L’anello debole di qualsiasi catena di sicurezza è rappresentato dagli esseri umani. Il social engineering cerca di sfruttare tale anello facendo appello alla vanità, all’avidità, alla curiosità, all’altruismo, al rispetto o al timore nei confronti dell’autorità, al fine di spingere le persone a rivelare determinate informazioni o consentire l’accesso a un sistema informatico.
Il social engineering riunisce una serie di tecniche utilizzate dai cybercriminali rivolte a spingere le persone a fornire informazioni personali come password o dati bancari o a consentire l’accesso a un computer al fine di installare software dannosi. Gli hacker approfittano della mancanza di conoscenza di un utente: grazie alla velocità della tecnologia, infatti, molti consumatori o dipendenti non sanno come proteggere al meglio i propri dati sensibili.
Da dove proviene il social engineering.
Quasi tutti gli attacchi contengono una sorta di social engineering e sono molte le tecniche utilizzate dagli esperti. Tra queste, l’ormai conosciuto phishing, il vishing (Voice o VoIP phishing), il baiting, il pretexting e lo scareware ad esempio.
Ancora molto efficace e in aumento è il phishing. Come risulta dal Rapporto Clusit, solo nel 2013 il phishing in Italia ha colpito:
- social network per il 35%
- portali internet per il 16%
- blog per il 14%
- istituti bancari per l’11%
Il vhishing è la variante telefonica del phishing ma in questo caso le vittime vengono manipolate da veri e propri call center. Il baiting, letteralmente “pastura”, fa leva sulla curiosità o il desiderio delle persone.
Il pretexting – impersonare qualcuno per ottenere l’accesso a dati privilegiati – o lo scareware – spingere l’utente a credere che il proprio computer sia infetto per poi offrire una soluzione con cui infettarlo veramente – sono, forse, i meno conosciuti ad oggi.
Le tecniche di social engineering, tuttavia, sono ancora moltissime. Sembra impossibile ma alcuni hacker raccolgono informazioni persino nella spazzatura (dumpster diving), direttamente alle nostre spalle mentre utilizziamo il portatile o il tablet (shoulder surfing) oppure installano un access point senza protezione nei pressi di aree direzionali o industriali creando, così, un wireless honeypot.
Come prevenire il social engineering.
- non accettare nulla di cui non si è assolutamente certi della legittimità
- non accettare offerte non richieste
- non cliccare su collegamenti da fonti sconosciute
- non fornire la propria password o dati bancari
Come proteggersi dal social engineering.
Il social engineering si basa sullo sviluppo di attacchi rivolti all’utente e non al computer. Detto questo, se ci accorgiamo di essere stati vittime di una tecnica di social engineering, l’opzione migliore è utilizzare un programma antivirus di alta qualità per rimuovere qualsiasi file dannoso e modificare tutte le proprie password utilizzando una valida app, in grado di creare e memorizzare password inviolabili.
Effettuare una risk analysis è il primo passo per valutare e prevenire questo tipo di minaccia. È consigliato evitare il “fai da te” e affidarsi ad un vero esperto TSCM (Technical Surveillance Counter-Measures) o ad un consulente in sicurezza informatica.
Nexsys azienda informatica e di consulenza sistemistica e Silver Academy mettono al primo posto la sicurezza informatica, pilastro di ogni sistema operativo. Lo staff è altamente qualificato nel progettare soluzioni, sistemi informatici e cloud a prova di hacker. I nostri corsi di formazione forniscono un valido aiuto per combattere il fenomeno degli attacchi informatici:
Corso Sicurezza Informatica per Utenti By Nexsys
Il corso ha l’obiettivo di educare gli utenti ad un uso consapevole e responsabile dei mezzi informatici in generale e insegna ai partecipanti a porre attenzione anche alle operazioni più comuni dall’apertura degli allegati di posta elettronica, alle policy di security, alla riservatezza della propria password.
Corso Sicurezza Informatica per Utenti By Silver Academy
Il seminario illustrerà quali sono le minacce e le violazioni informatiche più frequenti e fornirà gli strumenti per attivare efficaci strategie di difesa ed aumentare il livello di sicurezza all’interno della tua realtà professionale e personale.