Che cosa si intende con il termine Ingegneria Sociale?

L'ingegneria sociale  (dall'inglese social engineering), è una pratica in cui gli attaccanti cercano di manipolare le persone al fine di ottenere informazioni riservate, indurre le vittime a compiere determinate azioni o sfruttare la fiducia delle persone per scopi fraudolenti. In sostanza, si tratta di sfruttare gli aspetti psicologici, sociali e comportamentali delle persone per raggiungere un obiettivo.

L'ingegneria sociale può essere utilizzata in vari contesti, tra cui la sicurezza informatica, le truffe online, l'accesso non autorizzato a sistemi o strutture fisiche, e persino nel campo dell'intelligence per ottenere informazioni riservate.

La pratica dell'ingegneria sociale ha radici storiche, poiché l'arte di manipolare e ingannare le persone esiste da molto tempo. Tuttavia, con l'avvento della tecnologia e l'aumento della connettività, l'ingegneria sociale ha trovato nuove opportunità e forme di espressione.

Con l'avanzamento delle comunicazioni digitali, come e-mail, messaggi istantanei e social media, gli aggressori hanno trovato nuovi mezzi per ingannare le persone. Possono impersonare entità o individui di fiducia, inviare messaggi che sembrano legittimi o sfruttare informazioni personali disponibili online per rendere le loro truffe più convincenti.

L'ingegneria sociale sfrutta spesso elementi come l'autorità, la simpatia, la paura, la curiosità, l'ignoranza e in alcuni casi anche l’avidità per manipolare le persone e ottenere ciò che desiderano. Può coinvolgere la raccolta di informazioni sulle vittime (analisi di contesto), l'uso di tecniche persuasive o manipolative e la creazione di scenari credibili per ottenere la cooperazione della vittima.

È importante essere consapevoli dell'ingegneria sociale e delle sue tattiche per poter riconoscere e prevenire possibili truffe o attacchi. La consapevolezza, l'educazione e la prudenza sono fattori fondamentali per proteggersi da questa forma di manipolazione. 

Esempi di truffe attuate con l’Ingegneria Sociale

Ci sono numerose tipologie di frodi che coinvolgono l'ingegneria sociale e che sfruttano gli strumenti utilizzati quotidianamente dalle persone, come mail, telefoni, siti web, social media e app. Qui di seguito vi illustriamo alcuni degli esempi più significativi:

1. Truffe telefoniche: i truffatori chiamano le vittime fingendo di essere rappresentanti di istituti finanziari, società di servizi o organizzazioni governative. Possono chiedere informazioni personali, come numeri di previdenza sociale, numeri di conto bancario o password, o indurre le vittime a effettuare pagamenti o trasferimenti di denaro. 
    
2. Phishing: gli aggressori inviano e-mail o messaggi che sembrano provenire da istituti finanziari o aziende legittime. Chiedono alle vittime di fornire informazioni personali, come password, numeri di carte di credito o dettagli dell'account con l'obiettivo di rubare le credenziali di accesso o i dati finanziari.
    
3. Social engineering sul luogo di lavoro: gli aggressori possono impersonare dipendenti, fornitori o autorità esterne per ottenere accesso a informazioni sensibili o per indurre i dipendenti a compiere azioni dannose. Possono utilizzare chiamate, e-mail o persino visite di persona per manipolare le vittime.
    
4. Frode del supporto tecnico: i truffatori fingono di essere tecnici di supporto informatico legittimi e contattano le vittime affermando che ci sono problemi con il loro computer o account online. Chiedono alle vittime di fornire loro l'accesso remoto al computer o di installare software dannosi, al fine di rubare informazioni o estorcere denaro. 
    
5. Truffe di ricatto online: gli aggressori possono inviare e-mail minatorie o messaggi sui social media affermando di avere informazioni compromettenti sulla vittima, come foto o registrazioni compromettenti. Chiedono un pagamento in cambio della non divulgazione di tali informazioni.
    
6. Truffa del CEO, oppure CFO (amministratore delegato, oppure, direttore finanziario): in questa truffa, gli aggressori si fanno passare per un CEO o un alto dirigente di un'azienda e contattano il dipendente finanziario o contabile. Fingono di avere un'urgenza finanziaria e chiedono un trasferimento di denaro immediato su un conto specifico. Questo tipo di truffa ha colpito molte aziende in tutto il mondo, causando ingenti perdite finanziarie.
    
7. Truffa del principe nigeriano (Nigerian Prince Scam): questa è una truffa classica che coinvolge un'e-mail o una lettera in cui un presunto principe nigeriano chiede assistenza per trasferire ingenti somme di denaro all'estero. le vittime vengono ingannate con la promessa di ricompense finanziarie, ma alla fine finiscono per inviare denaro agli aggressori senza ottenere nulla in cambio.
    
8. Truffa delle carte di credito: gli aggressori possono contattare le persone tramite telefonate o e-mail, fingendo di essere rappresentanti della banca o dell'azienda di carte di credito. Chiedono informazioni personali, come il numero della carta di credito, la data di scadenza o il codice di sicurezza, al fine di utilizzare queste informazioni per frodi finanziarie.
    
9. Truffa delle chiamate di supporto tecnico: la truffa consiste nel telefornare alle persone, affermando di essere tecnici di supporto informatico o rappresentanti di un'azienda tecnologica. Questi falsi tecnici si presentano con la scusa di risolvere un problema tecnico sul computer della vittima e chiedono l'accesso remoto al dispositivo. In realtà, il loro obiettivo è rubare dati personali o installare malware.
    
10. Truffa del falso lotto o della lotteria: le vittime ricevono messaggi o telefonate in cui vengono informate di aver vinto una grande somma di denaro in una lotteria o in un concorso a cui non hanno mai partecipato. Per riscuotere il premio, vengono chiesti pagamenti o informazioni personali.
     
11. Truffa sentimentale online: in questa truffa, gli aggressori creano false identità sui siti di incontri o sui social media per ingannare le persone emotivamente. Dopo aver guadagnato la fiducia delle vittime, chiedono denaro per vari motivi inventati.

Questi sono solo alcuni esempi di casi comuni di frodi basate sull'ingegneria sociale. È importante rimanere vigili e diffidare di richieste sospette o insolite per proteggersi da tali truffe.

Come difendersi dall'Ingegneria Sociale

La prima regola è la consapevolezza dei rischi. Essere consapevoli che i Rischi esistono, che sono diffusi e che possono colpire chiunque è già un primo passo. La seconda protezione contro il social engineering inizia con l'istruzione. È importante essere consapevoli di queste tecniche e saperle riconoscere per proteggere se stessi, oltre che le proprie informazioni private. Cercheremo quindi di fornire dei consigli utili per difendersi dalle tecniche più diffuse di social engineering.

10 consigli pratici per difenderti dall'ingegneria sociale:

1. Mantieni la vigilanza: sii consapevole che l'ingegneria sociale esiste e che gli aggressori possono cercare di manipolarti. Sii cauto e diffida di richieste insolite o sospette.

2. Verifica l'identità: se qualcuno ti contatta chiedendoti informazioni personali o confidenziali, verifica sempre la sua identità. Non fornire mai informazioni sensibili, come password o numeri di carte di credito, a meno che tu non sia sicuro al 100% dell'identità della persona con cui stai interagendo. Alcune applicazioni possono replicare la voce rendendola simile ad altre voci.

3. Usa metodi di autenticazione sicuri: utilizza password robuste e diverse per ogni account online. Considera l'utilizzo di metodi di autenticazione a due fattori, come l'invio di un codice di verifica al tuo telefono o l'utilizzo di app di autenticazione.

4. Stai attento alle comunicazioni online: sii cauto quando ricevi messaggi o e-mail inaspettati, soprattutto se contengono richieste di informazioni personali. Non fare clic su link sospetti o scaricare allegati da mittenti sconosciuti.

5. Fai attenzione alle informazioni condivise sui social media: limita le informazioni personali che condividi sui social media. I dettagli come il tuo indirizzo, il numero di telefono o le informazioni sulla tua vita quotidiana possono essere utilizzati dagli aggressori per cercare di manipolarti.

6. Educa te stesso e gli altri: informa te stesso e le persone intorno a te sui rischi dell'ingegneria sociale. Condividi consigli e suggerimenti per la prevenzione delle frodi e invita gli altri a essere cauti.

7. Segnala eventuali attività sospette: se sospetti di essere vittima di un tentativo di ingegneria sociale o di una truffa, segnala l'attività alle autorità competenti, come la polizia locale o le funzioni antifrode della tua organizzazione.

8. Mantieni il software aggiornato: assicurati di avere installato gli aggiornamenti di sicurezza più recenti per il tuo sistema operativo, i tuoi programmi e le tue applicazioni. Gli aggiornamenti spesso correggono le vulnerabilità che potrebbero essere sfruttate dagli aggressori.

9. Utilizza soluzioni di sicurezza affidabili: considera l'utilizzo di software antivirus, firewall e altre soluzioni di sicurezza per proteggere i tuoi dispositivi da malware e attacchi informatici.

10. Affidati al tuo istinto: se qualcosa ti sembra troppo bello per essere vero, ascolta il tuo istinto e sii prudente. Meglio essere cauti che cadere vittime di una truffa.

Ricorda che la prevenzione è fondamentale quando si tratta di difendersi dall'ingegneria sociale. Essere consapevoli e adottare precauzioni adeguate possono contribuire a proteggerti da potenziali truffe o attacchi.

Casi mediatici di truffe con la tecnica dell’Ingegneria Sociale

Per capire meglio cosa sia il social engineering, analizziamo anche qualche esempio reale, mostrando casi di truffe che hanno ricevuto un'ampia copertura mediatica.

1. Truffa del Business Email Compromise (BEC): questa truffa coinvolge la compromissione di un account di posta elettronica aziendale per inviare e-mail falsificate a partner commerciali o dipendenti. Uno dei casi più famosi è stato quello di una società di energia australiana nel 2018, in cui gli aggressori hanno sottratto oltre 8 milioni di dollari facendosi passare per uno dei dirigenti dell'azienda.

2. Truffa delle Fatture (Fake Invoice Scam): in questa truffa, gli aggressori inviano fatture false alle aziende fingendo di essere fornitori legittimi. Nel 2019, un caso noto coinvolse una società di tecnologia britannica che perse circa 18,5 milioni di dollari a causa di questa truffa.

3. Truffa del Falso Investimento: ci sono stati vari casi di truffe finanziarie in cui gli aggressori si fanno passare per consulenti finanziari o broker e convincono le vittime a investire in prodotti o schemi fraudolenti. Un esempio famoso è stato il caso di Bernie Madoff, un ex presidente della NASDAQ che ha orchestrato una delle più grandi truffe finanziarie della storia, facendo perdere agli investitori miliardi di dollari.

Questi sono solo alcuni esempi di truffe con ingegneria sociale che sono diventate famose grazie alla copertura mediatica. Tuttavia, è importante ricordare che ci sono molti altri casi che potrebbero non essere stati altrettanto pubblicizzati, ma che hanno causato danni significativi alle vittime.

L’ingegneria sociale è una forma di attacco complessa da cui può essere molto complicato difendersi e una minaccia sempre più diffusa per la sicurezza online di persone e imprese. L'Agenzia Investigativa Dogma è specializzata nei vari contesti, in cui può agire l'ingegneria sociale: la cybersecurity, le truffe online, l'accesso non autorizzato a sistemi o strutture fisiche e il campo dell'intelligence.