Torna al BlogTecnologia e sicurezza

Social engineering: impara a proteggerti dai tentativi di frode

Il social engineering è un elemento chiave di quasi tutti i tipi di frode in cui, attraverso stratagemmi convincenti, i cybercriminali ingannano le loro vittime con l'intento di rubare loro denaro o commettere altri reati da "colletti bianchi". Poiché un social engineer in genere cerca di cogliere gli utenti alla sprovvista, la migliore forma di prevenzione è la consapevolezza. Fortunatamente, con questo articolo ti veniamo in aiuto, quindi preparati a imparare tutto quello che devi sapere per difenderti dagli attacchi, sia online che di persona.

Cos'è il social engineering?

Il social engineering è uno stratagemma che i criminali utilizzano per rubare le informazioni personali senza hackerare complessi sistemi di sicurezza. Si servono di una serie di tecniche di manipolazione per creare fiducia e per ingannare gli utenti ignari. Queste tecniche sfruttano aspetti della psicologia umana per "ingegnerizzare" il processo decisionale e per fare pressione sulle vittime affinché forniscano liberamente le loro informazioni, senza rendersi conto del pericolo. Per cominciare, i social engineer tessono una trama convincente per adescare le vittime creando in loro una falsa sensazione di sicurezza. Possono fingere di essere un membro delle autorità, come un poliziotto o un funzionario del governo. Prima dell'avvento di internet, il social engineering si svolgeva per lo più attraverso interazioni faccia a faccia: pensa ai film di Hollywood, in cui gli addetti ai lavori riescono ad accedere a edifici con sofisticati sistemi di sfruttando fascino e arguzia. C’è tuttavia da sottolineare che spesso i social engineer hanno modi poco cordiali. Molti di loro scelgono di adottare approcci forzati e talvolta minacciosi, sapendo che questi possono essere molto efficaci in situazioni in cui la vittima è messa sotto pressione. Al giorno d'oggi, il social engineering è diventato una seria minaccia, in particolare online. È più facile inviare un'e-mail dall'aspetto ufficiale, o invogliare qualcuno a cliccare su un link, che indossare un'uniforme o cercare di accedere fisicamente a un'area privilegiata. I rischi associati alla presenza fisica sono molto più elevati rispetto a quelli di chi effettua un attacco online. In ogni caso, indipendentemente dalle tecniche utilizzate, l'obiettivo del social engineering è quello di ottenere l'accesso non autorizzato a qualcosa per scopi personali (di solito economici).

Tecniche di social engineering

Come fanno i social engineer a ingannare le proprie vittime? Leggi qui per scoprire i tipi di attacchi più comuni da tenere d'occhio quando navighi online.

Pretexting

I social engineer usano questa tattica per estorcere informazioni personali sensibili alle potenziali vittime. A tal fine possono creare un’impressione di urgenza che costringe le vittime a soddisfare le loro richieste entro un certo lasso di tempo. In altre situazioni i social engineer più esperti potrebbero non chiedere informazioni alle loro vittime immediatamente, ma attendere il momento giusto in modo da aumentare la loro fiducia. Purtroppo, per la maggior parte degli utenti non c'è modo di prevedere o identificare questo tipo di social engineering. La cosa più importante da ricordare, tuttavia, è che hai sempre il diritto di mettere in discussione l'identità di individui che affermano di rappresentare organizzazioni di qualsiasi tipo.

Baiting

Il baiting si serve della falsa promessa di un'offerta irresistibile per attirare gli utenti in una trappola. Il baiting online spesso si presenta sotto forma di pubblicità allettante o di offerte "troppo belle per essere vere". Immagina un link per scaricare gratuitamente l'ultimo film di Hollywood, oppure un pop-up luminoso e lampeggiante che ti annuncia di aver vinto un premio in denaro.

Phishing

Il phishing è uno dei tipi di truffa più diffusi online. Uno dei motivi è che, dopo la raccolta iniziale dei dati, i tentativi che vanno a buon fine dipendono in larga misura dalle tecniche di social engineering. Il phishing può essere preceduto o seguito da uno scenario di pretexting.

Quid pro quo

Con un quid pro quo, i cybercriminali ingannano le vittime per ottenere da loro informazioni sensibili con la promessa di uno scambio sotto forma di prestazione di servizi oppure di beni materiali. Un approccio comune è quello di essere contattati da qualcuno che sembra provenire da un reparto di supporto tecnico, sostenendo che gli è stato chiesto di risolvere un problema. Quando questi criminali hanno fortuna e trovano qualcuno che ha davvero problemi di questo tipo, fingendo di prestare aiuto, accedono al computer della persona in questione e rubano le sue informazioni personali.

Violazione e-mail e contatto spam

Quale modo migliore di sfruttare l'interazione sociale se non inviando messaggi che sembrano provenire da un amico intimo? Si tratta di una tecnica diffusa, scelta dai truffatori che hackerano gli account di posta elettronica per poi inviare messaggi di spam alla lista dei contatti di un dato utente. I messaggi contengono generalmente un oggetto accattivante, come ad esempio "guarda che fico questo sito web!", oppure contengono collegamenti a popolari piattaforme di social media. Credendo che l'e-mail sia stata inviata da un amico, il destinatario può aprire il link senza sospettare nulla. Invece di trovarsi di fronte a un meme divertente o a una fotografia discutibile su Facebook, la vittima viene reindirizzata su un sito web fraudolento. Anche in questo caso il rischio è che vengano rubate le informazioni personali, oppure che si scarichi un software dannoso dalla pagina di destinazione.

Esempi di social engineering

Le tecniche di social engineering possono essere tra le più disparate. Gli hacker sanno essere molto creativi nei loro tentativi di raggiro. In ogni caso, qui di seguito sono riportati alcuni esempi specifici di social engineering nella vita reale per darti un'idea chiara di ciò a cui devi prestare attenzione:

  • Baiting: le agenzie governative locali e statali negli Stati Uniti sono cadute vittima di un tentativo di baiting nel 2018. Hanno ricevuto buste vecchio stile con il timbro postale della Cina, contenenti una lettera e un CD. Il disco conteneva un codice maligno nascosto insieme a documenti dall'aspetto innocuo.
  • Pretexting: un rapporto del 2019 di Verizon ha rilevato che i cybercriminali spesso si fingono colleghi per ingannare le vittime, ad esempio affermando di far parte del reparto risorse umane o finanziario di un'azienda.
  • Phishing: nel 2020, una campagna di phishing ha inviato e-mail di massa affermando di essere l'Organizzazione Mondiale della Sanità (OMS). Il messaggio conteneva informazioni false su come prevenire la diffusione del coronavirus. Dopo aver tentato di scaricare il documento allegato, le vittime sono state reindirizzate a un sito web fraudolento.
  • Quid pro quo: uno studio su larga scala sul social engineering condotto dall'Università del Lussemburgo nel 2016 ha rilevato che le persone sono molto più propense a condividere la propria password quando ricevono un piccolo regalo. Questa tecnica è efficace perché sfrutta la reciprocità, il fattore psicologico secondo cui le persone si sentono in obbligo di restituire un favore. È così efficace che i partecipanti sono stati convinti a condividere le proprie informazioni in cambio di un pezzo di cioccolato!

Come puoi proteggerti?

Fortunatamente anche se le tecniche variano, le contromisure al social engineering sono per lo più le stesse. Essere vigili è fondamentale, così come lo è trattare con sospetto qualsiasi forma di contatto da parte di mittenti sconosciuti. Altri modi per proteggersi sono:

  • metti sempre in dubbio la fonte di e-mail che ti chiedono qualcosa. Presta particolare attenzione ai dettagli del mittente e a eventuali URL.
  • Se la richiesta sembra urgente, prenditi tutto il tempo necessario e non sentirti in dovere di agire immediatamente. Questo è uno dei modi più comuni con cui i social engineer costringono le persone prima ad agire e poi a riflettere.
  • Se un'offerta (online o offline che sia) sembra troppo bella per essere vera, probabilmente non è reale. Resta vigile.
  • Proteggi i tuoi dispositivi utilizzando un antivirus o un firewall autentico e di qualità.
  • Ricorri all'autenticazione a più fattori (nota anche come autenticazione a due fattori o "2FA") che utilizza il tuo smartphone o un altro dispositivo, nonché a una password per accedere ai tuoi account.
  • Controlla sempre due volte i link inviati via e-mail e, in caso di dubbio, visita direttamente il sito in questione digitando l'indirizzo nel tuo browser, invece di cliccare sul link nell'e-mail.
  • Non scaricare file, non condividere informazioni personali e non aprire i link di mittenti sconosciuti. Come già accennato all'inizio dell'articolo, la consapevolezza è la forma di difesa numero uno contro il social engineering. I cybercriminali contano su di te per prenderti alla sprovvista, ma grazie a questo articolo sarai un passo avanti in questo gioco di raggiri.

N26 e la sicurezza

N26 utilizza l'autenticazione a 2 fattori: oltre a inserire la password, devi confermare i tentativi di login sullo smartphone abbinato. Per rendere il tuo account ancora più sicuro, scegli una password forte o una passphrase e non usare la password scelta per altri account. Altre cose da tenere a mente sono: non ti contatteremo mai minacciando di chiudere il tuo conto se non rispondi entro un determinato periodo di tempo; non ti chiederemo mai di rivelare le tue credenziali di accesso via e-mail, telefonata o SMS; non ti chiederemo mai di accedere a un account creato a tuo nome; non ti contatteremo mai tramite WhatsApp o altri servizi di messaggi privati.

Se hai ricevuto e-mail di questo tipo, ti preghiamo di segnalarlo al nostro Supporto Clienti il prima possibile. Puoi contattarlo direttamente attraverso la nostra app, oppure inviando un'e-mail a support@n26.com.

Articoli correlati

Ti potrebbero anche interessare...