SOCIAL ENGINEERING

Il social engineering, o ingegneria sociale, rappresenta una metodologia di attacco che si basa sull’analisi del comportamento individuale. Questo porta alla conseguente manipolazione psicologica delle vittime.
Obiettivo: indurle a compiere azioni o a divulgare informazioni sensibili. 

David Mitnick, noto hacker americano, raccontò in un’intervista come negli anni ’90 riuscì a esfiltrare i codici sorgenti del nuovo StarTac di Motorola. Grazie a una buona parlantina al telefono, impiegò solamente 15 minuti per raggiungere il suo obiettivo. Per lui quei dati erano solo dei trofei, eppure già allora aveva compreso la potenza della manipolazione emotiva. Già allora metteva in pratica il concetto di Social Engineering.

In sintesi, le emozioni più sfruttate in queste truffe includono:

  1. Autorevolezza: riceviamo chiamate o comunicazioni da persone che si spacciano per autorità utilizzando identità fasulle.
  2. Panico: ad esempio, e-mail che segnalano pagamenti o abbonamenti scaduti, spingendoci ad agire frettolosamente.
  3. Avidità: cercano di farci compilare formulari su pagine fraudolente, inserendo i nostri dati bancari per riscuotere premi o applicare sconti.
  4. Sensi di colpa: ci fanno credere di essere a conoscenza di download illegali, costringendoci a pagare o a rivelare dati sensibili.
  5. Compassione: Spacciandosi per qualcuno in difficoltà, per esempio un parente, cercano di ottenere aiuto economico. In alcuni casi, lavorano sulla vittima a lungo per aumentare le possibilità di successo.

A causa di questa evoluzione nel metodo di attacco, le truffe odierne non si basano più solo sulle competenze tecniche dei criminali informatici e sulle nostre vulnerabilità di sistemi. Noi stessi andiamo a sommarci all’elenco di quelle vulnerabilità ed è, forse, quella con più peso! 

Di conseguenza, sia nella sfera privata sia in quella professionale, dobbiamo imparare a riconoscere i segnali. Dobbiamo adottare misure preventive per proteggerci da queste minacce.

Come?

  • Allenando la nostra consapevolezza al rischio
  • Coltivando uno spirito critico nei confronti di e-mail, chiamate o messaggi ricevuti
  • Mai avere fretta perché i criminali puntano anche su quello. Prendiamoci il tempo per analizzare la situazione
  • Ricordarsi sempre che nessuna azienda o istituto di credito ci richiederà dati sensibili come sistemi di pagamento o dati anagrafici