PRENOTA UN
APPUNTAMENTO
INVIA UN
MESSAGGIO
News

Cos'è il social engineering, tecniche di attacco e come difendersi

Il Social Engineering è un'arte manipolativa che sfrutta la psicologia umana per ottenere accesso non autorizzato a informazioni confidenziali o compiere azioni dannose. Scopri come difenderti.

 
News

Cos'è il social engineering, tecniche di attacco e come difendersi

Il Social Engineering è un'arte manipolativa che sfrutta la psicologia umana per ottenere accesso non autorizzato a informazioni confidenziali o compiere azioni dannose. Scopri come difenderti.

Cos'è il social engineering?

Il social engineering è una delle tante forme di crimine commesso sfruttando la rete Internet e la nostra presenza ormai sempre più ampia sul web e sui social network. 

Questa tecnica di attacco si fonda essenzialmente su uno studio preliminare del comportamento e delle abitudini di una persona al fine di carpirne informazioni e dati sensibili e preziosi mediante una manipolazione psicologica. 

I cyber criminali puntano infatti a stabilire un rapporto con la vittima, fanno leva sulla fiducia, spesso sulla mancanza di conoscenza in un determinato ambito oppure sfruttano una vulnerabilità anche solo temporanea per arrivare a estorcere denaro, rubare l’identità o dati importanti. 

Social Engineering: definizione

Proviamo quindi a dare una definzione il più completa possibile del Social Engineering:

Il Social Engineering è un'arte manipolativa che sfrutta la psicologia umana per ottenere accesso non autorizzato a informazioni confidenziali o compiere azioni dannose. Questa tecnica di attacco si basa sulla comprensione del comportamento delle persone e mira a sfruttare la fiducia, la mancanza di consapevolezza e le vulnerabilità della vittima. Attraverso la manipolazione, il social engineering può portare all'ottenimento di dati sensibili come password, informazioni finanziarie o persino arrecare gravi danni alle vittime, come estorsione di denaro o furto di identità.

Come funziona il social engineering e quali tecniche usa per fare leva sulle emozioni umane?

Il social engineering - ingegneria sociale in italiano – presuppone che il criminale studi a fondo la vittima, le sue relazioni e le sue conoscenze. Se il bersaglio è un’azienda le informazioni oggetto di studio comprenderanno la struttura organizzativa, il numero e la tipologia di dipendenti, gli asset principali. 

Solo attraverso questa fase di “studio” gli autori di questo crimine saranno in grado di individuare punti deboli da sfruttare per condurre il proprio attacco che può manifestarsi in modi molto diversi. 

Una volta individuato il bersaglio e acquisite le informazioni necessarie viene stabilito con esso un contatto che mira a stabilire un rapporto. I cyber criminali sfruttano sapientemente le debolezze e le emozioni della vittima. 

Persuasione e conquista della fiducia sono gli strumenti utilizzati sfruttando stati emotivi come la paura, la rabbia, il senso di colpa, la tristezza, l’eccitazione, la curiosità. L’approccio alla vittima non è essenzialmente virtuale ma può avvenire o prevedere anche una fase di contatto reale

Una volta ottenuta la fiducia gli hacker saranno in grado di sfruttare anche elementi come l’urgenza – mediante proposte irrinunciabili o sfruttando appunto la fretta - e la scarsa conoscenza di un problema o di una situazione. 

Quali sono le tecniche di attacco più diffuse?

La tecnica di social engineering più diffusa è il phishing che sfrutta l’invio di e-mail ma anche sms e messaggi tramite app di messaggistica istantanea contenenti link malevoli. 

La truffa può rivelarsi particolarmente efficace soprattutto se gli hacker riescono a costruire un sistema tale da indurre la vittima a fidarsi e a cliccare su un link o a inserire le proprie credenziali su una pagina. Questo può accadere perché, ad esempio, la vittima riceve una comunicazione da una fonte che ritiene attendibile – il proprio istituto bancario, una compagnia telefonica, una compagnia dell’energia – e non presta molto attenzione a dettagli spesso insignificanti come un account e-mail solo in parte simile a quelli originali. 

Una volta rivelati i dati o dopo aver cliccato sul link ricevuto gli hacker provvedono a sottrarre informazioni o a infiltrarsi nei sistemi, oppure sfruttano le password rivelate per rubare denaro. 

Simile ma condotto in modo diverso è l’attacco che sfrutta una telefonata alla vittima, nella quale gli autori della truffa si presentano come operatori di una compagnia o di un istituto bancario, di un provider o di un gestore di servizi di cui la vittima si serve e, carpita la fiducia di questa, si fanno dare informazioni e dati privati (password, codici delle carte di credito, Iban). 

Una fonte di informazione preziosa possono essere anche i dispositivi tecnologici dismessi, se non opportunamente resettati, di cui gli hacker potrebbero venire in possesso. Esistono poi modalità fisiche mediante le quali i criminali forniscono delle chiavette Usb o altri dispositivi simili alla vittima suscitandone la curiosità. Una volta inseriti nel pc questi dispositivi infettano il computer consentendo agli hacker di accedervi da remoto.  

Più sofisticata e meno percorribile è un’altra forma di social engineering mediante la quale il truffatore segue la vittima o cerca di ottenerne la fiducia – in una grande azienda, ad esempio, presentandosi come un collega - per   accedere a informazioni riservate, chiavi di sicurezza e di accesso, ecc. 

Qui di seguito presentiamo i 10 esempi di attacco social engineering più diffusi:

  1. Phishing: invio di e-mail, messaggi o siti web contraffatti che sembrano provenire da fonti attendibili al fine di indurre le persone a rivelare informazioni personali come password, numeri di carta di credito, o altre informazioni sensibili.

  2. Inganno telefonico (Vishing): simile al phishing, ma avviene tramite chiamate telefoniche. Gli aggressori si fanno passare per rappresentanti di istituti finanziari, aziende o istituzioni governative al fine di ottenere informazioni riservate.

  3. Pretesti: gli attaccanti creano una storia credibile o una ragione per ottenere informazioni sensibili dalle vittime. Ad esempio, possono fingere di essere tecnici IT o dipendenti aziendali per ottenere accesso a sistemi o dati.

  4. Ingegneria sociale online: questa tecnica sfrutta i social media e altre piattaforme online per raccogliere informazioni su una persona o un'organizzazione al fine di creare un attacco mirato.

  5. Ingegneria sociale fisica: gli aggressori possono ottenere accesso fisico a edifici o sistemi informatici utilizzando tecniche come l'inganno, la manipolazione o la semplice forza.

  6. Dumpster Diving: ricerca di informazioni sensibili o utili nei rifiuti di un'organizzazione. Gli aggressori possono trovare documenti, note o altri materiali che possono essere utilizzati per scopi fraudolenti.

  7. Baiting: Gli aggressori offrono una ricompensa o un incentivo, come una chiavetta USB "persa" contenente malware, al fine di convincere le persone a eseguire azioni non sicure.

  8. Quid pro quo: questa tecnica sfrutta il malcontento di eventuali, che potrebbero essere indotti a fornire informazioni sensibili ai malintenzionati in cambio di denaro o altre utilità.
     
  9. Truffa del CEO, i criminali inducono i dipendenti a eseguire determinate azioni facendosi passare per alti dirigenti dell'azienda. Approfittando del normale senso di urgenza e pressione che i dipendenti sentono quando ricevono direttive dai dirigenti, i truffatori mirano a suscitare un senso di urgenza nella vittima, spingendola ad agire rapidamente secondo le loro istruzioni.
     
  10. Trashing: gli aggressori cercano informazioni sensibili scrutando tra i rifiuti delle vittime alla ricerca di documenti come bollette, estratti conto e altri dati personali. Inoltre, mirano anche a dispositivi dismessi come smartphone, laptop o chiavette USB guaste, che se non resettati correttamente possono contenere informazioni preziose.

Come difendersi dal social engineering ed evitare attacchi 

Prendendo in considerazione l’ambito aziendale, dove spesso possono verificarsi questi crimini, è fondamentale che le aziende investano sull’informazione e sulla formazione dei propri dipendenti circa i rischi per la sicurezza personale e aziendale. 

Conoscere bene i sistemi informatici e i dispositivi che si utilizzano per lo svolgimento delle mansioni, così come avere informazioni adeguate sulla sicurezza dei sistemi informatici aziendali, la sensibilizzazione del dipendente sono alcuni dei rimedi più importanti per evitare questo tipo di attacchi. 

La diffusione di una cultura della sicurezza all’interno dell’azienda, la formazione sugli aspetti più tecnici e l’invito a diffidare in caso di richieste sospette sono fondamentali per mettere i dipendenti nelle condizioni di non cadere in questi tranelli informatici che spesso si risolvono in una perdita economica per l’azienda. 

Quanto ai singoli sono validi i principali accorgimenti che si devono adottare per evitare le truffe informatiche. Aggiornare i sistemi operativi e gli antivirus, dubitare di e-mail e di ogni altro tipo di comunicazione che desti sospetto – controllando ad  esempio il mittente -, verificare se le comunicazioni che riceviamo sono affidabili e non cliccare a priori su qualsiasi link che ci viene inviato sono difese sempre valide  per mettersi al riparo da questi cyber crimini. 

Il social engineering è una forma di attacco complessa da cui può essere molto complicato difendersi e una minaccia sempre più diffusa per la sicurezza online di persone e imprese. L'Agenzia Investigativa Dogma è specializzata nei vari contesti, in cui può agire l'ingegneria sociale: la cybersecurity, le truffe online, l'accesso non autorizzato a sistemi o strutture fisiche e il campo dell'intelligence.

Chiama il Numero Verde per ricevere immediatamente un preventivo ed una consulenza riservata e gratuita, oppure, utilizza il modulo presente sulla pagina per inviarci una richiesta o PRENOTARE UN APPUNTAMENTO.

Ti potrebbero interessare anche

  • frodi finanziarie
    22/12/2021
    News

    Le frodi finanziarie

    Cosa sono le truffe finanziarie e come difendersi. Scopri tipologie, raccomandazioni e consigli, nel caso in cui si sospetti di essere vittima di una frode finanziaria.
  • know-how aziendale: cos'è e come tutelarlo
    21/03/2023
    News

    Il know-how aziendale: come tutelare i segreti aziendali

    Che cos'è il know-how aziendale e quali accorgimenti deve adottare un’azienda per proteggersi dalla sottrazione e dalla rivelazione di quel bagaglio di informazioni, segreti e nozioni che hanno un valore economico?
  • 05/07/2023
    News

    Cos'è L'ingegneria sociale? Come riconoscerla e come difendersi

    Conosciuto nel panorama della cybersecurity, il social engineering rappresenta una delle tecniche più efficaci usate dagli aggressori per spingere gli utenti a divulgare informazioni sensibili, facendo leva sulle emozioni per manipolare le vittime. Una minaccia sempre più diffusa per la sicurezza online di persone e imprese. Vediamo insieme come difendersi.
  • Risk assessment: valutazione del rischio
    23/11/2023
    News

    Risk Assessment: cos’è e perché è così importante nella strategia aziendale.

    Il Risk assessment è un processo importante nella strategia di gestione del rischio di un'azienda: scopri le fasi, gli obiettivi e le figure professionali coinvolte.

    La realtà pone domande.
    Noi cerchiamo le risposte.


    Un sito non basta a risolvere ogni dubbio e soprattutto a far fronte a tutte le necessità. Utilizza il form qui a lato o la CHAT per contattarci, prenotare un appuntamento e chiederci informazioni.

    • Colloquio preliminare GRATUITO
    • Massima RISERVATEZZA
    • Risposta RAPIDA

    Indica una data e un orario preferito per l'appuntamento:
    Confermo di aver letto l'informativa e la accetto
    Tutti i campi sono obbligatori

    Agenzia Investigativa DOGMA S.p.A.
    Agenzia Investigativa Milano
    Via Cino del Duca, 5
    20122 - Milano
    Tel. +39 02 76281415
    Fax +39 02 76391517
    Agenzia Investigativa Torino
    Corso Vittorio Emanuele II, 92
    10121 - Torino
    Tel. +39 011 5617504
    Fax +39 011 531117
    Agenzia Investigativa Roma
    Via G. Gioacchino Belli, 39
    00193 - Roma
    Tel. +39 06 89871789
    Agenzia Investigativa Londra
    Level 33, 25 Canada Square
    Canary Wharf
    London E15 5LB nb
    Agenzia Investigativa New York
    3rd and 4th Floors,
    57 West 57th Street - Manhattan
    New York 10019 USA
    Seguici su:

    numero verde 800.750.751
    da lunedì a sabato dalle 09:00 alle 20:00
    servizio gratuito da telefono fisso e mobile da Italia

    Privacy Policy
    Cookie Policy

    P.IVA 10425470019