La rete offre un oceano di possibilità e presenta innumerevoli vantaggi a tantissimi livelli differenti. Allo stesso tempo, è un luogo pericoloso, in cui è possibile perpetrare truffe subdole e pericolose.
È il caso, ad esempio, della social engineering, ovvero dell’ingegneria sociale: un insieme di tecniche che puntano a ottenere dati di un utente, per poi approfittare della sua fiducia.
Per fortuna però, è possibile difendersi dalla social engineering e allenarsi a tenere sempre alta la soglia della propria attenzione: sia quando si legge una e-mail, sia quando si naviga dentro il proprio social network preferito.
Che cos'è la social engineering
La social engineering è una tecnica di phishing molto avanzata, utilizzata soprattutto in casi di spionaggio industriale a livello internazionale. Il phishing, a sua volta, è una tipologia di truffa informatica, che punta prevalentemente ad appropriarsi indebitamente dei dati personali degli utenti.
La caratteristica principale della social engineering è che non agisce su computer e software, ma, piuttosto, sulle persone. Non prova a individuare i bug del sistema per riuscire ad hackerare ma punta sul fattore umano.
Ecco perché l’ingegneria sociale è anche nota come l'arte di manipolare digitalmente le persone. Queste truffe sono studiate per far sì che gli utenti cedano volontariamente le proprie informazioni sensibili.
Un social engineer può arrivare a studiare la propria vittima per settimane, se non addirittura mesi. Per poter sferrare il suo attacco, infatti, deve prima convincerla fidarsi di lui: deve aprirsi uno spiraglio tra le sue difese.
Il lavoro di un social engineer spesso viene paragonato più a quello di uno psicologo che a quello di un hacker, perchè le sue azioni sono pensate per far cadere le difese dell'utente.
Nella fase di studio raccoglie e ottiene informazioni sulla vita della vittima, così da poterle utilizzare successivamente per entrare in possesso dei suoi dati e delle informazioni personali.
Come funziona l'ingegneria sociale
Un attacco di social engineering di solito è suddiviso in tre macro-fasi. La prima, come già anticipato nel capoverso precedente, è quella dello studio della vittima: il truffatore deve reperire informazioni utili ad acquistare la sua fiducia e fargli abbassare la guardia.
La seconda macro-fase è quella in cui le informazioni acquisite vengono utilizzate per preparare l’attacco. Il social engineer inizia a fare pressione sulla vittima, in modo da convincerla a cadere nella truffa. In questa fase c’è chi fa leva sulla propria autorevolezza, magari spacciandosi come un esperto di sicurezza informatica.
C’è però anche chi punta su altri sentimenti condivisi: la paura, il senso di colpa, o magari addirittura la compassione. Si pensi, in tal senso, ai tanti reati virtuali perpetrati da persone in apparente stato di difficoltà.
L'ultima tappa è quella relativa all'attacco informatico vero e proprio: grazie a tecniche di phishing o baiting si truffa definitivamente l'ignara vittima, costringendola a scaricare malware oppure cedere informazioni personali e riservate.
Quali sono gli attacchi di social engineering più comuni
La stragrande maggioranza degli attacchi di ingegneria sociale che vengono messi a segno può essere racchiusa in due filoni: attacchi phishing e tentativi di baiting.
In caso di attacco phishing, il pirata informatico invia dei messaggi alla vittima, tramite posta elettronica o social network. Il messaggio tendenzialmente contiene informazioni raccolte nelle prime due fasi dell'ingegneria sociale.
Il testo potrebbe dunque riguardare un tema di cui vittima e carnefice avevano parlato tra di loro. Oppure potrebbe contenere un invito implicito a compiere un'azione già descritta in precedenza.
Le truffe di social engineering si dividono in due macro-categorie principali: da una parte gli attacchi phishing, dall’altra i tentativi di baiting
Quello che conta è che, all'interno del messaggio di phishing, l'utente-obiettivo trova quasi sempre un link verso un sito internet compromesso. In alternativa, è anche possibile che gli venga chiesto direttamente di condividere dati sensibili.
Il baiting, termine traducibile in italiano come "adescamento", è invece preceduto da una fase in cui si crea un desiderio implicito nella vittima. Lo scopo consiste nel soddisfare, almeno apparentemente, questo desiderio proprio con un messaggio inviato via posta elettronica o social network.
Si potrebbe trattare, ad esempio, di sconti molto elevati su smartphone e altri prodotti cercati da tempo. In alternativa potrebbe trattarsi di informazioni riservate particolarmente appetibili. Insomma, i messaggi di baiting possono essere considerati delle vere e proprie esche virtuali.
Come difendersi dalla social engineering
Si è già evidenziato come l’ingegneria sociale punti fondamentalmente su un coinvolgimento emotivo dell’utente vittima della truffa. Questo aspetto è sicuramente subdolo, ma è anche rassicurante, per lo meno da un determinato punto di vista.
Chiunque non sappia come difendersi dalla social engineering deve semplicemente ricordare che tutto dipende dal proprio comportamento.
Basta evitare di cliccare su link sospetti per non rischiare di incappare in situazioni potenzialmente pericolose.
Questo vuol dire, ad esempio, dubitare di quei messaggi troppo belli per essere veri: email che annunciano cospicue eredità in arrivo o promozioni irresistibili recapitate tramite social network.
Allo stesso modo, è importante non fidarsi mai troppo delle persone conosciute tramite la rete. Questo non vuol dire evitare in assoluto gli scambi online. Una delle possibilità più entusiasmanti di Internet è quella di entrare in contatto con utenti provenienti da tutto il mondo.
Per saperne di più: Sicurezza informatica, come navigare sicuri sul web
La cosa importante però è tenere sempre alta la soglia dell’attenzione, soprattutto nel caso in cui una persona sconosciuta faccia richieste, più o meno esplicite, che potrebbero mettere l'utente nella condizione di condividere informazioni private.