Social Engineering: cos’è e come riconoscerlo

28 aprile 2021Ultimo aggiornamento 15 settembre 2021
Tempo di lettura stimato: 4'
Le vulnerabilità più difficili da gestire non sono quelle informatiche, ma quelle umane. 
Parliamo di Social Engineering, la tecnica di fregare il prossimo con la psicologia


Cos’è il Social Engineering? 

È un termine che indica le tecniche psicologiche usate da chi vuole indurre altre persone a fare qualcosa che non dovrebbero fare: convincerle a fare clic su una mail, lasciare le proprie password o i dati di accesso alla banca, per esempio. Il Social Engineering ha uno scopo: convincere l’utente a fidarsi del contenuto del messaggio ricevuto e quindi eseguirne i comandi. Quando il sistema non ha bugs da sfruttare, il Social Engineering aggira antivirus e firewall puntando sulle debolezze e sulla curiosità delle persone

Non è un tema solo informatico. Esiste da sempre. Non serve avere un computer per truffare le persone o per convincere la vittima ad aprire la porta – fosse anche la porta più blindata del mondo – e gli esempi di Social Engineering popolano le cronache di tutti i giorni: un classico è il finto addetto della luce o del gas che si finge un tecnico ed entra in casa dell’anziano per rubare. 


Esempi di Social Engineering o Ingegneria Sociale

Il Social Engineering fa leva sulle emozioni umane: ignoranza, curiosità, paura, avidità, panico. Ecco alcuni esempi: 

  • La mail che promette sconti fantastici su prodotti costosi - “Hai vinto un iPhone a 1 euro!” - fa leva su desiderio e avidità.
  • Il messaggio da uno “studio legale” (realmente esistente) che ti cita in giudizio per conto di un suo cliente e ti invita a cliccare sul link per “scaricare la pratica legale” fa leva sul panico.
  • Il messaggio della “Polizia Postale” che compare all’improvviso mentre sei su un sito per scaricare illegalmente musica, fa leva sul senso di colpa: compare un pop-up che dice “Sta navigando illegalmente, clicchi qui per pagare la sanzione” e molta gente ci casca!
  • La mail dello spedizioniere che se segnala un pacco in arrivo e invita a cliccare per vedere di cosa si tratta fa leva sulla curiosità.

Altri esempi di Social Engineering, in una forma non squisitamente tecnologica o informatica, sono:

  • Il dumpster diving, cioè cercare nella spazzatura dell’azienda estratti conti, ricevute fiscali e così via.
  • Il tailgating, cioè entrare in un luogo protetto, fingendo di aver dimenticato la chiave di sicurezza o chiedendo una cortesia a un impiegato, oppure fingendosi un tecnico autorizzato della linea telefonica o un elettricista ed entrare nella rete aziendale.
  • Il baiting (esca), per esempio lasciare volutamente incustodito un oggetto - una chiavetta USB, un CD o un hard disk armati con un malware - come se fossero stati smarriti e contare sulla curiosità della vittima.

Le aggressioni sono aumentate esponenzialmente nel periodo del lockdown. Per dare la dimensione del problema, in un ospedale americano, durante la chiusura imposta per la pandemia di Covid-19, è arrivata una busta – con tanto di carta intestata di un'azienda di computer - che offriva uno sconto. Nella busta c’era una chiavetta USB con il listino dei prodotti dell’azienda e un malware. Fortunatamente è stato intercettato. Ma se alla reception avessero installato la chiavetta USB sul computer, sarebbe stato un disastro.


Social Engineering applicato al mondo della cybersecurity

Il phishing è l’applicazione delle tecniche del Social Engineering al mondo dell'informatica. Le aggressioni avvengono attraverso e-mail e siti fasulli – delle esche - per indurre la vittima a fare qualcosa che non dovrebbe fare: dare le credenziali della banca, cliccare e scaricare un allegato malevolo e così via. 


Il phishing ha ulteriori varianti. La più famosa è il “whaling”, la pesca della balena, cioè la pesca del pesce grosso: nelle aziende l’obiettivo degli aggressori sono di norma i C-Level (Chief Information Officer, Chief Human Resource Officer e così via). Poi ci sono anche lo smishing - nato dalla crasi tra SMS e phishing, cioè è il phishing realizzato con messaggi su dispositivi mobili - e il vishing, cioè il phishing vocale (da voice phishing) che è molto sottovalutato nelle aziende. In quest’ultimo caso l’aggressore usa il dialogo per indurre le persone a fare qualcosa al telefono. 

Nel 90% dei casi il phishing avviene via mail e ha lo scopo di veicolare un malware o carpire dei dati. La maggior parte di queste e-mail viene bloccata dai sistemi antispam. Ma non tutte. A volte la mail è così ben costruita da bucare il sistema antispam (ammesso che l’azienda ce l’abbia e che sia di qualità).

L’ultimo antispam è la testa dell’utente

Si stima che il 97% degli utenti di Internet non sappia riconoscere una mail di phishing (rapporto Clusit del 2019) e il lockdown - tra marzo e aprile - ha portato a un’accelerazione violenta di questo fenomeno. Gli aggressori hanno preso di mira soprattutto i lavoratori in smart working che usano piattaforme per le riunioni e le comunicazioni da remoto.

Sono state quantificate 230.000 campagne di spam, di queste il 6% ha interessato l’Italia. Gli argomenti più usati per adescare gli utenti sono stati: Covid-19 (con domini malevoli che contenevano il nome del virus), Coronavirus, coronavirusapp.site che chiede agli utenti Android di scaricare una App. 

Il problema sono soprattutto le mail: secondo un rapporto di YOROI, tra i vettori di attacco malware, le e-mail pesano per l’89%.
Si stima che ogni giorno vengano inviate 300 miliardi di mail. Di queste il 70-80% sono spam
E una parte di questo spam è phishing.


Articolo tratto dall’intervento dell’Ingegnere Giorgio Sbaraglia su RAISE Academy.


Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.


RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Ingegnere, Data Protection Officer, esperto in Cybersecurity

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy