Social engineering: cos’è e come proteggersi

Social engineering: cos’è, tipi di attacchi e come proteggersi

Data di pubblicazione: 7 Agosto 2023

Il criminale informatico moderno utilizza tecniche e tecnologie sempre più sofisticate, per poter sferrare attacchi dannosi e rubare dati, informazioni preziose o per manomettere sistemi informatici. Di pari passo, anche gli utenti e le aziende di tutto il globo devono rimanere preparati rispetto agli avanzamenti delle strategie e dei sistemi di sicurezza contro il cyber crime.

Una delle minacce più pericolose e comuni per le imprese odierne è il social engineering. Questo insieme di tecniche, infatti, mira a manipolare, in modo sottile e mellifluo, gli utenti affinché cedano password, credenziali di accesso o anche informazioni relative ai conti bancari.

Una minaccia sempre più raffinata, che fa leva sulla psicologia della persona e che deve essere contrastata con coscienza. Scopriamo cos’è il social engineering, come funziona, quali sono gli attacchi più comuni e quali comportamenti seguire per garantire protezione ai dati.

Indice dei contenuti

Social engineering: significato e come funziona

Il social engineering, o ingegneria sociale, racchiude un insieme di tecniche di attacco che hanno alle spalle un minuzioso studio del comportamento delle persone. I criminali analizzano gli utenti e le loro abitudini di navigazione, per comprenderne il comportamento e sferrare un attacco quanto più efficace possibile. Gli attacchi di social engineering mirano a convincere le persone a fornire informazioni confidenziali (password, dati bancari e personali).

Ma gli attacchi di social engineering possono essere sferrati anche con il fine di accedere alla rete aziendale, al computer o a qualsiasi altro device, installando malware e altri software dannosi. L’utilizzo del social engineering è tanto frequente quanto risulta semplice, per il criminale, riuscire a convincere la persona a rivelare i propri dati personali. Le tecniche da hacker, infatti, risultano essere più complesse (occorre avere una capacità e una formazione di livello superiore).

Il social engineering fa leva sulle vulnerabilità della vittima, sulla sua abitudine a dare fiducia e anche sulla mancanza di competenze/conoscenze nell’utilizzo dei device. Il criminale studia la vittima e le relazioni che la stessa intrattiene online e offline, sia che si tratti di un utente singolo che di un’azienda (in questo caso, il criminale studia l’impresa in generale effettuando un’analisi anche nei riguardi dei suoi dipendenti).

Una volta raccolto sufficiente materiale, il criminale studia una strategia adatta al raggiungimento dello scopo: rubare l’identità di una persona, estorcere denaro, trafugare dati personali o impossessarsi della rete informatica.

Tipologie di attacchi del social engineering

Nessuno, dall’utente medio all’azienda, può ritenersi totalmente immune da un attacco informatico. La sicurezza informatica, al giorno d’oggi, è un vero e proprio obiettivo che va perseguito quotidianamente, con grande attenzione. Così come le tecniche di attacco si sono evolute, allo stesso modo i sistemi di sicurezza sono stati potenziati in base ai cambiamenti nella strategia degli attaccanti.

Il social engineering prevede diversi canali e modalità di attacco, grazie ai quali il criminale può danneggiare la propria vittima. Tra i canali che il criminale sfrutta per sferrare un attacco rientrano gli smartphone, le e-mail, i siti web, i social media, i servizi cloud e le app di messaggistica istantanea. Ma molti attacchi si svolgono nel mondo reale, senza la necessità di coinvolgere dispositivi elettronici o Internet, non rientrando quindi nel concetto di cyber crime.

Numerose le tipologie di attacchi di social engineering che il criminale può mettere in atto: vediamo quali sono le più diffuse.

Phishing

Uno dei metodi più utilizzati in ogni angolo del mondo: questa tecnica di social engineering sfrutta la posta elettronica per trafugare dati personali e informazioni, estorcendole con l’inganno all’utente. Il criminale, mediante una comunicazione e-mail, truffa la vittima convincendola a cliccare su un link fraudolento o a scaricare un allegato infetto.

Generalmente, il criminale convince la persona fingendosi un’organizzazione conosciuta (come una banca o un’associazione, ad esempio), inviando l’e-mail da un account apparentemente attendibile. Le pagine web fraudolente vengono strutturate per trarre in inganno la vittima, assomigliando in tutto e per tutto alle pagine web originali.

Una variante del phishing attack è lo spear phishing. Trattasi di un attacco phishing “personalizzato”, che richiede all’hacker uno studio certosino della vittima, delle sue abitudini e delle sue preferenze. Il phishing attack, invece, prevede l’invio di una comunicazione “esca” in modo massivo.

Un’ulteriore variante di un classico attacco phishing è chiamata vishing, ovvero un attacco voice phishing. Questo genere di attacco avviene mediante una chiamata o una comunicazione vocale. Rientra nel novero delle truffe telefoniche.

Oltre alla posta elettronica, negli ultimi anni uno dei canali più utilizzati per sferrare attacchi di phishing è anche l’SMS (in questo caso, si tratta di smishing), o canali di instant messaging come Telegram e WhatsApp.

Tailgating

Questo genere di attacco fa leva sulla familiarità tra attaccante e vittima. In questo caso, si tratta di un’intrusione fisica: il criminale si insinua all’interno di uno spazio in cui non può entrare, seguendo una persona autorizzata o posizionandosi immediatamente alle sue spalle per poter scoprire le password di accesso alle aree off-limits.

Baiting

In questo caso, il criminale utilizza un’esca attraverso la quale riesce ad attirare la curiosità dell’utente. L’hacker sfrutterà un supporto di memorizzazione (dalla chiavetta USB all’hard disk) per diffondere un malware, un ransomware o un codice maligno all’interno della rete, inducendo la vittima a inserire il dispositivo nel proprio pc.

Trashing o dumpster diving

Un’altra tecnica di social engineering è il trashing, chiamato anche dumpster diving: il criminale setaccia l’immondizia della vittima alla ricerca di estratti conto, bollette e altri documenti che contengono informazioni sensibili. Questa tecnica si sposta anche nell’universo digitale nel momento in cui l’hacker trova sistemi non in uso (vecchi smartphone, tablet, laptop o supporti di memorizzazione). Questi ultimi, se resettati, possono essere utilizzati per trafugare tutti i dati depositati al loro interno.

Pretexting

Il criminale contatta la vittima al telefono, creando un pretesto (fingendosi, ad esempio, un dipendente di un ufficio pubblico o di una banca) per poter instaurare una relazione empatica con la vittima. Lo scopo di questa tecnica di social engineering è quello di ottenere dati personali e credenziali da parte della vittima stessa.

Qui pro quo

Una tecnica sofisticata, che prevede una sorta di scambio: il criminale offre un supporto pratico alla vittima al posto di un benefit. Ad esempio, fingendosi un tecnico IT, il criminale contatta uno o più dipendenti dell’azienda chiedendo, in cambio di supporto professionale, informazioni come le loro password. Oppure, può chiedere loro di disattivare temporaneamente l’antivirus, installando liberamente un programma che contiene un malware.

Impersonificazione

Un tipo di attacco di social engineering in costante diffusione: il criminale prende il posto di qualcun altro, impersonando un soggetto fisico (generalmente, il soggetto scelto ha un ruolo istituzionale) o digitale. L’hacker finge di essere una persona autorevole, con cui la vittima ha una relazione, per poter accedere alla rete aziendale (mediante e-mail fraudolente, chiamate o altri mezzi di comunicazione).

Intercettazioni

La tecnica dell’eavesdropping, ovvero delle intercettazioni, prevede un insieme di attività tese a intercettare telefonate, e-mail, messaggi e comunicazioni tra due utenti. Questo attacco può essere “semplice” (prevedendo la sola attività di “ascolto”) oppure più complesso (come nei casi di attacchi Man-in-the-middle, durante i quali il criminale si inserisce nella conversazione tra due vittime).

Esempi tipici di attacchi

Una delle migliori strategie per difendersi dagli attacchi di social engineering è quella di prevenirli, conoscendone il funzionamento. È fondamentale, quindi, sapere quali sono i modelli di comportamento tipici di un hacker che ha scelto l’ingegneria sociale per sferrare un attacco. Vediamo qualche esempio concreto per aumentare la consapevolezza rispetto al problema:

furto delle credenziali di accesso a Office 365. Mediante un attacco phishing, gli hacker possono truffare la vittima fingendo di lavorare per il servizio clienti di Office. La comunicazione, quindi, può contenere una finta offerta a tempo oppure la richiesta di modificare la password di accesso: in entrambe i casi, quando l’utente clicca sul link fraudolento, viene reindirizzato su una pagina malevola che viene utilizzata per rubare le credenziali di accesso a Office 365. Il Dipartimento del Lavoro degli Stati Uniti (DoL) ha subito un attacco simile;
risorse umane. L’hacker finge di essere un dipendente delle risorse umane, inviando una e-mail critica nella quale comunica la possibilità di un licenziamento. L’utente, spaventato, clicca sul link fraudolento che potrebbe far partire direttamente il download di un malware. Oppure, nel caso reale avvenuto a oltre 50.000 utenti in tutto il mondo, la vittima viene indirizzata su un finto sito di login di Zoom, progettato con il fine di rubare le password di Zoom della vittima;
trasferimento di denaro. L’hacker potrebbe rubare l’identità di un dipendente di rilievo dell’azienda. Ad esempio, l’amministratore delegato oppure il responsabile commerciale. Fingendo di essere una personalità importante, invierà una richiesta urgente di trasferimento di denaro: il dipendente truffato, credendo di svolgere il proprio lavoro e seguendo le indicazioni del responsabile, trasferirà il denaro direttamente sul conto del criminale. FACC, azienda che si occupa della produzione di aeromobili, ha subito la truffa BEC (Business E-mail Compromise), perdendo ben 42 milioni di euro;
accesso al computer. Il criminale può sfruttare una leva importante: l’inconsapevolezza della vittima. Mediante una comunicazione (verbale o scritta) può convincere la persona a cedere le credenziali di accesso, allertandolo della presenza di un virus all’interno del dispositivo. La vittima esegue l’azione indicata dal criminale (chiamare un numero, fornire le password, cliccare su un link) credendo di poter rimuovere il virus. In realtà, inconsapevolmente sta offrendo una porta di accesso al computer o alla rete aziendale.

Come individuare e proteggersi da attacchi di social engineering

Per poter riconoscere un attacco di social engineering, è importante prestare la massima attenzione a tutte le possibili interazioni con utenti (conosciuti e sconosciuti). Quando l’interlocutore cerca di ottenere password, dati finanziari o personali, probabilmente ci troviamo di fronte a un tentativo di truffa.

Gli istituti e gli enti legittimi, infatti, non operano in questo modo: non richiedono dati mediante e-mail oppure telefonate. Un altro metodo per sventare un attacco di social engineering è quello di controllare sempre i mittenti delle e-mail ricevute, verificando gli indirizzi per comprendere se si tratta di un indirizzo legittimo o meno.

L’anello debole dell’azienda è l’uomo: esso, infatti, rappresenta il veicolo mediante il quale il criminale può portare a termine con successo un attacco di social engineering. Pertanto, per la protezione dei dati e per preservare l’azienda dai rischi legati all’ingegneria sociale e al cyber crime, è importante offrire una formazione continua ai propri dipendenti, sensibilizzandoli rispetto al programma di sicurezza informatica e privacy.

L’utente deve essere consapevole dei rischi e delle modalità di azione di un cyber criminale. L’ingenuità di un unico individuo può provocare danni inimmaginabili all’intera organizzazione.

Non essendo uno strumento fisico, ma rientrando nel concetto di tecnica di persuasione, non è possibile rimuovere il social engineering dal proprio dispositivo. Occorre seguire alcuni modelli di comportamento per prevenire il social engineering e proteggersi da un possibile attacco:

non accettare offerte non richieste;
non affrettarsi a cliccare su collegamenti forniti da utenti sconosciuti o indirizzi e-mail non certificati;
non accettare o scaricare file provenienti da indirizzi illegittimi;
verificare sempre la legittimità dei mittenti;
non fornire mai informazioni sensibili (password, credenziali d’accesso, dati bancari);
installare un buon software antivirus, che deve essere rigorosamente aggiornato;
aggiornare le patch di sicurezza ogni volta che viene rilasciata una nuova versione.

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
__kla_id	2 years	Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Social engineering: significato e come funziona