A un livello più macro, qualsiasi azione legata alla psicologia comportamentale può essere considerata ingegneria sociale. Tuttavia, questo concetto non è sempre correlato ad attività criminali o fraudolente. In effetti, l’ingegneria sociale è ampiamente utilizzata e studiata in campi come le scienze sociali, la psicologia e il marketing.
Quando si parla di sicurezza informatica, l'ingegneria sociale si riferisce a una serie di attività dannose che tentano di manipolare le persone affinché inducano comportamenti scorretti con secondi fini, come il furto di informazioni di identificazione personale che possono essere successivamente utilizzate per rubare informazioni personali o riservate dell'azienda. La frode d’identità è una conseguenza comune di questi tipi di attacchi, che in molti casi comportano perdite finanziarie significative.
L'ingegneria sociale è spesso considerata una minaccia informatica, ma il concetto esiste da molto tempo e il termine può anche essere associato a frodi nel mondo reale, che spesso comportano l'impersonificazione di un revisore dei conti o di un esperto IT. Tuttavia, l’avvento di Internet ha reso più semplice per gli hacker effettuare attacchi di manipolazione su scala più ampia e sfortunatamente queste attività dannose si verificano anche nel settore delle criptovalute.
Come funziona?
Tutti i tipi di ingegneria sociale si basano sulle debolezze della psicologia umana. I truffatori usano le emozioni per manipolare e ingannare le loro vittime. Predano le paure, l'avidità, la curiosità delle persone e persino la loro volontà di aiutare gli altri. Tra i vari comportamenti dannosi di ingegneria sociale, il phishing è uno dei casi più comuni e conosciuti.
Phishing
Le e-mail di phishing spesso imitano le e-mail di aziende legittime, come banche nazionali, catene di negozi, negozi online affidabili o provider di posta elettronica. In alcuni casi, queste e-mail truffa avvisano gli utenti che i loro account devono essere aggiornati o che si sono verificate attività insolite, chiedendo loro di fornire informazioni personali per confermare la propria identità e gestire il proprio account. Per paura, alcuni utenti cliccano immediatamente sul collegamento e navigano verso un sito Web falso, fornendo ai criminali i dati di cui hanno bisogno. A questo punto le informazioni saranno nelle mani degli hacker.
Minacce
Tecniche di ingegneria sociale vengono utilizzate anche per diffondere il cosiddetto scareware. Come suggerisce il nome, il threatware è un tipo di malware progettato per intimidire e minacciare gli utenti. Spesso implicano la creazione di falsi avvisi nel tentativo di indurre le vittime a installare software fraudolento dall'aspetto legittimo o a indurre gli utenti a visitare siti Web per infettare i loro sistemi. Questa tecnica di solito si basa sulla paura degli utenti che i loro sistemi siano stati compromessi, convincendoli a fare clic su banner web o pop-up. Questi messaggi in genere dicono: "Il tuo sistema è infetto, fai clic qui per pulirlo".
ingannare
Il phishing è un'altra forma di ingegneria sociale che causa problemi a molti utenti incauti. In genere sfrutta l'avidità o la curiosità dell'utente per attirare le vittime. Ad esempio, un truffatore potrebbe creare un sito Web che offre contenuti gratuiti, come file musicali, video o libri. Per accedere a questi file, gli utenti solitamente devono creare un account e fornire le proprie informazioni personali. In alcuni casi, la creazione di un account potrebbe non essere necessaria, poiché i file scaricati possono anche essere infettati direttamente da malware che invaderà il sistema informatico della vittima e raccoglierà i suoi dati sensibili.
Nella vita reale, il phishing può essere attuato anche attraverso l'uso di memorie USB e dischi rigidi esterni. I truffatori possono lasciare intenzionalmente un dispositivo infetto in un luogo pubblico, attirando i curiosi a controllarlo e visualizzarne i contenuti, infettando infine i loro personal computer.
Ingegneria sociale e criptovaluta
Una mentalità avida può essere molto pericolosa quando si tratta di mercati finanziari, e i trader e gli investitori sono particolarmente vulnerabili al phishing, agli schemi Ponzi e piramidali e ad altri tipi di truffe. Nel settore blockchain, l’attenzione generata dalle criptovalute ha attirato molte nuove persone sul campo in un periodo di tempo relativamente breve (soprattutto durante il mercato rialzista).
Sebbene molte persone non comprendano appieno come funzionano le criptovalute, spesso sentono notizie sul potenziale del mercato di generare enormi guadagni e investono ciecamente senza fare ricerche adeguate. L’ingegneria sociale è particolarmente preoccupante per i principianti perché spesso sono intrappolati dalla loro stessa avidità o paura.
Da un lato, il desiderio di realizzare profitti rapidi e fare soldi farà sì che i principianti inseguano falsi benefici e credano nelle promesse di airdrop. D'altra parte, gli utenti potrebbero temere che i loro file privati vengano compromessi e pagare il riscatto. In alcuni casi, gli utenti vengono semplicemente ingannati da falsi avvisi o messaggi creati dagli hacker e non vengono effettivamente infettati dal ransomware.
Come prevenire gli attacchi di ingegneria sociale
Come accennato in precedenza, le truffe di ingegneria sociale funzionano solo perché sfruttano le debolezze umane. Spesso usano la paura come motivazione, spingendo le persone ad agire immediatamente per proteggere se stesse (o i loro sistemi) da una minaccia irreale. Alcuni attacchi di ingegneria sociale si basano anche sull’avidità umana per attirare le vittime in vari tipi di truffe sugli investimenti. Quindi è importante ricordare che se un'offerta sembra troppo bella per essere vera, probabilmente si tratta di una truffa.
Sebbene alcuni truffatori siano sofisticati, gli aggressori medi commettono errori evidenti. I titoli di alcune e-mail di phishing e di malware spesso contengono errori grammaticali o di ortografia, che di solito ingannano solo gli incauti, quindi fai attenzione.
Per evitare di cadere vittima di un attacco di ingegneria sociale, dovresti prestare attenzione alle seguenti misure di sicurezza:
Educa te stesso, la tua famiglia e i tuoi amici. Insegna loro esempi comuni di ingegneria sociale dannosa e introduceli ai principi chiave della sicurezza.
Prestare attenzione quando si gestiscono allegati e collegamenti e-mail. Evita di fare clic su annunci e siti Web provenienti da fonti sconosciute;
Installa un software antivirus autentico per mantenere aggiornati le tue applicazioni software e il tuo sistema operativo;
Se desideri proteggere le tue credenziali di accesso alla posta elettronica e altri dati personali, utilizza una soluzione di autenticazione a più fattori. Come impostare l'autenticazione a due fattori (2FA) per il tuo account Binance.
Per le aziende: i dipendenti dovrebbero avere la possibilità di identificare gli attacchi di ingegneria sociale per prevenire attacchi di phishing e di ingegneria sociale.
Pensieri riassuntivi
I criminali informatici sono sempre alla ricerca di nuovi modi per ingannare gli utenti con l’obiettivo di rubare loro denaro e informazioni sensibili, quindi è importante educare te stesso e chi ti circonda. Internet fornisce un rifugio sicuro per questo tipo di truffe, particolarmente comuni nel settore delle criptovalute. Quindi bisogna essere attenti e vigili per evitare di cadere nelle trappole dell’ingegneria sociale.
Inoltre, chiunque decida di fare trading o investire in criptovalute dovrebbe condurre in anticipo ricerche sufficienti per assicurarsi di avere una buona conoscenza del mercato e dei meccanismi di funzionamento della tecnologia blockchain.