisico utilizzando il piggybacking, i malintenzionati si affidano alla gentilezza dei dipendenti per farsi aprire la porta o farle lasciare socchiuse.
Il piggybacking e il tailgating sono abbastanza simili, l’unica differenza è che il tailgating avviene quando i malintenzionati accedono a un edificio fisico senza che altre persone lo sappiano o se ne accorgano. I malintenzionati possono oltrepassare una porta mentre questa si sta chiudendo. Poiché nessuno sa come abbiano fatto a entrare nell’edificio, si tende a credere che siano autorizzati.
Pretexting
Il pretexting avviene quando un malintenzionato tenta di convincere una vittima a rivelare informazioni sensibili o a inviargli del denaro inventando una storia convincente. In genere, il malintenzionato finge di essere qualcuno come un amico, un familiare, un collega o un capo, quindi la vittima è più propensa a fornire informazioni sensibili. Gli attacchi di pretexting possono avvenire tramite telefonate, messaggi di testo, e-mail o di persona.
Truffa del CEO
La truffa del CEO avviene quando un malintenzionato finge di essere il CEO di un’azienda nel tentativo d’indurre i dipendenti a fornire informazioni sensibili o a inviare denaro, spesso sotto forma di carte regalo. In genere, per compiere una truffa del CEO, prima di fare la loro richiesta i malintenzionati inviano messaggi o e-mail alla vittima più volte. Questo li aiuta a risultare più credibili e dà loro il tempo di guadagnare la fiducia della vittima.
Scareware
Lo scareware avviene quando i malintenzionati utilizzano la manipolazione psicologica per indurre le vittime a scaricare quello che credono essere un software antivirus, ma in realtà è un malware. Il malware è un tipo di software dannoso che viene utilizzato dai malintenzionati per rubare informazioni sensibili spiando gli utenti o tracciando i tasti che premono.
Di solito, questo tipo di attacco di social engineering viene compiuto mostrando sul dispositivo della vittima dei pop-up che segnalano la presenza di un virus. Il messaggio informerà inoltre che, per sbarazzarsi del virus, la vittima dovrà scaricare immediatamente il software antivirus. Se la vittima clicca sul pop-up, si avvierà automaticamente il download di un vero virus o malware. Una volta completato il download, il malware potrà inviare informazioni sensibili al malintenzionato, in modo che quest’ultimo possa utilizzarle per rubare l’identità della vittima e violare i suoi account online.
Truffe romantiche
Le truffe romantiche avvengono quando i malintenzionati fingono un interesse amoroso per la vittima. Per commettere una truffa romantica, spesso i malintenzionati utilizzano l’identità di qualcun altro, comportamento noto come catfishing della vittima. Quando un malintenzionato perpetra una truffa romantica, manipola la vittima fino a indurla a inviargli denaro o a fornirgli informazioni personali, utili a rubarne l’identità o violarne gli account.
Se una vittima invia il denaro al malintenzionato, quest’ultimo potrebbe continuare a chiedergliene altri, oppure smettere del tutto di contattarla una volta raggiunto il proprio scopo.
Come proteggersi dal social engineering
Per proteggersi dal social engineering, è necessario ripulire le proprie tracce digitali, prestare attenzione alla propria sicurezza, sia virtuale che reale, proteggere i propri account con password forti e l’autenticazione a più fattori (MFA) ed evitare di condividere eccessivamente le proprie informazioni personali.
Pulire le proprie tracce digitali
Con il termine tracce digitali s’intendono i dati che vengono lasciati su Internet. Esistono due tipi principali di tracce digitali: passive e attive. Le tracce passive sono costituite dai dati sugli utenti che i siti web raccolgono in background, come la cronologia di navigazione, la cronologia degli acquisti e i cookie. Le tracce digitali attive sono i dati che vengono volutamente pubblicati su Internet, come i post sui social media e le recensioni pubbliche.
Pulire le proprie tracce digitali è importante, poiché più dati esistono online su di sé, più è facile essere presi di mira da eventuali attacchi di social engineering. Ecco quattro modi per ripulire le proprie tracce digitali.
- Rimuovere le proprie informazioni dai siti di ricerca delle persone
- Evitare di pubblicare troppi contenuti sui social media
- Rendere privati i propri profili sui social media
- Eliminare e disattivare gli account che non si usano più
Prestare attenzione alla propria sicurezza nel mondo virtuale e reale
Poiché gli attacchi di social engineering possono avvenire di persona od online, è importante prestare attenzione alle persone a cui si forniscono informazioni personali e che si lasciano entrare in un edificio. Se si lavora dall’ufficio della propria azienda, non lasciare entrare chiunque e prestare attenzione a chi cammina a breve distanza dietro di sé, perché potrebbe facilmente introdursi nell’edificio.
Proteggere i propri account online
Nell’eventualità in cui si cada vittime di un attacco di social engineering, è importante che siano già state adottate misure di sicurezza per proteggere i propri account online. Ad esempio avere delle password forti e aver abilitato l’autenticazione a più fattori sugli account in cui è possibile farlo.
Invece di creare password da soli, utilizzare un generatore di password o registrarsi a un account password manager. I password manager aiutano gli utenti a creare, gestire e archiviare in modo sicuro le password, in modo che non debbano ricordarle tutte. Oltre ad avere password forti, è altrettanto importante abilitare l’MFA.
L’MFA è una misura di sicurezza che, per permettere l’accesso a un account, oltre a username e password richiede anche uno o più livelli di autenticazione. Anche se un malintenzionato riuscisse ad appropriarsi di nome utente e password tramite un attacco di social engineering, senza il fattore di autenticazione aggiuntivo non sarebbe in grado di violare l’account.
Evitare di condividere troppe informazioni personali
Come accennato in precedenza, per non lasciare tracce digitali è necessario evitare di condividere troppe informazioni personali online. Tuttavia, è importante anche prestare attenzione alle informazioni che si condividono di persona. Non si può mai sapere quali possano essere le intenzioni di una persona, quindi è meglio essere prudenti e tenere per sé le proprie informazioni personali, condividendole solo con persone di cui si è sicuri di potersi fidare.
Come proteggere la propria organizzazione dal social engineering
Per proteggere la propria organizzazione dagli attacchi di social engineering, è consigliabile inviare finte e-mail di phishing, formare regolarmente i dipendenti sulle migliori pratiche di sicurezza informatica, investire in un password manager aziendale e implementare il principio dei privilegi minimi (PoLP).
Inviare finte e-mail di phishing
Le finte e-mail di phishing sono e-mail che vengono inviate dalle organizzazioni ai propri dipendenti per testare le loro capacità d’individuare gli attacchi di phishing. L’invio di questi test di phishing è un ottimo modo per scoprire quanto i dipendenti siano abili o meno a smascherare gli attacchi. Se un dipendente commette l’errore di cliccare sui contenuti dell’e-mail di phishing, fallisce il test e dovrà seguire dei corsi di formazione aggiuntivi per imparare a individuare gli attacchi.
Per inviare questi test sono disponibili molti tool di phishing, tra cui quelli gratuiti e open source come Gophish. Esistono anche molti prodotti commerciali, come KnowBe4 e Infosec IQ.
Istruire i propri dipendenti sulla sicurezza informatica
I test di phishing non devono essere l’unica misura da intraprendere per proteggere la propria organizzazione: è necessario anche formare regolarmente i dipendenti sulle migliori pratiche di sicurezza informatica, ad esempio:
- Usare password forti e uniche per tutti gli account
- Abilitare l’MFA sugli account che lo consentono
- Evitare di utilizzare le reti WiFi pubbliche quando si viaggia o si lavora da remoto
- Mantenere aggiornati software e hardware
- Eseguire regolarmente il backup dei dati
Più i dipendenti conoscono la sicurezza informatica, meglio riusciranno a metterla in pratica per ridurre i rischi di attacchi informatici come il social engineering.
Investire in un password manager aziendale
Un password manager aziendale o societario è uno strumento che aiuta le organizzazioni a garantire che i dipendenti utilizzino sempre password forti per tutti i loro account di lavoro. Con un password manager aziendale, gli amministratori IT possono monitorare minuziosamente le abitudini dei dipendenti in materia di password e implementare l’uso dell’MFA per rendere gli account più sicuri.
Per quanto riguarda il phishing, che è il tipo di attacco di social engineering più diffuso, il rischio maggiore è la violazione delle password. I password manager salvano gli indirizzi dei siti web e le credenziali di login, evitando che gli utenti inseriscano le proprie credenziali su un sito web falsificato, poiché i password manager non compilano automaticamente i campi dei siti web che non riconoscono.
Implementare il principio dei privilegi minimi
Il principio dei privilegi minimi è un concetto di sicurezza informatica in base al quale agli utenti deve essere concesso solo l’accesso alla rete sufficiente per usufruire delle informazioni e dei sistemi di cui hanno bisogno per svolgere il proprio lavoro. L’implementazione del principio dei privilegi minimi riduce la superficie d’attacco di un’organizzazione e, nel caso in cui un malintenzionato riesca ad accedere all’account di un dipendente, gli impedisce di muoversi lateralmente all’interno della rete dell’organizzazione.
Proteggersi dagli attacchi di social engineering
Gli attacchi di social engineering possono colpire chiunque. È importante che sia le singole persone che le organizzazioni adottino misure opportune per proteggersi dagli attacchi di social engineering e ridurre i rischi.
Avviate oggi stesso, gratuitamente, una prova personale di 30 giorni o una prova aziendale di 14 giorni di Keeper Password Manager, per iniziare subito a proteggere i vostri account online dagli attacchi di social engineering.