Puoi proteggerti dal furto d'identità proteggendo il numero di previdenza sociale e altri documenti sensibili, rivedendo regolarmente i rapporti sul credito, utilizzando uno strumento di monitoraggio
Tra gli esempi di attacchi di social engineering vi sono il phishing, il pretexting, lo scareware, il baiting, il vishing, lo smishing e le truffe del CEO. Se non sai cosa si può definire come social engineering, immagina in quanti modi qualcuno può manipolarti per rivelare informazioni private. I malintenzionati utilizzano queste tecniche psicologiche, sia di persona che online, per accedere alle tue informazioni personali o della tua organizzazione. Questi malintenzionati possono installare malware sul tuo dispositivo, rubare le tue informazioni e persino assumere la tua identità.
Continua a leggere per scoprire di più sugli esempi di attacchi di social engineering e come evitare di caderne vittima.
Phishing
Il phishing avviene quando i cybercriminali si spacciano per qualcuno o qualcosa che la vittima conosce, come un’azienda o un familiare, al fine di accedere alle informazioni private. Probabilmente starai pensando che il phishing assomigli molto al social engineering, infatti è un tipo di attacco di social engineering. Solitamente, il phishing avviene tramite e-mail, SMS e telefono e mira a convincere le vittime a installare malware o fornire dati sensibili. Tuttavia, la tecnica del social engineering non si limita agli stessi mezzi del phishing. Sebbene il phishing sia un esempio di social engineering, non tutti gli attacchi di social engineering rientrano nel campo del phishing.
L’obiettivo dei cybercriminali è indurre la vittima a fare clic su un link in modo da poter scaricare un malware sul dispositivo, rubare le sue informazioni sensibili o indirizzarla a un sito web falsificato.
Ecco alcuni dei tipi più comuni di tentativi di phishing a cui fare attenzione:
- Messaggi che utilizzano un tono urgente, specialmente se minacciano di disattivare l’account della vittima se non agisce subito
- Minacce di conseguenze finanziarie
- Offerte che sembrano troppo buone per essere vere
- Richieste di informazioni personali da parte dei cybercriminali che affermano di essere un’azienda o una persona conosciuta
- Indirizzi e-mail o nomi di dominio che non corrispondono alla persona che affermano di essere
Vishing e smishing
Ora che sappiamo cos’è il phishing, è bene conoscere altri tipi di attacchi di social engineering simili: il vishing e lo smishing. Sia il vishing che lo smishing sono tipi di attacchi di phishing, ma ciò che li differenzia è il metodo di contatto utilizzato dal cybercriminale per colpire la vittima.
Dal momento che il vishing avviene al telefono, è più facile che la vittima creda alla voce dall’altra parte. Più recentemente, i cybercriminali hanno iniziato a utilizzare l’IA nelle truffe per impersonare le voci di una persona che la vittima conosce, come un collega o un familiare, analizzando le registrazioni audio e i video per un effetto più realistico. Un passo fondamentale per evitare gli attacchi di vishing è evitare di rispondere alle chiamate da numeri sconosciuti. Alcuni telefoni dispongono persino di un’impostazione per silenziare le chiamate da numero sconosciuto, in modo da non avere nemmeno la tentazione di rispondere.
Lo smishing avviene attraverso messaggio di testo ed è anche chiamato SMS phishing. Le vittime dello smishing riceveranno un messaggio con un tono urgente che li invita a fare clic su un link e ad accedere a un account che utilizzano regolarmente. Tuttavia, questo link non è legittimo e il cybercriminale può utilizzare le credenziali inserite dalla vittima per accedere al suo account. Ricorrendo a una soluzione simile a quella contro il vishing, un modo semplice per evitare di cadere vittima degli attacchi di smishing è bloccare i numeri di telefono che inviano link sospetti.
Pretexting
Un altro tipo di attacco di social engineering è il pretexting, in cui la vittima viene convinta a rivelare informazioni private inventando una storia. Utilizzando un pretesto, il cybercriminale manipola psicologicamente la vittima per ottenere la sua fiducia o per incutere timore. Se il cybercriminale sviluppa una falsa narrazione a cui la vittima crederà, ottenendo maggiore credibilità, è più probabile che la vittima creda che sia necessario inviare denaro o condividere informazioni sensibili. Il pretexting richiede molte ricerche da parte del cybercriminale al fine di scoprire dove lavora la vittima, i suoi interessi attraverso i suoi account di social media, chi conosce attraverso le attività online, ecc. Questo tipo di attacco di social engineering è particolarmente dannoso perché la vittima potrebbe cadere inconsapevolmente vittima di truffe potenzialmente rischiose per la vittima stessa e le sue informazioni private.
Scareware
Come suggerisce il nome, lo scareware è un altro tipo di attacco di social engineering basato sul download di malware mascherati da software antivirus da parte della vittima. Spaventando le persone con messaggi urgenti che affermano che il loro dispositivo è infetto, i cybercriminali terrorizzano le vittime e le manipolano psicologicamente per indurle a compiere un’azione per accedere ai loro dati sensibili.
Uno degli attacchi scareware più comuni è mediante messaggi pop-up. Ad esempio, se fai clic su un nuovo sito web, un messaggio potrebbe avvisarti che il tuo computer ha un virus, pur non essendo vero. Per fermare il virus e risolvere il problema, potresti avere la tentazione di fare clic sul messaggio e scaricare un software antivirus contenenti malware veramente pericolosi. Invece di cliccare sui messaggi pop-up o persino di fare clic sulla “X” per chiudere il messaggio, chiudi completamente la finestra del browser per evitare di cadere vittima degli attacchi scareware.
Baiting
Il baiting avviene quando i cybercriminali attirano le vittime e le inducono a compiere azioni che le portano a rubare le informazioni o a infettare il dispositivo con un malware. Il malvertising è un tipo di baiting che utilizza degli annunci che le vittime possono vedere online al fine di diffondere malware sui propri dispositivi. Gli attacchi di social engineering attirano le vittime mediante il malvertisement, risultando nella compromissione dei dati. Ad esempio, se fai acquisti online e clicchi su un annuncio, un malvertisement potrebbe avvisarti che il tuo dispositivo è infetto e quindi infetterà il dispositivo indipendentemente dal fatto che tu abbia selezionato o meno l’avviso di sicurezza. Sebbene molte persone pensino che il baiting sia la stessa cosa del phishing, nel phishing i cybercriminali fingono di essere qualcuno che la vittima conosce, mentre nel baiting non è necessaria nessuna simulazione.
Truffa del CEO
Si ha una truffa del CEO quando un cybercriminale finge di essere il CEO di un’organizzazione. Questo tipo di attacco di social engineering manipola un dipendente specifico per indurlo a inviare denaro al cybercriminale o a condividere informazioni private facendo leva sulla fiducia della vittima nei confronti di una figura autorevole all’interno dell’azienda. La truffa del CEO è considerata un esempio di social engineering perché i cybercriminali prendono di mira vittime specifiche al fine di manipolarle psicologicamente convincendole di essere il CEO dell’azienda.
Prevenire gli attacchi di social engineering
Ora che ne sai di più sugli esempi di attacchi di social engineering, è probabile che tu voglia sapere come evitare di caderne vittima. Ecco alcuni consigli supplementari e migliori prassi per evitare di cadere vittima degli attacchi di social engineering:
- Cancella spesso la cronologia di navigazione e i cookie
- Rendere privati i propri profili sui social media
- Elimina gli account che non utilizzi più
- Fai attenzione a e-mail, messaggi di testo o telefonate sospette
- Crea password forti e abilita l’autenticazione a più fattori (MFA)
Data la popolarità dei social media, condividere troppe informazioni rappresenta innumerevoli pericoli che potrebbero portare ad attacchi di social engineering. Sebbene condividere tutto ciò che accade nella tua vita possa darti una sensazione di maggiore connessione con i tuoi follower, condividere troppo sui social media può mettere a rischio la tua privacy. Evita di pubblicare dettagli intimi su di te, sulle persone con cui trascorri regolarmente del tempo, le informazioni legate al lavoro o di taggare la posizione dei tuoi post. I cybercriminali possono utilizzare qualsiasi di queste informazioni sulla tua identità per gli attacchi di social engineering.
Proteggiti dagli attacchi di social engineering
Questi tipi di attacchi di social engineering possono avere un impatto su chiunque non sia a conoscenza delle tattiche utilizzate dai cybercriminali per accedere alle proprie informazioni private. Adotta misure adeguate per proteggerti dagli attacchi di social engineering e ridurre al minimo i rischi di furto di identità, gli accessi non autorizzati agli account importanti e altro ancora.
Iscriviti per una prova gratuita di 30 giorni di Keeper Password Manager e proteggiti dai pericoli del social engineering.