Che cos’è l’ingegneria sociale e come funziona?

Sebbene per motivi diversi, come un nipote in difficoltà, un principe nigeriano con troppi soldi o una banca che diffonde paura e panico, probabilmente tutti noi ci siamo confrontati prima o poi con truffe di ingegneria sociale, anche se potremmo non avere familiarità con il termine. Nell’era digitale di oggi, esistono innumerevoli modi e mezzi per manipolare, ingannare e imbrogliare le persone. Continua a leggere per scoprire cosa si intende esattamente per ingegneria sociale, quali trucchi utilizzano i truffatori informatici e come puoi proteggerti dagli attacchi di questo tipo, ad esempio con una soluzione per la sicurezza informatica come Avira Free Security. 

Che cos’è l’ingegneria sociale?  

La truffa è uno dei trucchi più vecchi del mondo. Chi non ha mai sentito parlare di un anziano defraudato di ingenti somme di denaro da qualche truffatore che lo ha contattato telefonicamente e gli ha raccontato una storia ai limiti dell’incredibile? In molti casi, i truffatori riescono nei loro intenti persino con la truffa ai nonni, in cui fingono di essere un parente stretto in difficoltà. 

La crescente digitalizzazione sta aprendo ai truffatori opportunità che fino a poco tempo fa i loro simili potevano a mala pena immaginare. In effetti, non è mai stato così facile fingere di essere un’altra persona e raggiungere così tante vittime potenziali: tutto questo grazie ai canali di comunicazione digitale e alle piattaforme dei social media. Tra l’altro, è possibile assistere a casi di truffa ai nonni anche su servizi di messaggistica come WhatsApp. 

Il termine “ingegneria sociale” ha preso piede per descrivere le truffe nell’era digitale. Il termine ha origine nell’ambito delle scienze sociali e politiche, dove si applicano tecniche di manipolazione psicologica a gruppi di persone per migliorarne il comportamento sociale. Oggi, però, viene utilizzato principalmente per indicare un tipo di minaccia informatica e, in questo contesto, si riferisce esclusivamente a metodi di manipolazione negativi anziché positivi. 

L’ingegneria sociale come strategia di attacco 

L’ingegneria sociale implica strategie di attacco che prendono di mira le vulnerabilità umane anziché tecniche. Ecco perché l’ingegneria sociale è definita anche hacking umano o hacking sociale. Il significato del termine comprende un’ampia gamma di tattiche e metodi diversi che i criminali informatici possono utilizzare per indurre determinati comportamenti attraverso manipolazione, inganno e mistificazione, quasi sempre con l’intento di danneggiare le loro vittime.  

Nel caso di attacchi di ingegneria sociale, i truffatori informatici cercano di indurre gli utenti a rivelare informazioni riservate o dati sensibili, scaricare malware, come ransomware o spyware, oppure trasferire denaro. Per riuscirci, ingannano le potenziali vittime sulla loro identità e sulle loro intenzioni, fanno false promesse, avvertono che sta per accadere qualcosa di terribile o chiedono aiuto. Ma la cosa peggiore è che la loro creatività non conosce limiti purché sia utile allo scopo. 

Come e perché funziona l’ingegneria sociale? 

I truffatori informatici, noti anche come ingegneri sociali, sfruttano le emozioni, le caratteristiche e i comportamenti fondamentali degli esseri umani per raggiungere i propri scopi. Ci spaventano, suscitano la nostra curiosità o fanno appello alla nostra compassione, promettono amore o denaro oppure ci attirano in trappola con offerte vantaggiose e presunte vincite.  

A tal fine, sfruttano tutti i canali di comunicazione a loro disposizione: possono sferrare attacchi di ingegneria sociale tramite e-mail, telefono, SMS e servizi di messaggistica, piattaforme di social media o portali di incontri online. Nei social network e nelle app di incontri possono creare profili ingannevolmente reali, con una tecnica nota come catfishing, o addirittura possono assumere l’identità di persone reali.  

Per i loro attacchi di ingegneria sociale, i truffatori possono assumere qualsiasi ruolo e fingere di essere una persona fidata o vicina alla vittima (amico, parente, collega, datore di lavoro e così via) oppure un’istituzione rispettabile (banca, autorità pubblica, azienda e così via). Talvolta fingono anche di essere un addetto al servizio clienti o un tecnico di sistema di un servizio o di un negozio online utilizzato dalla loro vittima.  

Nell’agire, fanno affidamento su alcuni aspetti del nostro comportamento sociale: rispetto per l’autorità, lealtà verso lo Stato, sostanziale fiducia, generale disponibilità ad aiutare o, analogamente, senso di avidità. Diamo un’occhiata più da vicino ad alcune delle loro tattiche:   

• Suscitare curiosità: i criminali informatici potrebbero inviare link a offerte o contenuti multimediali apparentemente interessanti.
• Richiedere o offrire aiuto: i truffatori chiedono sostegno finanziario per una presunta situazione di emergenza oppure offrono il proprio aiuto, ad esempio per risolvere un presunto problema tecnico o per migliorare la sicurezza di un account online.
• Allarmare: talvolta, spaventano la loro vittima facendole credere che perderà soldi a causa di un conto presumibilmente compromesso, che il conto verrà bloccato oppure che la polizia o gli esattori si presenteranno alla sua porta. In questo caso, il senso di urgenza entra spesso in gioco come ulteriore leva.
• Fare promesse: un’altra strategia di ingegneria sociale molto efficace consiste nel proporre offerte gratuite, premi, regali in denaro o addirittura alloggi a prezzi accessibili e offerte di lavoro interessanti.   

Attacchi di ingegneria sociale mirati e non mirati 

Gli attacchi di ingegneria sociale non mirati adottano un’ampia gamma di tattiche per colpire un gran numero di persone o gruppi di persone in maniera casuale. Tra i vari tipi di attacco, in questa categoria rientrano le e-mail di phishing che prendono di mira dati sensibili o tentano di iniettare malware.  

Con gli attacchi mirati di ingegneria sociale, invece, i truffatori informatici conquistano gradualmente la fiducia delle loro vittime. A differenza dell’invio di e-mail di phishing in massa, questo approccio è molto più impegnativo e dispendioso in termini di tempo, ma può anche rivelarsi più redditizio in caso di successo.  

Un esempio di questo tipo di attacco di ingegneria sociale è offerto dallo spear phishing, attraverso il quale i criminali informatici spesso tentano di accedere a informazioni aziendali riservate. Quanto più un truffatore conosce l’azienda presa di mira e i suoi dipendenti, tanto più efficace sarà l’inganno e tanto più mirate potranno essere le sue azioni. Per raggiungere i propri scopi, il truffatore raccoglie informazioni tramite social network, telefonate ed e-mail e quindi contatta una determinata persona che ha accesso ad aree sensibili di un’azienda. Grazie a queste conoscenze di base, può spesso presentarsi in modo molto convincente come fornitore di servizi, partner commerciale, cliente o collega e ottenere l’accesso a informazioni altamente sensibili. In questi casi si ricorre spesso al pretexting, una strategia che verrà esaminata più in dettaglio di seguito. 

Metodi e strategie di ingegneria sociale più diffusi 

Di seguito presenteremo alcuni metodi e strategie adottati dai truffatori di ingegneria sociale di cui probabilmente hai già sentito parlare o hai persino subito le conseguenze. In fin dei conti, non sono solo le persone molto credulone a cadere nei sofisticati trucchi dell’ingegneria sociale. 

Oltre alle forme tecniche di attacco esaminate in questo articolo, esistono anche alcuni tipi non tecnici di ingegneria sociale, come il tailgating, in cui un truffatore segue la propria vittima in uno spazio a lei vietato. Questa pratica viene spesso adottata anche insieme alla tecnica di media dropping, che consiste nel lasciare in bella vista dispositivi di archiviazione dati infettati da malware, come le chiavette USB. Per raccogliere informazioni, i criminali possono anche sbirciare il tuo computer portatile, osservarti mentre digiti il PIN allo sportello bancomat (shoulder surfing) o recuperare documenti riservati dal cestino dei rifiuti (dumpster diving).  

Tuttavia, qui ci concentreremo in particolare sugli aspetti tecnici del fenomeno e sulle strategie di ingegneria sociale più diffuse. 

1. Phishing  

Il phishing consiste nell’invio in massa di e-mail fraudolente, con un aspetto illusoriamente autentico, da parte di un mittente apparentemente legittimo. Rispetto alle e-mail di spam, che di solito sono solo molto fastidiose, i criminali informatici utilizzano le e-mail di phishing per cercare di mettere le mani sui nostri dati sensibili, come i dettagli di accesso e le informazioni di un account, o per introdurre malware nei nostri computer tramite allegati e-mail.  

Per spingersi ancora più in profondità, talvolta ricorrono anche alla tecnica di spoofing delle e-mail e manipolano l’intestazione dell’e-mail in modo da mostrare un indirizzo diverso (di cui ci fidiamo) rispetto a quello da cui proviene effettivamente il messaggio. È possibile scoprire facilmente se il mittente è davvero chi dichiara di essere passando il puntatore del mouse sull’indirizzo e-mail (Windows) o cliccando sulla piccola freccia accanto ad esso (Mac) in modo da rivelare l’effettivo indirizzo del mittente dall’apparenza enigmatica.  

Particolarmente diffuse sono le e-mail di phishing provenienti da banche e servizi di pagamento online come PayPal. Tra le varie tattiche, potrebbero chiederti di cambiare la password o di confermare i dati di accesso. Spesso l’azione richiesta viene presentata come misura di sicurezza e ti viene suggerito di fare qualcosa in quel preciso momento per spingerti ad agire in modo avventato. Per maggiori dettagli, dai un’occhiata all’articolo sulle truffe di PayPal nel nostro blog. 

Le e-mail di questo tipo, sempre più perfezionate in termini di linguaggio e grafica, di solito cercano di invogliare gli utenti a cliccare sul link incluso nel messaggio che consente di accedere a una pagina di phishing. Se facessi come richiesto e immettessi i tuoi dati di accesso nella pagina Web falsa, il truffatore potrebbe accedere al tuo account online e quindi ordinare cose a tuo nome e/o cambiare la password e sostanzialmente escluderti dall’account.  

I migliori consigli per proteggersi dal metodo di ingegneria sociale numero 1 

Per proteggersi dagli attacchi di phishing è un’ottima idea utilizzare un gestore di password e un’estensione di protezione del browser. La buona notizia è che entrambi gli strumenti sono inclusi in soluzioni come Avira Free Security e in più riceverai anche la protezione antivirus gratuita. Mentre Avira Browser Safety ti aiuta a bloccare le pagine Web di phishing e altri contenuti Web dannosi, Avira Password Manager ti consente di proteggere gli account online personali su diversi dispositivi.  

Le app per Android e iOS corrispondenti includono una ​​​​funzionalità per generare codici di autenticazione a due fattori (2FA). In questo modo, i criminali informatici avranno molta più difficoltà ad accedere ai tuoi account online, anche se sono in possesso della tua password e di altre informazioni di accesso. Inoltre, un gestore di password ti aiuta a creare e memorizzare password estremamente complesse per i vari account online.   

La nostra soluzione avanzata tutto in uno Avira Prime per Windows include anche la funzionalità Protezione e-mail per aiutarti a difenderti sia da link di phishing sia da allegati dannosi.  

Sottotipi e varianti di phishing: 

• Phishing vocale (vishing): anche se in sostanza si tratta pur sempre di una forma di truffa telefonica, il crescente numero di opzioni tecnologiche fa sì che gli attacchi di vishing vengano ora effettuati anche tramite messaggi vocali e chiamate VoIP (Voice over IP) e possano essere persino automatizzati.  
• Phishing tramite SMS (smishing): lo smishing è una forma di phishing tramite SMS. Tra i tratti distintivi di questo tipo di messaggi è inclusa la richiesta di verificare un account online o qualcosa di simile. 
• Spear phishing: i truffatori prendono di mira in particolare i dipendenti di un’azienda per ottenere segreti commerciali oppure informazioni e dati riservati. Se il bersaglio è costituito da dirigenti di alto livello, la truffa prede anche il nome di whaling.  
• Truffa del CEO o del capo: diversamente dal caso descritto sopra, qui il truffatore si spaccia per dirigente di alto livello e si rivolge ai “propri” dipendenti per chiedere informazioni o denaro. Questo avviene, ad esempio, quando il contabile di un’azienda riceve un ordine di trasferire denaro all’estero senza informare altre persone. 
• Angler phishing: in questo tipo di attacco di phishing, i truffatori creano falsi account del servizio clienti di aziende note sulle piattaforme dei social media per attirare i clienti insoddisfatti. Se qualcuno si lamenta su una piattaforma, i truffatori contattano il cliente fingendo di essere addetti al servizio di assistenza o esperti IT pronti a risolvere il problema e quindi inducono l’utente a fornire informazioni o a cliccare su un collegamento dannoso.
• Phishing tramite motori di ricerca: i criminali informatici sfruttano le tecniche di ottimizzazione dei motori di ricerca (SEO) per posizionare la loro pagina Web di phishing tra i primi risultati di ricerca, in modo da attrarre il maggior numero possibile di visitatori sulla loro pagina Web dannosa. 

2. Pretexting 

In questo ambito i truffatori scatenano la loro creatività, talvolta inventando storie molto elaborate, per guadagnarsi la fiducia delle vittime e convincerle a condividere dati sensibili o a trasferire denaro. La strategia di pretexting viene spesso utilizzata negli attacchi di spear phishing contro i dipendenti di un’azienda e anche nella truffa ai nonni. 

Di solito gli autori dell’attacco si presentano al dipendente come responsabili di linea, fornitori di servizi, consulenti fiscali o simili e descrivono una situazione credibile che dà alla vittima una buona ragione per fare ciò che vogliono i truffatori. La strategia è particolarmente efficace se i criminali informatici si sono preparati a sufficienza e hanno raccolto molte informazioni di base sulla persona e sull’azienda in questione.  

3. Baiting 

Il baiting, letteralmente “adescamento”, consiste nell’utilizzo di un’esca fisica o digitale, ad esempio un’app gratuita da scaricare, un prodotto gratuito, del denaro oppure un’offerta o un affare allettante. L’esempio più noto di questo tipo di ingegneria sociale è probabilmente quello del famigerato principe nigeriano.  

Alla vittima viene promessa una parte dell’enorme fortuna del principe, che però potrà ricevere solo dopo aver effettuato un pagamento anticipato. Le ragioni per cui viene richiesto il pagamento per accedere ai beni prospettati sono tante quanto le diverse varianti della truffa alla nigeriana, che per lo più consiste nella richiesta fraudolenta di una commissione anticipata. 

4. Trappola al miele e sextortion 

Con un attacco di ingegneria sociale di questo tipo, le persone desiderose d’amore vengono attirate in vere e proprie trappole al miele, motivo per cui si parla anche di truffe amorose o sentimentali. Per adescare le proprie vittime, gli autori di truffe sentimentali creano falsi profili sui portali di incontri e fingono di essere persone giovani e attraenti in cerca di matrimonio, spesso provenienti dall’Europa dell’Est.  

Non appena qualcuno abbocca, instaurano una relazione online con la vittima e gradualmente conquistano la sua fiducia. Affermano poi di trovarsi in difficoltà finanziarie e di avere bisogno di aiuto, ad esempio per cure mediche, oppure chiedono soldi per le spese di viaggio in modo da potersi incontrare di persona. A questo punto il gioco è fatto: dopo aver ricevuto il denaro, interrompono ogni contatto o magari chiedono un altro aiuto. 

In altri casi si può arrivare alla ​​sextortion, letteralmente “estorsione sessuale”, quando il truffatore contatta la vittima tramite una piattaforma di incontri o un social network e finge di essere una persona attraente. Dopo la fase di conoscenza reciproca, l’aggressore attira la vittima in una situazione sessualmente compromettente, la registra (o almeno afferma di averlo fatto) e la ricatta minacciandola di pubblicare il filmato.  

5. Watering hole  

La strategia di ingegneria sociale definita “watering hole” (in italiano, “abbeveratoio”) consiste nell’attirare determinate persone o gruppi di persone in un luogo di ritrovo di loro preferenza, ovvero un sito Web popolare tra le loro frequentazioni che è stato infettato con malware da criminali informatici.  

6. Quid pro quo  

Quid pro quo, che in latino significa “favore per favore”, è un principio economico in base al quale chi dà qualcosa deve ricevere qualcos’altro in cambio. Un esempio di questo tipo di metodo di ingegneria sociale è offerto dai sondaggi condotti da aziende apparentemente affidabili che promettono ai partecipanti un regalo di grande valore in cambio dei loro dati, naturalmente sensibili. 

7. Scareware 

Anche lo scareware è un metodo di ingegneria sociale. Può presentarsi sotto forma di un messaggio pop-up, con l’aspetto di una notifica del sistema operativo o del software antivirus dell’utente, visualizzato per segnalare un problema. Può anche assumere la forma di un’e-mail in cui si fa uso di minacce vuote per ricattare una persona ed estorcerle denaro o per iniettare malware. In entrambi i casi, l’utente è spaventato e gli viene “consigliato” urgentemente di agire in fretta, purtroppo a suo svantaggio.  

Perché l’ingegneria sociale è così pericolosa? 

Un attacco di ingegneria sociale di successo può causare danni enormi, non solo ad aziende ma anche a privati, colpendoli a diversi livelli. Oltre al danno a livello emotivo, come perdita di fiducia, vergogna e delusione, può comportare anche danni finanziari sia direttamente, tramite pagamenti ai truffatori, sia indirettamente, tramite furto di dati o addirittura di identità.  

Questo perché se i tuoi dati personali sensibili o i dettagli di accesso ai tuoi account online finiscono nelle mani di criminali informatici, questi possono utilizzarli per i propri scopi. Ad esempio, possono fare acquisti online a tuo nome, contrarre prestiti, aprire conti, sottoscrivere abbonamenti o mettere in vendita i tuoi dati sul dark web.  

Ma c’è una buona notizia: se sei la sfortunata vittima di un furto di identità, puoi contare sull’aiuto di Avira Identity Assistant per ripristinare la tua identità¹. Inoltre, Dark Web Monitoring² esegue la scansione del dark web per individuare i dati e le informazioni personali che hai rivelato, come i tuoi indirizzi e-mail e i numeri di conto bancario e di carta di credito. 

Come proteggersi dall’ingegneria sociale? 

La migliore protezione contro gli attacchi di ingegneria sociale consiste nell’identificarli. Pertanto, in caso di dubbio: anche se il tuo istinto ti suggerisce di fidarti, sii prudente e controlla innanzitutto che i conti tornino, soprattutto quando sembra che esista un’urgente necessità di fare qualcosa o un pericolo imminente. Detto questo, anche se gli attacchi di ingegneria sociale prendono di mira le vulnerabilità umane, puoi proteggerti adottando particolari precauzioni e soluzioni di carattere tecnico. 

Suggerimenti per proteggersi dagli attacchi di ingegneria sociale: 

• Controlla la presenza di caratteristiche di phishing nelle e-mail che richiedono informazioni sensibili o personali o che sembrano sospette.  
• Non condividere mai le tue password, i tuoi dati di accesso o le informazioni del tuo account tramite e-mail, SMS o telefono.  
• Agisci con cautela e controlla le pagine Web per assicurarti che siano autentiche, così come i link presenti negli SMS, nelle e-mail o sui social media. 
• Fai attenzione alle richieste di contatto da parte di sconosciuti sui social media come Facebook, Instagram o TikTok. Rimani altrettanto vigile quando interagisci con gli altri, soprattutto con i profili di estranei o di utenti sconosciuti. 
• Fai attenzione alle informazioni che riveli e alle persone a cui le riveli nelle tue reti private e professionali. 
• Utilizza l’autenticazione a due fattori (2FA) per rafforzare la protezione dei tuoi account online e imposta password univoche e complesse. Questo è un dettaglio importante perché, in questo modo, se i criminali informatici si impossessano dei dettagli di accesso di uno dei tuoi account online, gli altri tuoi account non saranno necessariamente a rischio. 
• Utilizza una soluzione di protezione completa come Avira Free Security con funzionalità chiave come protezione antivirus, protezione del browser e un gestore di password con funzionalità di autenticazione. 
• Proteggi anche i dispositivi mobili dei tuoi figli, ad esempio con Avira Antivirus Security per Android o Avira Mobile Security per iOS. 

¹ Per ricevere assistenza per il recupero dell’identità, contatta il servizio clienti (lun-ven, 9:00-16:00). Uno specialista ti richiamerà entro 48 ore.

²Dark Web Monitoring è disponibile solo per i residenti in Germania. L’indirizzo e-mail che hai utilizzato per l’acquisto del prodotto verrà monitorato immediatamente dopo l’attivazione. Accedi al tuo account per inserire altre informazioni da monitorare.

Questo articolo è disponibile anche in: IngleseTedescoFrancese