Cybersecurity & Privacy

Perché il Cybercrime usa l’ingegneria sociale

Scritto da Cristiano Pastorello | Feb 8, 2023 1:06:00 PM

L'ingegneria sociale è una tecnica di manipolazione psicologica che mira a convincere le persone a fare qualcosa che normalmente non farebbero. Questa tecnica si basa sull'analisi dei comportamenti e delle emozioni delle persone per individuare i modi migliori per influenzarle, ed ottenere informazioni utili. L'ingegneria sociale può essere utilizzata in diversi contesti, tra cui quello informatico.
 

Si tratta di raccogliere quanti più dati possibile per prepararsi ed individuare, gli argomenti, le leve e gli strumenti più adatti per andare a segno. Più o meno come di solito succede al primo appuntamento.

Questo ci fa capire che oggi il Web e i Social costituiscono fonti di informazioni infinite sulle persone, un tesoro che i pionieri della tecnica si sognavano di avere. Tutto ciò insieme alle moderne possibilità di entrare in comunicazione senza esporsi di persona, ne ha potenziato tantissimo gli effetti.   

Le tecniche di ingegneria sociale possono essere molto efficaci, perché sfruttano le debolezze umane e le emozioni, quali:

  • Avidità
  • Panico
  • Desiderio
  • Ignoranza
  • Autorità
  • Colpa
  • Gratitudine

Ognuna di queste “situazioni” se sfruttata correttamente è in grado di convincere la vittima a fare qualcosa, per uscire da una situazione di disagio, scomoda, spiacevole o per rincorrere la possibilità di una migliore, più appagante e felice.

Questo è diabolico perché le emozioni sono e saranno sempre ciò per cui le persone fanno qualcosa, ogni cosa, anche la più oggettiva e materiale vuole rincorrere le belle o scacciare le brutte emozioni.

Quello che fanno non è altro che creare una “vulnerabilità psicologica” che nella vita comune chiamiamo debolezza, per questo l’unico limite dell’ingegneria sociale è la fantasia di applicarla.

Nel campo dell’informatica è molto utilizzata perché consente di portare a termine un attacco saltando tutta la fase centrale di Hacking, in quanto inganna la vittima per fare in modo che si “auto-hackeri” aprendo lei stessa un accesso o avviando l’infezione.

Anche per questo motivo non dobbiamo mai pensare alla sicurezza come una scienza certa, bensì dobbiamo considerarla un processo, che cambia, evolve e si adatta alle minacce nel modo più proattivo possibile.

Nel corso degli ultimi anni il Cybercrime sta adottando sempre più il Social Engineering perché con il miglioramento dei prodotti per la sicurezza e la maggiore sensibilizzazione sul settore, le tecniche di attacco strettamente informatiche stanno diventando molto costose e complesse, sempre comunque fattibili ma con un ritorno dell’investimento non paragonabile a quello dell’ingegneria sociale.

Oggi la posta elettronica è ancora il metodo più potente ed efficace per attuare una strategia di ingegneria sociale, permette di “incontrare” virtualmente migliaia di persone nello stesso momento e di comunicare con loro con i contenuti più efficaci per ottenere il successo.

Chiunque possieda un account email lo utilizza ogni giorno e ogni giorno è sottoposto a questo pericolo.

Quello che oggi definiamo con il termine Phishing è la manifestazione dell’intento di applicare l’ingegneria sociale usando come strumento la posta elettronica, il cui fine è sempre quello di sottrarre informazioni alla vittima ma con scopi diversi a seconda dei casi:

  • Furto di identità e dati personali, convincendo l’utente ad inviare copie di documenti come la carta d’identità che poi verranno utilizzati per effettuare operazioni illecite a nome della vittima.
  • Furto di credenziali di accesso a sistemi informatici come l’home banking, posta elettronica o i Social Network. Questo viene fatto portando la vittima su una pagina web identica a quella originale dell’ente o dell’azienda reale, per inserirle in una form che le invia ai cybercriminali.
  • Cifratura dei dati aziendali o files personali attraverso un’infezione da Ransomware, scatenata da un click malevolo o l’apertura di un allegato infetto contenuti nella mail. Lo scopo è quello di chiedere un riscatto per riaverli, quindi parliamo di estorsione.

Cosa possiamo fare contro tutto ciò?

  • Prevenzione – filtrare automaticamente, il più possibile, questo tipo di email
  • Formazione – insegnare agli utenti a riconoscerle per non cadere nell’ inganno
  • Procedure – tenere pronto un piano B, backup o procedure da seguire

Non devi assolutamente esporre la tua azienda e i tuoi collaboratori a questi rischi. Contatta subito i nostri esperti per capire come fare.