Navigaweb.net

Migliori siti, programmi e applicazioni su Navigaweb.net

Programmi Guide PC Tecnologia Sicurezza Windows Rete iPhone Android Facebook Immagini Musica Giochi

Difendersi da tecniche di ingegneria sociale per rubare dati personali e truffare

Pubblicato il: 8 agosto 2012 Aggiornato il:
Spiegazione delle tecniche di ingegneria sociale in campo informatico: modi per difendersi dai furti di dati e per riconoscere inganni e truffe
tecniche di ingegneria sociale È possibile installare il firewall più potente e più costoso, l'antivirus più aggiornato e celebrato, istruire dipendenti o familiari sulle procedure di sicurezza di base e l'importanza di scegliere password complesse; ma nulla di tutto questo può proteggere dalle cosiddette tecniche di ingegneria sociale.

Dal punto di vista dell'ingegneria sociale, la persona stessa è l'anello debole nella catena di misure di sicurezza.
Gli esseri umani, non solo sono suscettibili all'errore, ma sono anche vulnerabili da attacchi mirati da parte di individui che sperano di convincerli a rinunciare a informazioni sensibili.
Diventa allora interessante vedere quali sono le principali tecniche sociali utilizzate per ingannare e frodare e, soprattutto, come proteggersi nella vita di tutti i giorni dagli inganni, durante l'uso di un computer su internet.

Il social engineering è l'atto di manipolare una persona per accedere ai suoi dati sensibili ed è uno dei principali reati informatici e crimini via internet.
La differenza tra attacchi di ingegneria sociale e, per esempio, un hacker che tenta di accedere ad un sito web protetto è la scelta di strumenti utilizzati.
Un hacker è un esperto di tecnica informatica che cerca punti deboli nei software mentre un ingegnere sociale va ad usare soprattutto tecniche psicologiche per costringere la vittima a dare il suo consenso nel condividere informazioni private.
Siccome qui si parla di internet, è ovvio che questo tipo di attacchi non proviene da un individuo identificabile.
L'attacco può essere escogitato usando strumenti quali le mail, i social network, le chat ed il telefono.

Di gran lunga, la tecnica di inganno e furto dei dati più utilizzata è il phishing.
Utilizzando l'invio di Email, si cerca di convincere la vittima a condividere una password mettendogli paura (ad esempio: il tuo conto online sarà disattivato se non inserirai la password in questa pagina) oppure con false promesse (complimenti, hai vinto...) .
Nella guida alla sicurezza online contro hacker, phishing e cyber-criminali è spiegato come difendersi dal phishing dalle altre tecniche di hacking che, oggi, si sono fatte molto più furbo e subdolo.
Una variante del phishing è quella via telefono che si basa sullo stesso principio anche se molto più rara (in Italia) e difficile da attuare.
Tramite Email si chiede alla persona di chiamare un numero e, a voce, comunicare dati come il numero di carta di credito o le password di accesso al conto bancario.

Un'altra tecnica molto furba per rubare dati e mettere in atto truffe è il Baiting che basa il suo successo nella più grande debolezza o forza della natura umana, la curiosità.
Ad esempio, si potrebbe trovare una penna USB per terra oppure un CD con una bella targhetta invitante, in cui si nasconde un virus che potrà essere utilizzato dal truffatore per accedere e spiare, di nascosto, al computer della vittima.

Altre tecniche di ingegneria sociale coinvolgono certamente Facebook, di cui scrissi un articolo "contro truffe e inganni su Facebook" da cui tanti virus si sono diffusi con annunci e inganni come "vedi chi visita il tuo profilo" oppure come "è stata pubblicata una tua foto, guardala cliccando qui!".
Begli esempi di ingegneria sociale ed inganni attuabili tramite Facebook sono quelli raccontati nel post su come vedere profili privati su Facebook.

La miglior difesa contro questi attacchi psicologici è la consapevolezza che nessuno regala nulla per nulla e, quindi, la diffidenza verso tutto quello che è sconosciuto.
Senza esagerare nella paura, è importante sempre rimanere informati riguardo quanto viene offerto o promesso e pensare bene prima di dare una qualsiasi risposta, abituandosi anche a riconoscere gli inganni palesi.

Per quanto riguarda i dati digitali conviene usare alcune accortezze.
Ad esempio, se si deve buttare una penna USB, una scheda di memoria, un hard disk oppure un intero computer che non funziona, conviene assicurarsi che esso non contenga file e dati importanti o sensibili come le password, documenti privati o foto personali.
In un altro articolo sono elencati i programmi per cancellare definitivamente i dati da un hard disk o chiavetta USB.
Se si butta un disco, anche se non funzionasse, sarebbe anche consigliabile distruggerlo e farlo a pezzi.

Sembra scontato ma è bene stare attenti a non lasciare mai il computer portatile incustodito e aperto, non bloccato con una password che deve essere abbastanza forte e complessa.
Inoltre, se il portatile venisse rubato, bisognerà stare molto attenti a modificare immediatamente le password di accesso ai vari servizi internet eventualmente memorizzate nel browser.
Per questo motivo strumenti come i programmi gestori di password sono sempre utili e potenti per evitare sorprese di questo tipo.
Ancora più pericolosi sono gli smartphone Android, gli iPhone ed i cellulari potenti che vengono utilizzati più dei computer per inviare Mail ed acedere alle applicazioni web con password memorizzate.
Mai lasciare un cellulare senza password di blocco e potrebbe essere anche consigliabile installare un antifurto nel telefono che lo blocca e cancella la memoria.
Sulle pennette USB, facili da perdere, è sempre utile installare un programma come TrueCrypt per proteggere i dati delle chiavette con password o BitLocker che protegge hard disk e penne USB.
Se si trovasse un Cd o una penna USB per terra, prima di utilizzarla, ricordarsi di trattarla con il massimo sospetto e la massima prudenza e ricordare che una banca non chiederà mai dati di accesso al conto via Email o via telefono.

In conclusione, direi che, come nella vita reale, anche su internet e nell'uso del computer si può essere manipolati con facilità ed è importante tenere sempre gli occhi aperti e stare lontano dalle tentazioni di sperimentare senza conoscere.
Se avete subito questa tipologia di attacchi psicologici o ingannatori, fateci sapere cosa ne pensate in un commento qui sotto.

Scrivi un commento

Per commentare, si può usare un account Google / Gmail.
Se vi piace e volete ringraziare, condividete! (senza commento)
Un Commento
  • pianetavivo
    16/9/14

    In questo articolo finora non è espresso il phishing telefonico, da parte di venditori più o meno autorizzati da aziende fornitrici di servizi ad es. telefonici o d'acqua e gas ed elettricità.
    Tipicamente chiamano da centralini anonimi o comunque non richiamabili.
    Inoltre a voce possono raccontare qualsiasi frottola e cercare di fingersi umani, tanto insistentemente che mi viene sospetto che non siano solo di una certa nazione mediterranea ma proprio robot.
    Tipicamente cominciano col dire che non vogliono vendere bensì intervistare.
    Esempio: una voce di ragazza sostiene che non farebbe altro che prenotare la possibilità di un contratto scontato rispetto al prezzo indicato sul web, di una compagnia telefonica e ISP dichiarata ultraveloce, ultrafast... 100 Mbps o robe del genere,
    MA per espletare il contratto fonico richiede di preparare il codice di migrazione, ma tale codice autorizza la conclusione della migrazione, non solo la prenotazione.
    Inoltre magari avrebbe chiesto il codice della carta di credito per un ulteriore sconto.