Che cos’è l’ingegneria sociale e perché dovresti preoccuparti?

“Chi è disposto a cedere un po’ di libertà per ottenere un po’ di sicurezza temporanea, non merita né l’una né l’altra” – Benjamin Franklin

L’ingegneria sociale è da tempo al centro dell’attenzione quando si parla di problematiche legate alla sicurezza informatica. È un argomento ampiamente discusso tra gli esperti del settore. Tuttavia, non tutti comprendono appieno la sua pericolosità e l’effettivo rischio che comporta.

Per i cybercriminali, l’ingegneria sociale si presenta spesso come la via più semplice ed efficace per aggirare i sistemi di protezione. L’avvento di internet ha potenziato enormemente le nostre capacità, connettendo dispositivi senza limiti di distanza. Nonostante i progressi nella comunicazione e nell’interconnessione, si sono create delle vulnerabilità che hanno aperto la strada a violazioni della privacy e delle informazioni personali.

Fin dai tempi antecedenti la tecnologia digitale, l’umanità ha sempre cercato di codificare e proteggere le informazioni. Un metodo noto fin dall’antichità è il Cifrario di Cesare, che consiste nel codificare i messaggi spostando le lettere all’interno dell’alfabeto. Ad esempio, “ciao mondo” spostato di una posizione diventa “djbp npnepo”. Per decifrare “djbp npnepo”, il destinatario dovrà spostare le lettere indietro di una posizione.

Nonostante la sua semplicità, questa tecnica di cifratura è stata in uso per quasi 2000 anni!

Oggi disponiamo di sistemi di sicurezza più sofisticati e robusti, ma la sicurezza resta una sfida costante.

È fondamentale riconoscere le numerose tecniche utilizzate dagli hacker per ottenere informazioni sensibili. Analizziamo brevemente alcune di queste tattiche per capire perché l’ingegneria sociale costituisce una minaccia tanto seria.

Attacchi Brute Force e Dictionary

Un attacco di forza bruta prevede l’utilizzo da parte di un hacker di software avanzati per tentare di penetrare un sistema di sicurezza provando tutte le possibili combinazioni di caratteri per una password. L’attacco dictionary, invece, sfrutta un elenco di parole comuni (presenti in un dizionario), sperando di trovare corrispondenza con la password dell’utente.

Oggi, gli attacchi brute force, pur essendo potenti, sono meno efficaci a causa della complessità degli attuali algoritmi di sicurezza. Ad esempio, se la password del mio account è ‘[email protected]!!!’, composta da 22 caratteri, un computer dovrebbe calcolare 22 fattoriale combinazioni per decifrarla. Un’operazione estremamente complessa.

Inoltre, gli algoritmi di hashing trasformano la password in un hash per renderla ancora più difficile da indovinare con un sistema brute force. Ad esempio, la password precedente potrebbe essere trasformata nell’hash d734516b1518646398c1e2eefa2dfe99. Questo aggiunge un livello di sicurezza ancora più elevato. Approfondiremo le tecniche di sicurezza più avanti.

Se possiedi un sito WordPress e vuoi proteggerlo da attacchi di forza bruta, consulta questa guida.

Attacchi DDoS

Fonte: comodo.com

Gli attacchi Distributed Denial of Service (DDoS) si verificano quando un utente viene bloccato nell’accesso a risorse internet legittime, sia dal lato dell’utente che dal servizio a cui sta cercando di accedere.

Un attacco DDoS può causare perdite di guadagni o di utenti. Per realizzare un attacco di questo tipo, un hacker può prendere il controllo di diversi computer su internet, creando una “BotNet” da utilizzare per destabilizzare la rete o per inondarla con pacchetti di informazioni non utili, causando un sovraccarico e un malfunzionamento delle risorse e dei nodi.

Phishing

Il phishing è una tecnica di hacking in cui l’attaccante cerca di rubare le credenziali di un utente creando pagine di accesso false che imitano siti reali. Di solito, l’attaccante invia un’email ingannevole, che sembra provenire da una fonte affidabile come una banca o un social media, con un link che indirizza l’utente a una pagina per inserire le proprie credenziali. I link sembrano collegare a siti web legittimi, ma in realtà sono fasulli.

Ad esempio, in passato un link di phishing utilizzava il nome paypai.com per indurre gli utenti Paypal a fornire i propri dati di accesso.

Un tipico esempio di email di phishing:

“Gentile utente,

Abbiamo rilevato attività sospette nel tuo account. Clicca qui per modificare immediatamente la tua password e evitare che il tuo account venga bloccato.”

C’è una probabilità del 50% che tu sia già stato vittima di un tentativo di phishing. Non ti è mai capitato di accedere ad un sito web e, dopo aver cliccato su “Login/Accedi”, essere riportato alla pagina di accesso? Se la risposta è sì, sei stato vittima di phishing.

Come funziona l’Ingegneria Sociale?

Nonostante gli algoritmi di crittografia diventino sempre più difficili da violare e sempre più sicuri, gli attacchi di ingegneria sociale sono ancora estremamente efficaci.

Un ingegnere sociale raccoglie informazioni su di te per poter accedere ai tuoi account online e ad altre risorse protette. Generalmente, l’attaccante induce la vittima a rivelare volontariamente informazioni personali attraverso la manipolazione psicologica. Un aspetto preoccupante è che queste informazioni non devono necessariamente provenire direttamente da te, ma anche da qualcuno che ti conosce.

Di solito, l’obiettivo non è l’ingegneria sociale in sé, ma ciò che si ottiene grazie ad essa.

Ad esempio, all’inizio di quest’anno una nota compagnia di telecomunicazioni canadese è stata protagonista di una notizia riguardante un attacco di ingegneria sociale ai danni di un suo cliente. Il personale del servizio clienti è stato manipolato per rivelare i dettagli della vittima, portando ad un furto di 30.000 dollari attraverso un massiccio attacco di sim swapping.

Gli ingegneri sociali sfruttano le insicurezze, la negligenza e l’ignoranza delle persone per indurle a rivelare informazioni importanti. In un’epoca in cui il supporto remoto è ampiamente utilizzato, le aziende sono sempre più esposte a questo tipo di attacchi a causa dell’inevitabilità dell’errore umano.

Chiunque può essere vittima dell’ingegneria sociale, e la cosa più allarmante è che potresti essere attaccato senza nemmeno accorgertene!

Come proteggersi dall’ingegneria sociale?

  • Evita di utilizzare informazioni personali come la data di nascita, il nome del tuo animale domestico o il nome di tuo figlio come password.
  • Non utilizzare password deboli. Se hai difficoltà a memorizzare password complesse, utilizza un gestore di password.
  • Cerca le incongruenze più evidenti. Un ingegnere sociale non conosce tutti i tuoi dati per attaccarti subito. Tenta di carpire le informazioni corrette fornendoti quelle errate, sperando che tu le corregga fornendo le informazioni giuste. Non farti ingannare!
  • Verifica l’autenticità del mittente e del dominio prima di interagire con le email.
  • Contatta subito la tua banca se noti attività sospette nel tuo conto.
  • Se perdi improvvisamente il segnale del tuo cellulare, contatta immediatamente il tuo operatore. Potrebbe trattarsi di un attacco di sim swapping.
  • Attiva l’autenticazione a due fattori (2FA). Servizi che la supportano.

Conclusione

Questi consigli non eliminano del tutto il rischio di attacchi di ingegneria sociale, ma aiutano a rendere più difficile la vita ad un hacker che volesse prenderti di mira.