Social Engineering, il cyber attacco che sfrutta la debolezza umana

Il social engineering è una tecnica subdola che sfrutta la debolezza umana per compiere attacchi e ottenere informazioni sensibili a scopo fraudolento e non esiste alcun antivirus che possa proteggerti. La tecnica del social engineering si basa sulla manipolazione delle persone attraverso lo studio del loro comportamento e delle loro abitudini per ottenere dati riservati o confidenziali, come password, documenti di identità o accesso a conti correnti. Una volta in possesso di queste informazioni, gli aggressori possono compiere varie azioni dannose, come il ricatto, il furto di identità o il convincimento delle vittime a effettuare bonifici.

Dall’altra parte del dispositivo, spesso c’è semplicemente una persona -o un gruppo-, molto sveglia e abile nel mentire e nel manipolare il carattere umano, facendo leva su emozioni, sentimenti o paure, per poi acquistare la totale fiducia della vittima. Nel mirino degli attacchi di ingegneria sociale, ci finiscono sia le persone fisiche che quelle giuridiche e nessuno è immune, neanche avvalendosi del miglior antivirus del mondo.

Come opera concretamente il social engineering? Come possiamo riconoscere una truffa e come possiamo difenderci?

Raccolta dei dati

Per poter attaccare, è necessario conoscere un minimo la vittima designata e per farlo, la raccolta delle informazioni personali è alla base della strategia. Il social engineer è un ottimo e paziente osservatore: per settimane, se addirittura mesi, studia le abitudini, il lavoro e la quotidianità, impara a conoscere la rete sociale e le abitudini della vittima, stando sempre un passo avanti. 

Il criminale mira ad acquisire familiarità con la sua vittima, prevedendone le mosse e assumendo il controllo della situazione, per iniziare a costruire una relazione virtuale.

Sviluppo della relazione

Il social engineering si basa sulla manipolazione e sulla creazione di fiducia con il target. 

Questo coinvolge l’abilità di fingersi qualcun altro, spesso sfruttando le emozioni della vittima o utilizzando un terzo personaggio di cui la vittima già si fida. Ci sono due approcci comuni: l’uso dell’emotività o il “trasferimento a caldo”. Nel primo caso, il truffatore sfrutta i sentimenti della vittima, come problemi personali condivisi. Nel secondo caso, un terzo personaggio introduce il truffatore al target, consentendo di superare le barriere iniziali di diffidenza. L’obiettivo finale è ottenere informazioni sensibili o convincere la vittima a compiere azioni finanziarie sfruttando la fiducia che ha nell’interlocutore.

Manipolazione psicologica

Le informazioni e i dati raccolti fino ad ora, si rivolgono contro la vittima: vengono utilizzate dal social engineering per influenzarla ed ingannarla, costruendo una menzogna quantomeno credibile, al fine di sferrare un attacco. La trappola potrebbe essere quella di un problema al conto corrente che necessita di un aggiornamento dei dati anagrafici o di un cambio password. Ogni difesa data da un’ipotetica diffidenza è già stata abbattuta, il target si fida, clicca il link e aggiorna i suoi dati del conto, consegnando le chiavi dei suoi risparmi direttamente nelle mani del criminale.

Ecco alcuni esempi reali e concreti di attacchi di social engineering, che studieremo più nel dettaglio nel nostro prossimo post:

• Phishing via email
• Social Engineering via telefono
• Attacchi alle reti sociali
• Truffe di supporto tecnico
• Attacchi alle password
• Truffe finanziarie con l’inganno dell’amore a distanza
• Furto di identità

Nonostante il continuo sviluppo di strumenti di sicurezza informatica, nessun antivirus può proteggerci dall’ingegno manipolativo del social engineer. 

Come difenderci quindi? 

La consapevolezza è fondamentale.
Bisogna diffidare sempre e prestare attenzione a qualsiasi richiesta di informazioni personali o finanziarie, anche se sembra provenire da una fonte affidabile. L’educazione e la formazione sono armi potenti per proteggersi da queste insidie.