Partiamo da un assunto e cioè che le vulnerabilità più difficili da gestire non sono quelle informatiche, ma quelle umane e da questo ci agganciamo per parlare di Social Engineering cioè la tecnica utilizzata dagli hacker per fregare il prossimo attraverso le apparecchiature informatiche usando la psicologia ed ottenere dati confidenziali (password, informazioni su conti correnti, informazioni finanziarie), estorcere denaro o persino rubarne l’identità per poter commettere altre truffe o reati.
Facciamo il punto della situazione: le aggressioni informatiche nel periodo del lockdown sono aumentate esponenzialmente e tra marzo e aprile 2020 c’è stata a un’accelerazione violenta di questo fenomeno. Gli aggressori hanno preso di mira soprattutto i lavoratori in smart working che usano piattaforme per le riunioni e le comunicazioni da remoto.
Sono state quantificate 230.000 campagne di Social Engineering e di queste il 6% ha interessato l’Italia e gli argomenti più usati per adescare gli utenti sono stati “Covid-19” “Coronavirus” e siti web ingannevoli contenenti il nome del virus che stimolavano gli utenti a scaricare App malevoli, soprattutto per smartphone Android.
Il problema vero problema però sono soprattutto le email e secondo un rapporto della YOROI le e-mail pesano per l’89% tra i vettori di attacco informatico malevole. Le stime indicano che ogni giorno vengono inviate circa 300 miliardi di email e di queste il 70-80% sono spam, delle quali una grande quantità sono inviate con finalità di attacco Social Engineering, soprattutto di tipo “Phishing”, ma la cosa ancora più grave è che si stima che il 97% degli utenti di internet non sia in grado di riconoscere una mail di Phishing (rapporto Clusit del 2019).
Che cos’è il Social Engineering?
Con questo termine vengono indicate le tecniche psicologiche usate da chi vuole indurre altre persone a fare qualcosa che non dovrebbero fare, come ad esempio convincerle a cliccare su una mail e a scrivere le proprie password o i dati di accesso alla banca.
Con le tecniche di Social Engineering si possono facilmente aggirare antivirus e firewall facendo leva sulla curiosità e sulle debolezze delle persone (con questo non vuol dire che questi strumenti di difesa informatica non servono a niente, anzi …).
La più classica tecnica di Social Engineering, la cui applicazione è squisitamente basata su internet si chiama “Phishing” e si svolge attraverso siti fasulli dette “esche” che inducono la vittima a fare qualcosa che non dovrebbe fare, come scrivere le credenziali di accesso alla banca, cliccare e scaricare un allegato malevolo che si impadronisce di tutti i dati presenti nel computer, ecc… . Questa tecnica fa leva sulle emozioni della vittima, come ad esempio ignoranza, curiosità, paura, avidità, panico e si presenta come nei seguenti esempi (ma il limite è solo la fantasia del criminale informatico):
La mail che promette sconti fantastici su prodotti costosi tipo “Hai vinto un iPhone a 1 euro!”, fa leva su desiderio e avidità.
Il messaggio da uno “studio legale” (realmente esistente, al quale hanno rubato l’identità; caso molto più frequente di quanto si creda) che ti cita in giudizio per conto di un suo cliente e ti invita a cliccare sul link per “scaricare la pratica legale”, fa leva sul panico.
Il messaggio della “Polizia Postale” che compare all’improvviso mentre sei su un sito per scaricare illegalmente musica, fa leva sul senso di colpa: compare un pop-up che dice “Sta navigando illegalmente, clicca qui per pagare la sanzione”.
La mail dello spedizioniere che segnala un pacco in arrivo e invita a cliccare per vedere di cosa si tratta, fa leva sulla curiosità.
Attenzione perché il Phishing può sfruttare anche strumenti diversi dall’email, infatti, sono sempre più diffusi i tentativi di attacco tramite SMS o canali di instant messaging (WhatsApp, Telegram).
Esistono altre tecniche di Social Engineering non esclusivamente tecnologici o informatici come ad esempio:
Il “Dumpster Diving” o “Trashing” cioè cercare nella spazzatura estratti conti, ricevute fiscali, documenti importati per poter ricattare la vittima. Spesso vengono ricavati dati anche negli hard disk, computer, smartphone e tablet dismessi ma non opportunamente resi indisponibili.
Il “Tailgating” cioè entrare in un luogo protetto, fingendo di aver dimenticato la chiave di sicurezza o chiedendo una cortesia a un impiegato, oppure fingendosi un tecnico autorizzato della linea telefonica o un elettricista ed entrare nella rete aziendale.
Il “Baiting” (esca), per esempio lasciare volutamente incustodito un oggetto, una chiavetta USB, un CD o un hard disk armati con un software malevolo, come se fossero stati smarriti e contare sulla curiosità della vittima (questa tecnica mi piace un sacco perché funziona sempre … ndr).
Il “Quid Pro Quo”, tecnica bassata sull’offerta di un servizio o un aiuto in cambio di un benefit. Per esempio, il soggetto malintenzionato può fingersi un tecnico IT e contattare alcuni dipendenti per offrire loro supporto tecnico in cambio di informazioni (ad esempio password) oppure chiedendo loro di disattivare temporaneamente l’antivirus in modo da installare un programma contenente malevolo.
Fatti questi esempi, va detto che nella stragrande maggioranza dei casi (oltre il 90%) gli attacchi tramite tecniche di Social Engineering avvengono via mail con particolare predilezione verso il Phishing e hanno lo scopo di veicolare un software malevoli o carpire dei dati.
La maggior parte di queste e-mail viene bloccata dai sistemi antispam, ma non tutte. A volte la mail è così ben costruita da imbrogliare anche i sistemi di sicurezza informatica come l’antivirus e l’antispam (ammesso che ci sia ma soprattutto che sia aggiornato e di qualità) quindi il miglior scudo da questi attacchi è l’utilizzatore che riceve l’email che deve essere in grado di riconoscere l’attacco Social Engineering.
Ma quali sono le principali attenzioni da porre per evitare di farsi imbrogliare?
Diffidare di qualunque e-mail che vi richieda l’inserimento di dati riservati riguardanti codici di carte di pagamento, chiavi di accesso al servizio home banking o altre informazioni personali, perché la banca non richiede mai tali informazioni via e-mail.
Diffidare delle email non personalizzate e contenenti un messaggio generico di richiesta di informazioni personali per motivi non ben specificati (es. scadenza, smarrimento, problemi tecnici);
Diffidare delle email che fanno uso di toni “intimidatori”, ad esempio minacciando la sospensione dell’account in caso di mancata risposta da parte dell’utente;
Diffidare delle email che non riportano una data di scadenza per l’invio delle informazioni.
Non cliccate sui link presenti in email sospette, in quanto questi collegamenti potrebbero condurvi a un sito contraffatto, difficilmente distinguibile dall’originale. Attenzione: Anche se sulla barra degli indirizzi del browser viene visualizzato l’indirizzo corretto, non vi fidate: è possibile, infatti, per un hacker visualizzare nella barra degli indirizzi del vostro browser un indirizzo diverso da quello nel quale realmente vi trovate.
Diffidare inoltre di email con indirizzi web molto lunghi, contenenti caratteri inusuali.
Quando inserite dati riservati in una pagina web, assicuratevi che si tratti di una pagina protetta: queste pagine sono riconoscibili in quanto l’indirizzo che compare nella barra degli indirizzi del browser comincia con ‘‘https://’’ e non con ‘‘http://’’ (c’è una s in più che sta per “sicuro”) e prima del nome del sito web cercato è presente un lucchetto.
Ora che avete qualche strumento in più, mettetelo in pratica per evitare di farvi “pescare” e farvi fregare i vostri dati personali, visto che sono uno dei beni più preziosi che avete.
Buona navigazione nel mare di internet.
Per informazioni potete contattarci:
Telefono: +39 0422 22813
email: segreteria@proattiva.eu
Seguiteci sui social network: Facebook: https://www.facebook.com/proattiva.privacy.gdpr.dpo Linkedin: https://www.linkedin.com/company/proattiva-privacy-gdpr-dpo-231-81-iso
Comments