Si tratta della parte chiave di attività criminali, spesso un passo importante nelle campagne di phishing. Ma cos’è esattamente il social engineering?
Il Social engineering è l’atto di manipolare le persone affinché compiano specifiche azioni a vantaggio di un attaccante. Potrebbe quasi sembrare il lavoro di un artista, e in effetti per qualche verso lo è.
Dato che il social engineering prende di mira i nostri punti deboli, può rivelarsi abbastanza efficace. E senza una formazione adeguata è difficile prevenirlo.
Se avete ricevuto almeno una volta un’email di phishing significa che avete già visto il social engineering all’opera. L’aspetto di social engineering di un attacco di phishing è il primo passo cruciale: far sì che la vittima apra un allegato dannoso o visiti un sito malevolo.
I malintenzionati hanno un bel po’ di armi nel loro arsenale per indurre i destinatari a intraprendere un’azione, ad esempio:
- Creare un senso di urgenza, magari definendo un termine ultimo per l’azione
- Impersonare qualcuno di importante come il CEO dell’azienda
- Menzionare eventi attuali per rendere i messaggi più credibili
- Nascondere link malevoli per farli sembrare legittimi
- Offrire incentivi come premi o promozioni
Il phishing non può funzionare senza che la prima fase – il social engineering – vi convinca a intraprendere un’azione. Ma il social engineering usato negli attacchi di phishing sta diventando sempre più mirato e sofisticato poiché gli attaccanti cercano di restare sempre un passo avanti agli utenti per perseguire obiettivi più grandi e più strategici.
Naturalmente il social engineering non si limita alle sole campagne di phishing.
Ci si può imbattere nel social engineering sui social network, di persona e anche per telefono – una chiamata apparentemente innocente che arriva alla vostra scrivania dal “supporto tecnico” per raccogliere alcuni dettagli apparentemente marginali su quale tipo di sistema operativo utilizzato dalla vostra azienda può effettivamente risultare un vero tesoro per un aggressore.
Può essere difficile evitare di cadere vittima del social engineering, ma ci sono alcune cose che bisogna sempre tenere a mente:
- Fidatevi del vostro istinto – se qualcosa vi sembra un phishing rallentate, non fate nulla e verificate la situazione. Per esempio, parlate di persona con il vostro capo se non siete sicuri che una mail provenga davvero da lui.
- Se qualcuno vi chiede informazioni sensibili come username e password al telefono, riagganciate. Un customer service reale o un supporto tecnico non vi chiederebbero mai tali informazioni.
- Evitate di cliccare su link all’interno di email o di aprire allegati, soprattutto se non li stavate aspettando. Ricordate che gli aggressori possono fingere facilmente di essere qualcuno che conoscete o con cui lavorate.
- Ricordate che siete voi ad avere il controllo. Non lasciatevi convincere da nessuno a fare qualcosa di cui non siete sicuri – ignorate la tattica della pressione che vuole indirvi a fare qualcosa e fate un passo indietro.
Infine, state in allerta e fate attenzione. Se qualcosa sembra troppo bello per essere vero, quasi sempre lo è.