Cosa fare per evitare le truffe su internet

L’ ingegneria sociale (social engineering) è l’insieme di tecniche che, sfruttando la forza di persuasione e l’ingenuità delle vittime,  hanno il fine di manipolare le persone allo scopo di aggirare la sicurezza e rubare i dati personali.

Photo credit: Elena Gatti Photography / Foter / CC BY

Photo credit: Elena Gatti Photography / Foter / CC BY

[UPDATE GENNAIO 2016]Ransom32: il malware che si finge Chrome.

Il ransomware Ransom32, diffuso in Italia, si presenta come un file di installazione di Chrome con estensione RAR. Il file si auto-estrae creando un collegamento nella cartella di Avvio automatico “ChromeService”. Ransom32 viene eseguito ad ogni avvio del sistema crittografando i files del PC. Il virus chiede un riscatto in Bitcoin per riottenere l’uso dei files infetti. Per proteggersi, al momento, consigliamo di effettuare un backup della propria macchina e conservarlo con estrema cautela.

Articoli correlati:

Tra le tecniche di ingegneria sociale quella più si riscontra è il Phishing, una frode informatica che avviene per lo più tramite email. Il malintenzionato effettua un invio massivo di messaggi di posta elettronica che imitano, nell’aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; tali messaggi fraudolenti richiedono di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio.

Esistono altre tecniche, come il Baiting (tecnica basata sulla curiosità delle persone, consiste nel lasciare in giro chiavette usb o cd contenente malware facendo in modo che un malcapitato lo trovi) e il Vhishing (Interacting Voice Response – è la fusione del VoIP con il Phising, questa tecnica  avviene tramite telefono con finti call center che cercano di convincere tramite l’inganno di lasciare propri dati personali).

Le tecniche di ingegneria sociale si suddividono in 4 fasi:

  1. Approccio: prendere contatto con la vittima e studiarne tutte le possibili informazioni. In questa fase l’ingegnere sociale si guadagna la fiducia dell’utente
  2. Allerta: creazione di una situazione di emergenza che stimola la vittima a rilasciare dati sensibili
  3. Furto: in questa fase le informazioni rilasciate vengono prelevati dall’ingegnere sociale
  4. Diversione: frase o situazione che rassicura la vittima sulla risoluzione della falsa emergenza creata in precedenza

Ma qual è il punto debole della sicurezza? Noi stessi!

Gli esseri umani infatti, sono suscettibili all’errore e vulnerabili da attacchi mirati che li convincono a condividere informazioni sensibili.

Come difendersi dalle tecniche di ingegneria sociale?

Per non farsi ingannare è possibile seguire alcuni accorgimenti:

  • Quando ricevi una email, controlla sempre la veridicità dell’indirizzo
  • Non accedere a siti contenenti dati personali da link esterni. Digita direttamente l’indirizzo web corretto
  • Se ricevi un email che richiede di inserire dati personali per un aggiornamento, si tratta di un tentativo di fronde. Nessun ente ufficiale chiederà dati personali tramite email
  • Se nella mail riscontri errori di ortografia più o meno banali, presta particolare attenzione
  • Quando utilizzi social network, potresti imbatterti in post che indirizzano a siti esterni malevoli, verifica l’indirizzo web prima di aprirlo
  • Navigando sul web è facile imbattersi in avvisi che recitano frasi  di vincita come:“Complimenti!! Sei il 999,999 visitatore.. hai vinto..”. Se ti capitano pop up di questo tipo evita di aprire la pagina, perché “nessuno ti regala nulla per nulla!”
  • Se ti capita di trovare un dispositivo di archiviazione di massa come CD o penne USB, non aprire i file contenuti all’interno, potrebbero contenere software malevolo
  • Proteggi i tuoi dati utilizzando password complesse che non contengono informazioni personali e composte da lettere maiuscole, minuscole, punteggiatura e numeri
  • Prima di inserire dati personali controlla che i siti web siano certificati https. Un sito certificato presenta l’url con “https://” in verdeingegneria sociale  mentre un sito malevolo si presenta con la scritta “https://” rossa e barrato ingegneria sociale

Conclusioni

Il punto debole della sicurezza è l’utente, infatti senza le giuste conoscenze e accorgimenti è facile farsi ingannare dalle varie tecniche di ingegneria sociale.

Share

Daniele Benetti

Sales System Engineer, System Administrator, Database Administrator, Security Manager, Security Evangelist and Project Manager. Particularly interested in Network and Security Projects.