Il Social Engineering è insidioso perché fa leva sulle emozioni per frodarti. Ti spieghiamo come riconoscere i casi più comuni e affrontare le sue diverse forme
Il Social Engineering è tra le truffe più longeve nella storia dell’informatica. Anzi, a voler essere precisi, l’”ingegneria sociale” è un’evoluzione della lunga tradizione di adescamenti iniziata con la truffa del prigioniero spagnolo, che risale al XVI secolo (in questo articolo puoi scoprire la storia).
A distanza di secoli, prospera ancora ovunque: dalle mail agli sms, dalle telefonate ai social network, fino alle app. Il meccanismo è sempre lo stesso: sfruttare il fattore umano. Con una serie di raggiri più o meno sofisticati, alle vittime verranno promessi facili guadagni, mentre verrà sottratto loro denaro, rubate password o preziosi documenti aziendali.
Ti abbiamo già parlato della pericolosità di questa truffa in questo articolo. Nell’approfondimento che stai leggendo, vogliamo aiutarti a riconoscere le molte sfaccettature di questo fenomeno, attraverso alcuni esempi che ti aiuteranno a riconoscere i segnali di pericolo.
I meccanismi mentali più utilizzati nel Social Engineering
Come ti abbiamo accennato, il Social Engineering è temibile perché, prima ancora di far leva sulle vulnerabilità di un software, sfrutta alcune fragilità psicologiche, per farti abbassare le difese. In sintesi, le dinamiche d’attacco del Social Engineering possono rientrare in tre categorie.
1. L’offerta di una ricompensa facile
È il meccanismo più ricorrente. Un criminale ti contatta promettendoti un investimento vantaggioso, un nuovo e ben remunerato lavoro, un gadget tecnologico molto costoso. Per procedere, ti inviterà a leggere un file che sarà infetto: una volta che lo avrai aperto, potrebbe essere troppo tardi. È il trucco più vecchio, ma continua a essere un evergreen.
2. La finta vittima
Questo è un espediente più sofisticato che, in alcuni casi, richiede un’autentica sceneggiatura. Il criminale farà leva sulla tua sensibilità: dirà di essere rimasto senza soldi, di avere il conto corrente bloccato o, perfino, di essere stato rapito. Ti chiederà una piccola somma e prometterà una ricompensa per la tua generosità. La pericolosità di questa truffa non riguarda solo il denaro che perderai irrimediabilmente. Infatti, il criminale entrerà in contatto con alcuni tuoi dati personali (per esempio, il conto PayPal) che potrebbe violare anche in seguito.
Hai visto Il truffatore di Tinder su Netflix? Quello è un esempio di truffa e Social Engineering portati alle estreme conseguenze!
3. L’inganno dell’autorità
Questa tecnica viaggia più spesso attraverso canali di comunicazione diretta (telefono o messaggistica istantanea). In questo caso, il criminale fingerà di essere qualcuno che ha potere su di te, come il gestore del tuo conto corrente, il tuo capo o perfino la polizia. L’obiettivo è chiederti dati privati come password (personali o di un account di lavoro), numero di carta d’identità o codice fiscale. Informazioni che verranno poi sfruttate per furti d’identità o di segreti industriali. È l’espediente più insidioso e difficile da riconoscere. Per questo motivo ti consigliamo – in ogni caso – di non condividere mai e con nessuno dati riservati. Perché nessuna autorità può legittimamente richiedere la condivisione della tua password.
I mezzi del Social Engineering
Finora ti abbiamo raccontato le tecniche più comuni utilizzate dai truffatori. Adesso è il momento di fare un passo avanti ed esplorare i modi usati dai criminali per mettersi in contatto con te. Sicuramente avrai già sentito parlare di phishing, analizziamolo nel dettaglio insieme agli altri metodi.
1. Phishing, vishing e smishing
Phishing significa “far abboccare” e di solito questo avviene tramite una mail. Un tempo questi messaggi di posta elettronica erano sgrammaticati e con grafiche poco credibili. Oggi sono sempre più realistici e sofisticati. Uno dei metodi più sicuri per non cadere in trappola è verificare che l’indirizzo del mittente sia un dominio ufficiale. Per esempio, se il messaggio è della tua banca, l’indirizzo email deve corrispondere a una comunicazione che hai ricevuto in precedenza. Se credi ci siano probabilità che il messaggio sia attendibile, spezza questa comunicazione e prova a stabilirne una di cui sei sicuro. Per esempio, cerca su Google il numero di telefono dell’organizzazione che sta provando a contattarti e verifica con loro che la richiesta che ti è arrivata sia legittima.
Questo consiglio è valido anche per le altre due tipologie di adescamento. Il vishing fa riferimento a telefonate usate per estorcerti dati. In questi casi, come detto precedentemente, tronca subito la conversazione e riprendila su un canale ufficiale.
Lo smishing riguarda invece sms che potrebbero informarti di una spedizione in giacenza, di un’offerta o di un problema su un tuo conto o carta. Solitamente sono accompagnati da un link che non devi aprire assolutamente.
2. Spear phishing
È un mezzo d’attacco davvero subdolo, perché si tratta di un tipo di phishing mirato. Il criminale, prima di contattarti, avrà raccolto informazioni su di te: saprà come ti chiami, dove lavori, dove hai studiato e perfino dove abiti. Si tratta di informazioni facili da recuperare: è sufficiente una ricerca sui social network ai quali sei iscritto. In questo caso, è utile mantenere un legittimo sospetto. Se non conosci questa persona, non condividere assolutamente informazioni personali. Ricorda che quando un’autorità o un datore di lavoro chiede informazioni, ci sono procedure e canali ufficiali da rispettare. Per esempio, è obbligatoria l’autorizzazione al trattamento dati personali.
3. CryptoRom
Tra le tecniche di Social Engineering è l’ultima nata e si sta diffondendo molto rapidamente. Sfrutta il solito meccanismo della “ricompensa facile”, ma legandolo all’euforia del momento per le criptovalute. L’adescamento avviene attraverso canali di comunicazione intimi, come le app di dating. La dinamica ricorrente è questa: dopo una breve conversazione, la persona con cui sei in contatto ti racconterà come ha guadagnato molto denaro con un’app per investimenti in criptovalute. A questo punto possono avversarsi due scenari.
Nel primo caso, la persona proverà a convincerti di investire denaro per te. Nel secondo scenario la tecnica è più sottile: per persuaderti, il truffatore ti inviterà a scaricare la sua app “magica” per vedere con i tuoi occhi. Non farlo mai e ovviamente non aprire neppure i link che ti vengono inviati! Si tratta di collegamenti infetti che possono sottrarti dati e informazioni preziose.
Vuoi sapere di più su come ING protegge i tuoi dati? Visita la sezione sicurezza del nostro sito. Per altri consigli ti invitiamo a consultare la pagina sul Phishing.https://www.ing.it/come-proteggerti-dal-phishing.html
E tu, sai riconoscere un caso di social engineering? Ti sei mai imbattuto in questa truffa?
Per poter visualizzare i commenti devi accettare i cookie facoltativi, clicca qui per cambiare le tue impostazioni sui cookie.