L'anello debole della sicurezza informatica è rappresentato dall'utente: come dimostrano sempre più report redatti da analisti del settore, per gli hacker diventa sempre più semplice riuscire a bucare reti o sistemi informatici sfruttando la buona fede degli utenti.
Sono gli utenti, molto spesso inconsapevolmente, a rivestire il ruolo di vettore virale informatico: basta cliccare su una falsa pubblicità, leggere una fake news per ritrovarsi con il computer bloccato da ransomware o virus. O, nei casi peggiori, con il proprio account di posta elettronica o con il profilo social "bucato" dagli hacker. A rischio sono le nostre informazioni personali.
Le cosiddette tecniche di social engineering, metodologia di attacco informatico che non prevede utilizzo di malware o intrusioni in altri sistemi informatici, vengono attivate tramite la persuasione umana e la psicologia.
L'ingegneria sociale è una tecnica di phising avanzata. L'obiettivo non è individuare i bug del sistema per riuscire ad hackerarlo ma, l'obiettivo è puntare sul fattore umano cercando di manipolare digitalmente le persone in modo che cedano volontariamente i loro dati personali (o permettano di accedere alle loro risorse informatiche).
Un attacco di ingegneria sociale si compone di diversi passaggi.
- L'attaccante studia la vittima: deve reperire informazioni che siano utili per acquistare la sua fiducia e fargli abbassare la guardia.
- Una volta che si è entrati in confidenza, si possono mettere in tavola le "carte" che preparano all'attacco: l'hacker fa leva su alcuni aspetti psicologici della vittima, spingendolo a compiere le azioni desiderate. Solitamente si utilizza l'autorevolezza (dimostrandosi, ad esempio, esperti di un particolare settore come quello della sicurezza informatica), ma anche sentimenti come paura, senso di colpa e compassione possono tornare più che utili per i propri scopi.
- L'ultimo step è quello relativo all'attacco informatico vero e proprio: grazie a tecniche di phishing o baiting si truffa definitivamente l'ignara vittima, costringendola a scaricare malware oppure cedere informazioni personali e riservate.
Nel caso del phishing , il più noto anche agli utenti comuni, il pirata informatico invierà messaggi (via posta elettronica o social network) utilizzando le informazioni raccolte nelle prime due fasi dell'ingegneria sociale. All'interno del messaggio l'utente-obiettivo potrà trovare un link verso un sito internet compromesso, oppure gli potranno essere richiesti dei dati personali da inviare via messaggio.
Il baiting ("adescamento") è invece preceduto da una fase nel corso della quale si crea un desiderio implicito nella vittima, soddisfatto (o almeno così deve apparire) successivamente grazie al contenuto di un messaggio di posta elettronica o di messaggistica istantanea. Si può trattare, ad esempio, di sconti molto elevati su smartphone e altri prodotti cercati da tempo, oppure informazioni riservate particolarmente appetibili.
I consigli per difendersi da attacchi di ingegneria sociale sono:
- Evitare di aprire email, allegati e cliccare su link di cui non sono si conosce o non si è sicuri della provenienza e del mittente o che risultano sospetti.
- Evitare di fornire informazioni personali – come l'indirizzo di casa, le password di accesso alla posta elettronica o al banking online – via email o messaggi su WhatsApp.
- Non fidarsi di notizie apparentemente incredibili: in entrambi i casi ci sono moltissime probabilità che si tratti di falsi costruiti ad hoc.
Il miglior modo per prevenire gli attacchi di ingegneria sociale è usare il buon senso e prestare attenzione ai messaggi ed alla comunicazione che riceviamo ogni giorni tramite social, email ecc..