Social engineering: cos’è e come proteggersi

Il social engineering, comunemente conosciuto come ingegneria sociale, è un elemento chiave di quasi tutti i tipi di frode in cui, attraverso stratagemmi convincenti, i cybercriminali ingannano le loro vittime con l'intento di rubare denaro o commettere altri reati da "colletti bianchi". Poiché un social engineer cerca in genere di cogliere gli utenti alla sprovvista. La migliore forma di prevenzione è la consapevolezza. 

In questo articolo troverai tutto ciò che ti serve sapere, quindi continua a leggere se vuoi scoprire come difenderti dagli attacchi di questo tipo, sia online che di persona.

Il social engineering è uno stratagemma che i criminali utilizzano per rubare le informazioni personali senza hackerare complessi sistemi di sicurezza. 

In poche parole, si servono di una serie di tecniche di manipolazione per creare fiducia e per ingannare gli utenti, che sono completamente ignari di tutto. 

Queste tecniche sfruttano aspetti della psicologia umana per "ingegnerizzare" il processo decisionale e per fare pressione sulle vittime affinché forniscano liberamente le loro informazioni, senza rendersi conto del pericolo, motivo per cui il fenomeno viene conosciuto col termine di “ingegneria sociale”. 

Per cominciare, i social engineer tessono una trama convincente per adescare le vittime creando in loro una falsa sensazione di sicurezza. 

Possono fingere, per esempio, di essere un membro delle autorità, come un poliziotto o un funzionario del governo. Prima dell'avvento di Internet, il social engineering si svolgeva per lo più attraverso interazioni faccia a faccia: pensa ai film di Hollywood, in cui gli addetti ai lavori riescono ad accedere a edifici con sofisticati sistemi di sicurezza sfruttando fascino e arguzia. 

C’è tuttavia da sottolineare che spesso i social engineer hanno modi poco cordiali di approcciarsi. Molti di loro scelgono di adottare approcci forzati e talvolta minacciosi, sapendo che questi possono essere particolarmente efficaci in situazioni in cui la vittima è messa sotto pressione. 

Al giorno d'oggi, il fenomeno dell’ingegneria sociale è diventato una vera e propria minaccia, in particolare online. È più facile inviare un'e-mail dall'aspetto ufficiale, o invogliare qualcuno a cliccare su un link, che indossare un'uniforme o cercare di accedere fisicamente a un'area privilegiata. 

I rischi associati alla presenza fisica, infatti, sono molto più elevati rispetto a quelli di chi effettua un attacco online. In ogni caso, indipendentemente dalle tecniche utilizzate, l'obiettivo del social engineering è quello di ottenere l'accesso non autorizzato a qualcosa per scopi personali (di solito economici).

La sicurezza in N26

La tua sicurezza è la nostra priorità. Segui i nostri consigli per proteggerti online.

Scopri la guida sulla sicurezza online

Adesso che sappiamo cos’è il social engineering, cerchiamo di capire come fanno gli esperti di ingegneria sociale a ingannare le proprie vittime. Leggi qui sotto per scoprire i tipi di attacchi più comuni in circolazione.

I social engineer usano questa tattica per estorcere informazioni personali e sensibili alle potenziali vittime. A tal fine, possono creare un’impressione di urgenza che costringe gli utenti a soddisfare le loro richieste entro un certo lasso di tempo. 

In altre situazioni, i social engineer più esperti potrebbero non chiedere informazioni alle loro vittime immediatamente, ma attendere il momento giusto in modo da aumentare la loro fiducia. 

Purtroppo, per la maggior parte degli utenti non c'è modo di prevedere o identificare questo tipo di social engineering. 

La cosa più importante da ricordare, tuttavia, è che hai sempre il diritto di mettere in discussione l'identità di individui che affermano di rappresentare organizzazioni di qualsiasi tipo.

Il baiting si serve della falsa promessa di un'offerta irresistibile per attirare gli utenti in una trappola. Il baiting online spesso si presenta sotto forma di pubblicità allettante o di offerte "troppo belle per essere vere". 

Immagina, a titolo di esempio, un link per scaricare gratuitamente l'ultimo film di Hollywood, oppure un pop-up luminoso e lampeggiante che ti annuncia di aver vinto un premio in denaro.

Il phishing è uno dei tipi di truffa più diffusi online. Uno dei motivi è che, dopo la raccolta iniziale dei dati, i tentativi che vanno a buon fine dipendono in larga misura dalle tecniche di social engineering. 

Il phishing può anche essere preceduto o seguito da uno scenario di pretexting, in modo da convincere ancora più facilmente la vittima e farle sembrare che la richiesta sia effettivamente legittima.

Con un quid pro quo, i cybercriminali ingannano le vittime per ottenere da loro informazioni sensibili con la promessa di uno scambio sotto forma di prestazione di servizi oppure di beni materiali. 

Un approccio comune è quello di essere contattati da qualcuno che sembra provenire da un reparto di supporto tecnico, sostenendo che gli è stato chiesto di risolvere un problema. 

Quando questi criminali hanno fortuna e trovano qualcuno che ha davvero problemi di questo tipo, fingendo di prestare aiuto, accedono al computer della persona in questione e rubano le sue informazioni personali.

Quale modo migliore di sfruttare l’ingegneria sociale se non inviando messaggi che sembrano provenire da un amico intimo? Si tratta di una tecnica diffusa, scelta dai truffatori che hackerano gli account di posta elettronica per poi inviare messaggi di spam alla lista dei contatti di un dato utente. 

I messaggi contengono generalmente un oggetto accattivante, come ad esempio "guarda che fico questo sito web!", oppure contengono collegamenti a popolari piattaforme di social media. 

Credendo che l'e-mail sia stata inviata da un amico, il destinatario può aprire il link senza sospettare nulla. Invece di trovarsi di fronte a un meme divertente o a una fotografia discutibile su Facebook, però, la vittima viene reindirizzata su un sito web fraudolento. 

Anche in questo caso il rischio è che vengano rubate le informazioni personali, oppure che si scarichi un un malware o un software dannoso dalla pagina di destinazione.

Le tecniche di social engineering possono essere tra le più disparate. Gli hacker sanno essere molto creativi nei loro tentativi di raggiro, quindi è bene conoscere alcuni esempi concreti in modo da starne alla larga. 

A tal proposito, qui di seguito sono riportati alcuni esempi specifici di social engineering per darti un'idea chiara di ciò a cui devi prestare attenzione:

• Baiting: le agenzie governative locali e statali negli Stati Uniti sono cadute vittima di un tentativo di baiting nel 2018. Hanno ricevuto buste vecchio stile con il timbro postale della Cina, contenenti una lettera e un CD. Il disco conteneva un codice maligno nascosto insieme a documenti dall'aspetto innocuo.
• Pretexting: ad oggi, uno dei più grandi attacchi di ingegneria sociale è stato eseguito da Evaldas Rimasauskas, cittadino lituano che, insieme al suo “team”, ha creato un’azienda fittizia con tanto di conti bancari. Tramite tecniche di pretexting per prendere fiducia con le aziende, si è finto produttore di computer per Facebook e Google, rubando importi per oltre $100.000.000. Puoi trovare qui il rapporto ufficiale del Dipartimento di Giustizia.
• Phishing: Nel gennaio 2022, Bleeping Computer ha subito un attacco di Phishing tramite cui venivano rubate le credenziali di Office 365. I malintenzionati fingevano di far parte del DoL (Dipartimento del Lavoro degli Stati Uniti), replicando gli indirizzi email, usando reply@dol[.]gov, e i domini, usando "dol-gov[.]com" e "dol-gov[.]us". Anche i loghi usati nelle mail erano ufficiali, e i testi scritti in modo professionale. Cliccando sui link inviati nelle mail, gli utenti venivano mandati su un sito di phishing identico a quello del Ministero della Difesa. Una volta dentro, venivano richieste le credenziali di Office 365, con tanto di messaggi di errore per invitare a digitare correttamente i codici. 
• Quid pro quo: secondo degli studi di Blank Rome, con il diffondersi della pandemia per tutto il 2020 e 2021, si è registrato un aumento esponenziale del numero di attacchi di ingegneria sociale, tant’è che l'FBI ha emesso un avviso che avvertiva circa l'aumento dei rischi online. In particolare, molti malintenzionati si fingevano membri dei Centri per il controllo e la prevenzione delle malattie (CCM) o altre organizzazioni che affermavano di offrire informazioni sul virus, in cambio di un click che consentiva di rubare dati sensibili e informazioni personali.

Fortunatamente, anche se le tecniche di ingegneria sociale variano e si evolvono nel tempo, le contromisure al social engineering sono per lo più sempre le stesse. Essere vigili è fondamentale, così come lo è trattare con sospetto qualsiasi forma di contatto da parte di mittenti sconosciuti. 

Altri modi per proteggersi sono:

• Metti sempre in dubbio la fonte di e-mail che ti chiedono qualcosa. Presta particolare attenzione ai dettagli del mittente e a eventuali URL.
• Se la richiesta sembra urgente, prenditi tutto il tempo necessario e non sentirti in dovere di agire immediatamente. Questo è uno dei modi più comuni con cui i social engineer costringono le persone prima ad agire e poi a riflettere.
• Se un'offerta (online o offline che sia) sembra troppo bella per essere vera, probabilmente non è reale. Resta vigile.
• Proteggi i tuoi dispositivi utilizzando un antivirus o un firewall autentico e di qualità.
• Ricorri all'autenticazione a più fattori (nota anche come autenticazione a due fattori o "2FA") che utilizza il tuo smartphone o un altro dispositivo, nonché a una password per accedere ai tuoi account.
• Controlla sempre due volte i link inviati via e-mail e, in caso di dubbio, visita direttamente il sito in questione digitando l'indirizzo nel tuo browser, invece di cliccare sul link nell'e-mail.
• Non scaricare file, non condividere informazioni personali e non aprire i link di mittenti sconosciuti. Come già accennato all'inizio dell'articolo, la consapevolezza è la forma di difesa numero uno contro il social engineering. I cybercriminali contano su di te per prenderti alla sprovvista, ma grazie a questo articolo sarai un passo avanti in questo gioco di raggiri.

Il conto corrente per gestire più facilmente il tuo budget

Effettua le tue operazioni bancarie e metti soldi da parte senza pensieri. Semplice, sicuro, smart: scopri il conto corrente con IBAN italiano che ti offre pieno controllo del tuo denaro

Lista d'attesa (nuova tabella)

N26 utilizza l'autenticazione a 2 fattori: oltre a inserire la password, devi confermare i tentativi di login sullo smartphone abbinato. Per rendere il tuo account ancora più sicuro, scegli una password forte o una passphrase e non usare la password scelta per altri account.

Altre cose da tenere a mente sono:

• non ti contatteremo mai minacciando di chiudere il tuo conto se non rispondi entro un determinato periodo di tempo;
• non ti chiederemo mai di rivelare le tue credenziali di accesso via e-mail, telefonata o SMS;
• non ti chiederemo mai di accedere a un account creato a tuo nome;
• non ti contatteremo mai tramite WhatsApp o altri servizi di messaggi privati.

Se hai ricevuto e-mail di questo tipo, ti preghiamo di segnalarlo al nostro Supporto Clienti il prima possibile. Puoi contattarlo direttamente attraverso la nostra app, oppure inviando un'e-mail a support@n26.com.