Il periodo della pandemia, che ha visto gran parte della nostra vita sociale proiettata sul web, ha dato adito alla crescita repentina del fenomeno hacker del social engineering, un insieme di tecniche ingannevoli volte a spingere gli utenti di un servizio informatico a fornire di propria spontanea volontà informazioni sensibili e dati personali.
Questo viene reso possibile creando un rapporto di fiducia con la vittima, attraverso una prima fase che precede l’attacco denominata footprinting.
Essa vede gli hacker raccogliere quante più informazioni pubbliche e facilmente reperibili sull’utente scelto, come quelle lasciate sui social o i semplici dati di contatto presenti online o sugli elenchi telefonici. Si tratta dunque di una fase che studia in modo vero e proprio il comportamento individuale di una persona per poterne poi tracciare un profilo e rivolgergli “esche” mirate, un comportamento dunque quasi più psicologico che tecnologico.
A partire poi appunto dalla manipolazione e dalla buona fede dell’individuo su cui si scommette, avviene il contatto di adescamento.
Tra le tecniche di social engineering più conosciute e utilizzate si segnalano:
– Phishing, mail di adescamento inviate appositamente per far inserire informazioni personali alla vittima;
– Baiting, basata sull’offerta di un servizio in cambio del download di un file dannoso;
– Smishing, avviene via telefono e consiste in un sms o breve testo che spinge a comunicare informazioni di tipo confidenziale (basata spesso sull’annuncio di un pacco in consegna), indirizzando poi l’utente su siti ingannevoli;
– Typosquatting, basata su principi simili allo smishing, consiste nella creazione da parte dei truffatori di domini web fasulli del tutto identici agli originali, facendo credere ai visitatori di trovarsi all’interno del sito legittimo al fine di carpirne i dati;
– Pretexting, in cui il truffatore si finge una persona degna di fiducia (referente azienda, di una banca ecc.) al fine di ricevere informazioni personali e riservate.
Con la proliferazione dei QR Code poi, gli hacker si sono “adeguati” producendone di ingannevoli volti a reindirizzare l’utente su siti da loro gestiti.
Categoria tra le più prese di mira quella dei lavoratori in smart working che offrono i propri servizi a distanza, ai quali vengono inviati file di progetti professionali di collaborazione fasulli contenenti malware o scareware in grado di infettare il device utilizzato.
Come fronteggiare questa minaccia? È bene subito precisare come la tutela da questo fenomeno sia essenzialmente basata sulla consapevolezza e non troppo su strumenti tecnologici, ovvero sull’attenzione e sulla massima calma nel verificare l’indirizzo mittente del messaggio, diffidando e segnalando eventuali indirizzi sospetti.
Il social engineering non è invece prevenibile tramite l’utilizzo di software antivirus ma un’ulteriore forma di prevenzione può essere rappresentata dalla propria policy sulle password.
Le password devono essere il più complesse possibili, con una combinazione di lettere maiuscole, minuscole, simboli e numeri. Importante inoltre, nel corso della navigazione in rete, proteggersi da siti web non integri o che eseguano plugin e parti di codice malevole con toolbar e applicazioni che svolgono correttamente queste operazioni di verifica della sicurezza.