In senso più generale, qualsiasi tipo di manipolazione collegata alla psicologia comportamentale può essere considerata social engineering, o ingegneria sociale. Tuttavia, il concetto non è sempre correlato ad attività criminali o fraudolente. Infatti, il social engineering viene studiato e usato ampiamente in una varietà di contesti, in campi come scienze sociali, psicologia e marketing.
Quando si tratta di sicurezza informatica, il social engineering presenta ulteriori motivazioni e fa riferimento a un insieme di attività malevoli che tentano di manipolare le persone, portandole a fare la mossa sbagliata, come fornire informazioni personali o confidenziali che possono essere usate più tardi contro di loro o contro la loro impresa. Il furto d’identità è una conseguenza comune di questi tipi di attacchi e in molti casi porta a notevoli perdite finanziarie.
Il social engineering viene spesso presentato come una minaccia informatica, ma il concetto esiste da molto tempo e il termine può essere utilizzato anche per indicare schemi fraudolenti nel mondo fisico, i quali coinvolgono solitamente l’impersonificazione di autorità o esperti informatici. Tuttavia, lo sviluppo e l’adozione di internet hanno consentito agli hacker di effettuare attacchi manipolativi su una scala molto più ampia e, sfortunatamente, queste attività criminali si verificano anche nel contesto delle criptovalute.
Come funziona?
Tutte le varie tecniche di social engineering si basano sulla debolezza della psicologia umana. I truffatori sfruttano le emozioni per manipolare e ingannare le vittime. Paura, avidità, curiosità e persino la volontà di aiutare vengono usate contro di loro attraverso una molteplicità di metodi. Tra le diverse specie di social engineering, il phishing è sicuramente uno degli esempi più comuni e conosciuti.
Phishing
Le email di phishing spesso simulano la corrispondenza di una compagnia legittima, come una società bancaria nazionale, un negozio online rinomato o un fornitore di servizi email. In alcuni casi, queste email cloni avvertono gli utenti che il loro account deve essere aggiornato o presenta attività insolite, richiedendo loro di fornire informazioni personali per confermare l’identità e regolarizzare l’account. Spinti dalla paura, alcuni cliccano i link fraudolenti che li portano a siti web falsi per fornire i dati richiesti. A questo punto, le informazioni entrano nelle mani degli hacker.
Scareware
Le tecniche di social engineering vengono applicate anche per diffondere i cosiddetti Scareware. Come suggerisce il nome, lo scareware è un tipo di malware progettato per spaventare e scioccare gli utenti. In genere coinvolgono la creazione di falsi allarmi che tentano di ingannare le vittime per indurle a installare un software fraudolento che sembra legittimo, oppure ad accedere a un sito web che infetta il loro sistema. Questa tecnica si basa solitamente sulla paura dell’utente di compromettere il proprio sistema, convincendolo a cliccare su uno web banner o un popup. I messaggi contengono qualcosa come: “Il tuo sistema è infetto, clicca qui per risolvere il problema.”
Baiting
Il baiting è un altro metodo di social engineering che causa problemi a diversi utenti distratti. Prevede l’uso di esche per attirare le vittime a causa di avidità o curiosità. Ad esempio, i truffatori potrebbero creare un sito web che offre qualcosa gratuitamente, come musica, video o libri. Per accedere a questi file, tuttavia, gli utenti devono creare un account, con le proprie informazioni personali. In alcuni casi, non serve neanche un account dato che gli stessi file sono infettati direttamente con malware che penetra nel sistema della vittima e raccoglie dati sensibili.
Gli schemi di baiting possono anche verificarsi nel mondo reale tramite l’uso di chiavette USB e hard disk esterni. I truffatori potrebbero lasciare intenzionalmente dispositivi infetti in luoghi pubblici, per fare in modo che qualche curioso li prenda per scoprirne i contenuti, finendo per infettare il proprio computer.
Social engineering e criptovalute
Una mentalità avida può essere piuttosto pericolosa nel contesto dei mercati finanziari, rendendo trader e investitori particolarmente vulnerabili ad attacchi di phishing, schemi di Ponzi o a piramide, e altri tipi di truffe. Nel settore della blockchain, l’entusiasmo generato dalle criptovalute attrae molti principianti in un periodo di tempo relativamente breve (soprattutto durante un bull market).
Anche se molte persone non comprendono appieno come funziona una criptovaluta, sentono parlare del potenziale di questi mercati per generare profitti e finiscono per investire senza fare le opportune ricerche. Il social engineering riguarda soprattutto i nuovi arrivati, dato che sono spesso intrappolati dalla loro stessa avidità e paura.
Da una parte, l’ansia di ottenere guadagni veloci e soldi facili porta eventualmente a inseguire false promesse e speranze di giveaway e airdrop. Dall’altra, la paura di compromettere i propri file privati può portare gli utenti a pagare un riscatto. In alcuni casi, l’infezione ransomware non è reale, e gli utenti sono ingannati da un falso allarme creato dagli hacker.
Come prevenire gli attacchi di social engineering
Come già menzionato, le truffe di social engineering funzionano perché si rivolgono alla natura umana. In genere usano la paura come stimolo, sollecitando le persone ad agire immediatamente per proteggere se stesse (o il loro sistema) da una minaccia fasulla. Gli attacchi si basano anche sull’avidità umana, attirando vittime in vari tipi di frodi finanziarie. Quindi è importante ricordare che se un’offerta sembra troppo bella per essere vera, probabilmente non lo è.
Anche se alcuni truffatori sono più sofisticati di altri, molti fanno errori evidenti. Alcune email di phishing, e banner scareware, contengono spesso errori di sintassi o parole sbagliate e sono efficaci solo con chi non fa attenzione alla grammatica e ortografia - quindi tieni gli occhi aperti.
Per non cadere vittima di attacchi di social engineering, dovresti considerare queste misure di sicurezza:
Impara e insegna a parenti e amici, mostrando i casi più comuni di social engineering e informandoli sui principi di sicurezza generale;
Sii prudente con gli allegati e i link contenuti nelle email. Evita di cliccare su pubblicità e siti web da fonti sconosciute;
Installa un software antivirus affidabile e mantieni aggiornati le tue applicazioni e il tuo sistema operativo;
Utilizza soluzione di autenticazione a più fattori ovunque possibile per proteggere le tue credenziali email e altri dati personali. Imposta la autenticazione a due fattori (2FA) per il tuo account Binance;
Per le imprese: considera l’opzione di preparare i tuoi dipendenti e istruirli a identificare e prevenire attacchi di phishing e schemi di social engineering.
In chiusura
I criminali informatici sono alla costante ricerca di nuovi metodi per ingannare gli utenti, cercando di rubare loro fondi e informazioni sensibili, quindi è molto importante essere preparati. Internet offre un paradiso per questi tipi di truffe, e sono specialmente frequenti nel campo delle criptovalute. Fai attenzione e sii prudente per non cadere in trappole di social engineering.
Inoltre, chiunque decida di fare trading o investire in criptovalute dovrebbe fare le opportune ricerche e assicurarsi di avere una buona comprensione dei mercati e dei meccanismi di funzionamento della tecnologia blockchain.