Il malware non è l'unica minaccia online di cui preoccuparsi. Il social engineering è una grande minaccia e può colpirti su qualsiasi sistema operativo. In effetti, il social engineering può anche verificarsi al telefono e in situazioni faccia a faccia.
È importante essere consapevoli dell'ingegneria sociale ed essere alla ricerca. I programmi di sicurezza non ti proteggeranno dalla maggior parte delle minacce di ingegneria sociale, quindi devi proteggerti.
Spiegazione dell'ingegneria sociale
Gli attacchi tradizionali basati su computer spesso dipendono dalla ricerca di una vulnerabilità nel codice di un computer. Ad esempio, se stai utilizzando una versione non aggiornata di Adobe Flash – o, per favore, Java, che è stata la causa del 91% degli attacchi nel 2013 secondo Cisco – potresti visitare un sito Web dannoso e quel sito Web sfrutterà la vulnerabilità del tuo software per ottenere l'accesso al tuo computer. L'attaccante sta manipolando i bug nel software per ottenere l'accesso e raccogliere informazioni private, magari con un keylogger che installano.
I trucchi di ingegneria sociale sono diversi perché comportano invece una manipolazione psicologica. In altre parole, sfruttano le persone, non il loro software.
RELAZIONATO: Sicurezza online: abbattere l'anatomia di un'e-mail di phishing
Probabilmente hai già sentito parlare di phishing, che è una forma di ingegneria sociale. Potresti ricevere un'email in cui dichiari di provenire dalla tua banca, società di carte di credito o un'altra azienda di fiducia. Potrebbero indirizzarti a un sito Web falso mascherato da sembrare reale o chiederti di scaricare e installare un programma dannoso. Ma tali trucchi di ingegneria sociale non devono coinvolgere siti Web falsi o malware. L'email di phishing potrebbe semplicemente chiederti di inviare una risposta via email con informazioni private. Invece di provare a sfruttare un bug in un software, cercano di sfruttare le normali interazioni umane. Il phishing di lancia può essere ancora più pericoloso, in quanto è una forma di phishing progettata per colpire individui specifici.
Esempi di ingegneria sociale
Un trucco popolare nei servizi di chat e nei giochi online è stato quello di registrare un account con un nome come “Amministratore” e inviare messaggi spaventosi alle persone come “ATTENZIONE: abbiamo rilevato che qualcuno potrebbe hackerare il tuo account, rispondere con la tua password per autenticarti”. Se un bersaglio risponde con la sua password, si sono innamorati del trucco e l'attaccante ora ha la password dell'account.
Se qualcuno ha delle informazioni personali su di te, potrebbe usarle per accedere ai tuoi account. Ad esempio, informazioni come la data di nascita, il numero di previdenza sociale e il numero della carta di credito vengono spesso utilizzati per identificarti. Se qualcuno ha queste informazioni, potrebbe contattare un'azienda e fingere di essere te. Questo trucco è stato notoriamente utilizzato da un utente malintenzionato per ottenere l'accesso alla Yahoo! di Sarah Palin Account di posta elettronica nel 2008, inviando sufficienti dettagli personali per accedere all'account tramite il modulo di recupero password di Yahoo! Lo stesso metodo potrebbe essere utilizzato per telefono se disponi delle informazioni personali che l'azienda richiede per autenticarti. Un utente malintenzionato con alcune informazioni su un bersaglio può fingere di essere loro e ottenere l'accesso a più cose.
L'ingegneria sociale potrebbe anche essere utilizzata di persona. Un utente malintenzionato può entrare in un'azienda, informare il segretario di essere una persona di riparazione, un nuovo dipendente o un ispettore antincendio in un tono autorevole e convincente, quindi vagare per le sale e potenzialmente rubare dati riservati o bug di impianto per eseguire lo spionaggio aziendale. Questo trucco dipende dall'attaccante che si presenta come qualcuno che non è. Se un segretario, un portiere o chiunque altro sia al comando non pone troppe domande o guarda troppo da vicino, il trucco avrà successo.
RELAZIONATO: In che modo gli aggressori “hackerano gli account” online e come proteggersi
Gli attacchi di ingegneria sociale coprono l'intera gamma di siti Web fasulli, e-mail fraudolente e messaggi di chat nefasti fino a impersonare qualcuno al telefono o di persona. Questi attacchi si presentano in una grande varietà di forme, ma hanno tutte una cosa in comune: dipendono da inganno psicologico. L'ingegneria sociale è stata chiamata l'arte della manipolazione psicologica. È uno dei modi principali in cui gli “hacker” in realtà “hackerano” gli account online.
Come evitare l'ingegneria sociale
Conoscere l'esistenza del social engineering può aiutarti a combatterlo. Diffidare di e-mail indesiderate, messaggi di chat e telefonate che richiedono informazioni private. Non rivelare mai informazioni finanziarie o informazioni personali importanti tramite e-mail. Non scaricare allegati e-mail potenzialmente pericolosi ed eseguirli, anche se un'email afferma che sono importanti.
Inoltre, non dovresti seguire i collegamenti in un'email a siti Web sensibili. Ad esempio, non fare clic su un collegamento in un'e-mail che sembra provenire dalla tua banca e accedere. Potrebbe portarti a un sito di phishing falso mascherato da sembrare il sito della tua banca, ma con un URL leggermente diverso. Visita direttamente il sito Web invece.
Se ricevi una richiesta sospetta – ad esempio, una telefonata dalla tua banca richiede informazioni personali – contatta direttamente l'origine della richiesta e chiedi conferma. In questo esempio, chiameresti la tua banca e chiederesti cosa vogliono piuttosto che divulgare le informazioni a qualcuno che afferma di essere la tua banca.
I programmi di posta elettronica, i browser Web e le suite di sicurezza generalmente dispongono di filtri di phishing che ti avviseranno quando visiti un sito di phishing noto. Tutto ciò che possono fare è avvisarti quando visiti un sito di phishing noto o ricevi un'email di phishing nota e non sono a conoscenza di tutti i siti di phishing o di email. Per la maggior parte, spetta a te proteggerti: i programmi di sicurezza possono solo aiutare un po '.
È una buona idea esercitare un sano sospetto quando si trattano richieste di dati privati e qualsiasi altra cosa che potrebbe essere un attacco di ingegneria sociale. Il sospetto e la cautela ti aiuteranno a proteggerti, sia online che offline.
Credito d'immagine: Jeff Turnet su Flickr