Che cos'è l'ingegneria sociale?
L'ingegneria sociale è l'atto di sfruttare le debolezze umane per ottenere l'accesso alle informazioni personali e ai sistemi protetti. L'ingegneria sociale si basa sulla manipolazione di individui piuttosto che sulla pirateria informatica dei sistemi informatici per penetrare nell'account di un bersaglio.
Comprensione dell'ingegneria sociale
Ad esempio, una donna potrebbe chiamare la banca di una vittima di sesso maschile e fingere di essere sua moglie per chiedere un'emergenza e richiedere l'accesso al suo conto. Se la donna può ingegnerizzare socialmente con successo il rappresentante del servizio clienti della banca facendo appello alla tendenza empatica del rappresentante, potrebbe riuscire ad ottenere l'accesso al conto dell'uomo ed essere in grado di rubare i suoi soldi. Allo stesso modo, un utente malintenzionato potrebbe contattare il servizio clienti di un fornitore di posta elettronica per ottenere una reimpostazione della password che consenta all'attaccante di controllare l'account di posta elettronica di un bersaglio anziché violare tale account.
L'ingegneria sociale si riferisce alla manipolazione di un obiettivo in modo da rinunciare alle informazioni chiave. Oltre a rubare l'identità di un individuo o compromettere una carta di credito o un conto bancario, il social engineering può essere applicato per ottenere segreti commerciali di un'azienda o sfruttare la sicurezza nazionale.
L'ingegneria sociale è difficile da prevenire per potenziali obiettivi. Vengono utilizzate precauzioni come l'uso di password complesse e l'autenticazione a due fattori per gli account, ma gli account possono comunque essere compromessi da terzi con l'accesso ai loro account, come i dipendenti delle banche. Tuttavia, le persone possono ridurre il rischio evitando di divulgare informazioni riservate, prestando attenzione quando condividono informazioni sui social media, non ripetono le password, utilizzano l'autenticazione a due fattori, utilizzano risposte false o difficili da indovinare per domande sulla sicurezza dell'account e mantengono un un attento controllo dei conti, in particolare dei conti finanziari.
Gli aggressori usano spesso tattiche sorprendentemente semplici negli schemi di ingegneria sociale, come chiedere aiuto alle persone. Un'altra tattica è quella di sfruttare le vittime di un disastro chiedendo loro di fornire informazioni di identificazione personale come nomi da nubile, indirizzi, date di nascita e numeri di previdenza sociale per i cari scomparsi o deceduti, informazioni che possono essere successivamente utilizzate per il furto di identità.
Presentarsi come un professionista del supporto tecnico o una persona che consegna è un modo semplice per ottenere l'accesso non autorizzato a un account come inviare un'email apparentemente legittima con un allegato dannoso. Tali e-mail vengono spesso inviate a un indirizzo e-mail di lavoro in cui le persone hanno meno probabilità di essere sospettose di un mittente sconosciuto.
Le e-mail possono essere mascherate per apparire come se fossero state originate da un mittente noto quando sono effettivamente inviate da un hacker. Tattiche più elaborate rivolte a persone specifiche potrebbero comportare l'apprendimento dei loro interessi e quindi l'invio al target di un link correlato a tale interesse. Il collegamento può contenere codice dannoso che può rubare informazioni personali dai propri computer. Le tecniche di social engineering più diffuse includono phishing, pesca del gatto, tailgating e baiting.
