Cari lettori di Tecnogalaxy, oggi parleremo di ingegneria sociale, termine molto utilizzato negli ultimi anni.

Questo termine (ingegneria sociale), ha origine nelle scienze sociali, utilizzato per influenzare o modellare il comportamento ad esempio della popolazione.

L’ingegneria sociale sfrutta la manipolazione delle persone per raggiungere un obiettivo, “buono o cattivo”, che sia.

Questo termine risale alla fine del XIX secolo e attualmente viene legato alla sicurezza informatica.

Un malintenzionato per portare a termine il suo attacco potrebbe fare affidamento sulla disponibilità ad aiutare le potenziali vittime, oppure provare a fare leva sulla mancanza di conoscenze tecniche.

Prima di eseguire un attacco vengono svolte ricerche mirate sul potenziale obiettivo. Ad esempio se l’obiettivo è una persona faremo dei controlli approfonditi sul suo account sui social network cercando informazioni personali, come il compleanno, l’indirizzo e-mail, il numero di telefono e i luoghi più visitati.

Se l’obiettivo invece è un’impresa molto probabilmente avremo bisogno di qualcuno all’interno per raccogliere informazioni dettagliate relative all’azienda, come le attività, i dipendenti e l’elenco dei partner commerciali.

In questo caso, di solito ci si rivolge a dipendenti di basso livello che hanno accesso a queste informazioni, ingannando il proprio obiettivo ad indurlo alla condivisioni di queste informazioni volontariamente oppure infettando il suo computer con del software malevolo, così da controllare l’attività tecnica.

Due tipi di ingegneria sociale

Attacchi eseguiti in modo offline: il malintenzionato molto educato, si affida alla gentilezza di un dipendente per entrare in ufficio fisicamente per acquisire le informazioni di persona.

Attacchi via telefono: “chiamati  vishing – voice phishing”,  ad esempio una persona si spaccia per un collega o un’autorità e richiede direttamente le informazioni desiderate.

Di seguito i cinque tipi di tecniche più comuni di ingegneria sociale utilizzati:

Spear phishing

La maggior parte delle campagne di phishing, di solito prevede l’invio di e-mail in massa al maggior numero di indirizzi in modo causale, rivolgendosi a gruppi o individui specifici.

I malintenzionati utilizzeranno i social network per raccogliere informazioni sugli obiettivi personalizzando le e-mail facendole sembrare più realistiche possibili.

Il malintenzionato si presenterà come un amico, o un partner commerciale o come un’istituzione esterna, fingendosi ad esempio un rappresentante della banca richiedendo le informazioni desiderate.

La mail in questo caso avrà il logo e le immagini ufficiali della banca, in questo caso non dubiterà  dell’autenticità del messaggio.

Baiting

Rispetto alla precedente tecnica questa tecnica prevede una componente fisica ad esempio un’esca fisica a cui la vittima deve abboccare.

Potrebbe essere una chiavetta USB infetta, da lasciare sulla scrivania della vittima, oppure all’entrata dell’azienda sperando che la vittima abbocchi e la colleghi al computer.

Una volta inserita la chiavetta nel computer verrà installato un software malevolo che invierà informazioni al malintenzionato. Ovviamente se il computer infetto fa parte di una rete, potremo ottenere anche l’accesso immediato a tutti gli altri dispositivi all’interno della stessa rete.

Pretexting

Questa tipologia consiste nell’utilizzare un pretesto accattivante per catturare l’attenzione dell’obiettivo e indurlo all’inganno per recuperare le informazioni personali.

Questo tipo di ingegneria sociale è alla base delle cosiddette truffe e-mail “chiamate nigeriane”. In queste email ti vengono promessi un sacco di soldi se vengono fornite le proprie informazioni bancarie.

Ovviamente la vittima non solo non vedrà un solo soldo, ma addirittura potrebbe perdere i soldi sul suo  conto.

Spam dei contatti

Forse è la forma più diffusa di ingegneria sociale online, il malintenzionato utilizzerà questo metodo per inviare messaggi di spam a tutti i contatti delle sue vittime, le mail saranno inviate dalla rubrica delle vittime, sembrando così realistiche.

Il metodo è molto semplice, arriva un’e-mail da un amico contenente un Oggetto molto informale, il destinatario aprirà la mail e all’interno sarà presente un link testuale.

Quid pro quo

Questa tecnica è un tipo di ingegneria sociale che comporta uno scambio di favori o servizi tra il malintenzionato e il suo obiettivo.

Generalmente chi effettua l’attacco finge di essere u n tecnico IT richiedendo informazioni di accesso per svolgere un controllo importantissimo sulla sicurezza informatica.

Potrebbe chiederti di installare un software per il controllo da remoto così da darti supporto.

Abbiamo utilizzato l’ ingegneria sociale nei nostri test quando parlavamo di Phishing.

L’ingegneria sociale, viene utilizzata per cercare di manipolare una persona per instaurare un rapporto di fiducia e indurla a condividere le sue informazioni private. Si rischia di diventare vittima dell’ingegneria sociale tutte le volte che apriamo un link nelle e-mail che riceviamo senza controllare attentamente il nome del mittente ad esempio oppure quando divulghiamo le nostre informazioni personali nelle e-mail.

L’ingegneria sociale consiste nell’utilizzo di metodi “non tecnici” da parte di un malintenzionato per ingannare una potenziale vittima e facendogli condividere le proprie informazioni personali.

Queste tecniche servono per convincere la vittima tramite l’inganno, per recuperare informazioni come ad esempio password, dati relativi al conto bancario e altre informazioni personali.

Come proteggerti da attacchi di ingegneria sociale?

Il consiglio che posso darti è quello di essere il più sospettoso possibile sul web, anche se è importantissimo utilizzare i migliori software antivirus, bisogna prestare molta attenzione su Internet.

Se qualcuno ci invia un’e-mail affermando di essere uno dei nostri fornitori o partner commerciali, contattiamo subito l’ufficio prima di rispondere all’e-mail o aprire qualsiasi link/allegato.

Stessa prassi nel caso di una mail ricevuta da un amico con contenuti sospetti,  chiama l’amico in questione per verificare. Consiglio di non rivelare mai i dati della tua carta di credito, o i dati del tuo conto bancario, il tuo numero di previdenza sociale o qualsiasi altra informazione personale in un’e-mail.

Un malintenzionato oltre a manipolare le tue emozioni, cercherà di indurti a installare software malevolo sul tuo computer. Ovviamente è necessario utilizzare i migliori software antivirus in grado di trovare e rimuovere facilmente software malevolo.

Attenzione anche quando si utilizza Skype. Esistono vari bot che si camuffano da belle donne o da assistenti help desk di Skype. In realtà questi vogliono solo portarci a compiere un passo falso.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.