Phishing e social engineering

  1. Alessio Arrigoni
  2. Blog
  3. Phishing e social engineering

Una regola base del web per prevenire qualsiasi tipo di attacco o violazione della privacy è di non fornire informazioni sensibili, a meno che non si è sicuri dell'identità dell'interlocutore e della sua necessità di avere accesso al tipo di informazioni richieste.

Questa è una regola che dobbiamo tenere sempre ben presente quando ci iscriviamo ad un sito internet o per telefono acquistiamo servizi legati a internet o alla telefonia.

In caso contrario il rischio è di subire attacchi di social engineering e phishing.

Che cosa è il social engineering?

Per lanciare un attacco di social engineering, ovvero di ingegneria sociale, l'attaccante utilizza tecniche di comunicazione e di persuasione per ottenere o compromettere informazioni riguardanti un'organizzazione e/o il suo sistema informatico. Un attaccante potrebbe mostrarsi gentile e rispettabile, fingere di essere un nuovo impiegato, un manutentore, un ricercatore ed offrire magari anche delle credenziali a supporto della sua identità. Comunque, attraverso delle domande, gli attaccanti potrebbero essere in grado di mettere assieme informazioni sufficienti per infiltrarsi nella rete aziendale. Se un attaccante non è in grado di mettere assieme gli elementi necessari da una sola persona, potrebbe contattarne altre e affidandosi alle informazioni avute dalla prima aumentare la propria credibilità.

Che cosa è il phishing?

Il phishing è a tutti gli effetti un attacco di social engineering. Scopo del phishing è inviare e-mail fasulle per attirare l’attenzione delle vittime ed indurle a fornire ciò che si desidera avere per usi illeciti. Il classico esempio è l’invio di e-mail in cui veniamo invitati ad inserire le credenziali di accesso del nostro conto corrente per sbloccarlo. A questo punto la frittata è fatta perché l'hacker ha pieno accesso al nostro conto corrente.

Fortunatamente le banche si stanno attrezzando per prevenire simili situazioni introducendo la doppia autenticazione. Ossia oltre ai classici nome utente e password che già possediamo, viene adottato un ulteriore livello di autenticazione che può essere dato dall’utilizzo del telefono cellulare, il quale tramite una telefonata ci viene fornito un codice temporaneo, oppure da un dispositivo OTP che genera di volta in volta password usa e getta da usare nel momento in cui accediamo.

Questo meccanismo rende più difficile la vita ad hacker che potrebbero entrare in possesso delle nostre credenziali.

Come evitare di cadere nel tranello?

  • Non fornite informazioni personali o riguardanti la nostra organizzazione compresa la sua struttura, la rete informatica, a meno che non siamo certi dell’identità dell’interlocutore.
  • Sospettare di telefonate da parte di sconosciuti, visite inaspettate da parte di tecnici, o e-mail da parte di soggetti che dicendo di appartenere a fantomatiche ditte chiedono di avere notizie circa la nostra organizzazione interna ed i nostri colleghi. Se necessario accertatesi preventivamente della loro identità contattando noi direttamente la loro ditta.
  • Non inviare informazioni sensibili su internet prima di aver accertato il livello di sicurezza del sito.
  • Non rivelare informazioni personali o finanziarie tramite e-mail e non rispondere a messaggi di posta elettronica che richiedono tali dati. Questo vuol dire pure non cliccare su link di tali messaggi.
  • Se non si è certi della legittimità dell'e-mail ricevuta o di quanto in essa contenuto, contattare direttamente il mittente della stessa. Non utilizzando ovviamente il numero di telefono specificato nella stessa ma bensì quello preso da un vecchio estratto conto. Maggiori informazioni sugli attacchi phishing sono reperibili on-line su blog e newsgroup.
  • Fare attenzione all'URL del sito. Siti malevoli possono sembrare identici a quelli legittimi ma l'URL potrebbe essere differente nello spelling o appartenere ad un dominio diverso (ad esempio .com anziché .net).
  • Installare ed aggiornare costantemente l'antivirus, il firewall e gli altri eventuali programmi specifici contro lo spam per mitigare il rischio di attacchi di questo tipo.

Che fare se si è purtroppo caduti nella trappola?

  • Se si ritiene di aver fornito informazioni sensibili circa la propria organizzazione riportarlo immediatamente ai propri superiori o alle divisioni appropriate preposte, eventualmente esistenti nell'ambito della propria unità o all'amministratore di rete che potrebbe così subito accorgersi di attività da questo derivanti.
  • Se si ritiene che il proprio conto corrente possa essere stato compromesso contattare la propria banca per bloccare immediatamente lo stesso e fare in modo che vengano subito modificati i dettagli compromessi.

Riportare l'accaduto alle autorità competenti mediante apposita denuncia.

L'autore

Mi sono laureato in informatica presso l'università degli studi di Milano. Da sempre mi occupo di informatica e programmazione.
Da qualche anno sono diventato un blogger e collaboro con alcune testate on-line.
Ho al mio attivo anche alcune pubblicazioni on-line.

Ti potrebbe anche interessare

Leggi le ultima novità dal blog.

La firma digitale

Leggi tutto...
La firma digitale è un metodo per attestare che un messaggio di posta elettronica che abbiamo ricevuto sia stato effettivamente inviato dal mittente dichiarato e che il suo contenuto non sia ...

Le più comuni tattiche per rubare le nostre password

Leggi tutto...
La protezione di un qualsiasi account online avviene mediante una password associata ad un nome utente. La maggior parte delle volte cerchiamo di evitare gli errori più banali e siamo convint ...

I più comuni errori di sicurezza informatica commessi quotidianamente

Leggi tutto...
I nostri dispositivi non saranno mai sicuri al 100% dagli attacchi hacker, o meglio lo sono solo nel momento in cui sono spenti e staccati dalla rete elettrica. Nemmeno se aggiorniamo costantemente ...

Le tecniche comunemente adottate per il furto di password

Leggi tutto...
La figura dell'”hacker" viene spesso associata ad un personaggio con cattive intenzioni che ruba o che minaccia furti di password o account personali. Anche se nel mondo esistono pe ...

Consigli utili per la sicurezza dei dati in azienda

Leggi tutto...
Ecco alcuni semplici accorgimenti per la sicurezza dei dati in azienda. 1 - Scegliere password complesse e cambiarle regolarmente Scegliere le password che non contengano informazioni personali. ...

Miti da sfatare in tema di sicurezza informatica

Leggi tutto...
Ci sono delle credenze popolari in tema di sicurezza informatica che possono influenzare negativamente il nostro comportamento quando siamo collegati a internet. Conoscere cosa è vero e cosa ...

Articoli recenti

Leggi le ultima novità dal blog.

Intelligenza artificiale: i pro e i contro

Leggi tutto...
Tema molto dibattuto in questi ultimi tempi: l’intelligenza artificiale. Argomento di grande rilevanza nella società odierna, che suscita sia entusiasmo che preoccupazione. Da un lato, ...

Cosa sono i dati basati su SSD ?

Leggi tutto...
Le SSD (acronimo di solid state drive, o unità di memoria a stato solido) sono delle unità di memoria particolarmente popolari nel mondo dei giocatori di videogiochi. Essendo i videogi ...

Perché utilizzare una VPN per l'accesso al cloud ?

Leggi tutto...
Il 2020 ha visto un enorme aumento del crimine informatico. Sebbene le persone non andassero in ufficio a causa delle preoccupazioni relative al COVID-19, molti si sono trovati inclini a maggiori ri ...

Errori comuni nell’archiviazione dei dati: quali sono e come evitarli ?

Leggi tutto...
Errori comuni nell’archiviazione dei dati: quali sono e come evitarli? Siamo nell’era digitale in cui di dati e le informazioni sul web sono una componente chiave di qualsiasi tipo di ...

Consigli sulla sicurezza: come il vostro computer potrebbe compromettersi nel momento peggiore

Leggi tutto...
La sicurezza del proprio dispositivo è oggi qualcosa a cui si deve prestare una particolare attenzione. La rete è invasa da sempre più pericoli, in grado di compromettere i vost ...

Scegliere una password sicura per qualsiasi account

Leggi tutto...
Al giorno d'oggi è estremamente facile subire un attacco ai propri account, specie se riguardano servizi bancari o postali o permettono di fare acquisti online. Per poter evitare che i ...