Phishing e social engineering

  1. Alessio Arrigoni
  2. Blog
  3. Phishing e social engineering

Una regola base del web per prevenire qualsiasi tipo di attacco o violazione della privacy è di non fornire informazioni sensibili, a meno che non si è sicuri dell'identità dell'interlocutore e della sua necessità di avere accesso al tipo di informazioni richieste.

Questa è una regola che dobbiamo tenere sempre ben presente quando ci iscriviamo ad un sito internet o per telefono acquistiamo servizi legati a internet o alla telefonia.

In caso contrario il rischio è di subire attacchi di social engineering e phishing.

Che cosa è il social engineering?

Per lanciare un attacco di social engineering, ovvero di ingegneria sociale, l'attaccante utilizza tecniche di comunicazione e di persuasione per ottenere o compromettere informazioni riguardanti un'organizzazione e/o il suo sistema informatico. Un attaccante potrebbe mostrarsi gentile e rispettabile, fingere di essere un nuovo impiegato, un manutentore, un ricercatore ed offrire magari anche delle credenziali a supporto della sua identità. Comunque, attraverso delle domande, gli attaccanti potrebbero essere in grado di mettere assieme informazioni sufficienti per infiltrarsi nella rete aziendale. Se un attaccante non è in grado di mettere assieme gli elementi necessari da una sola persona, potrebbe contattarne altre e affidandosi alle informazioni avute dalla prima aumentare la propria credibilità.

Che cosa è il phishing?

Il phishing è a tutti gli effetti un attacco di social engineering. Scopo del phishing è inviare e-mail fasulle per attirare l’attenzione delle vittime ed indurle a fornire ciò che si desidera avere per usi illeciti. Il classico esempio è l’invio di e-mail in cui veniamo invitati ad inserire le credenziali di accesso del nostro conto corrente per sbloccarlo. A questo punto la frittata è fatta perché l'hacker ha pieno accesso al nostro conto corrente.

Fortunatamente le banche si stanno attrezzando per prevenire simili situazioni introducendo la doppia autenticazione. Ossia oltre ai classici nome utente e password che già possediamo, viene adottato un ulteriore livello di autenticazione che può essere dato dall’utilizzo del telefono cellulare, il quale tramite una telefonata ci viene fornito un codice temporaneo, oppure da un dispositivo OTP che genera di volta in volta password usa e getta da usare nel momento in cui accediamo.

Questo meccanismo rende più difficile la vita ad hacker che potrebbero entrare in possesso delle nostre credenziali.

Come evitare di cadere nel tranello?

  • Non fornite informazioni personali o riguardanti la nostra organizzazione compresa la sua struttura, la rete informatica, a meno che non siamo certi dell’identità dell’interlocutore.
  • Sospettare di telefonate da parte di sconosciuti, visite inaspettate da parte di tecnici, o e-mail da parte di soggetti che dicendo di appartenere a fantomatiche ditte chiedono di avere notizie circa la nostra organizzazione interna ed i nostri colleghi. Se necessario accertatesi preventivamente della loro identità contattando noi direttamente la loro ditta.
  • Non inviare informazioni sensibili su internet prima di aver accertato il livello di sicurezza del sito.
  • Non rivelare informazioni personali o finanziarie tramite e-mail e non rispondere a messaggi di posta elettronica che richiedono tali dati. Questo vuol dire pure non cliccare su link di tali messaggi.
  • Se non si è certi della legittimità dell'e-mail ricevuta o di quanto in essa contenuto, contattare direttamente il mittente della stessa. Non utilizzando ovviamente il numero di telefono specificato nella stessa ma bensì quello preso da un vecchio estratto conto. Maggiori informazioni sugli attacchi phishing sono reperibili on-line su blog e newsgroup.
  • Fare attenzione all'URL del sito. Siti malevoli possono sembrare identici a quelli legittimi ma l'URL potrebbe essere differente nello spelling o appartenere ad un dominio diverso (ad esempio .com anziché .net).
  • Installare ed aggiornare costantemente l'antivirus, il firewall e gli altri eventuali programmi specifici contro lo spam per mitigare il rischio di attacchi di questo tipo.

Che fare se si è purtroppo caduti nella trappola?

  • Se si ritiene di aver fornito informazioni sensibili circa la propria organizzazione riportarlo immediatamente ai propri superiori o alle divisioni appropriate preposte, eventualmente esistenti nell'ambito della propria unità o all'amministratore di rete che potrebbe così subito accorgersi di attività da questo derivanti.
  • Se si ritiene che il proprio conto corrente possa essere stato compromesso contattare la propria banca per bloccare immediatamente lo stesso e fare in modo che vengano subito modificati i dettagli compromessi.

Riportare l'accaduto alle autorità competenti mediante apposita denuncia.

L'autore

Mi sono laureato in informatica presso l'università degli studi di Milano. Da sempre mi occupo di informatica e programmazione.
Da qualche anno sono diventato un blogger e collaboro con alcune testate on-line.
Ho al mio attivo anche alcune pubblicazioni on-line.

Ti potrebbe anche interessare

Leggi le ultima novità dal blog.

Il pericolo dell’Universal Plug and play (UPnP)

Leggi tutto...
Molti router, supportano il protocollo UPnP (Universal Plug&Play). UPnP consente alle applicazioni in esecuzione nell'ambito della rete locale di richiedere al router l'apertura di una o ...

Chain letters ovvero le catene di Sant’Antonio

Leggi tutto...
Le "chain letters" meglio conosciute come "catene di Sant’Antonio" sono dei fenomeni molto conosciuti da chiunque possieda una casella di posta elettronica. Queste e-mail p ...

Attacchi informatici: sql injection, una piaga, parte I

Leggi tutto...
Recentemente mi sono trovato a dover metter mano su portali che frequentemente mostravano dei contenuti indesiderati.Ma qual'era la causa? La risposta è molto semplice: SQL Injection.SQL Injection con ...

Come si riconosce una mail truffa

Leggi tutto...
Il "Phishing" è una forma di frode su Internet tramite cui si ricevono messaggi di posta elettronica ingannevoli che possono sembrare molto reali. In questo modo, i criminali inform ...

Consigli sulla sicurezza: come il vostro computer potrebbe compromettersi nel momento peggiore

Leggi tutto...
La sicurezza del proprio dispositivo è oggi qualcosa a cui si deve prestare una particolare attenzione. La rete è invasa da sempre più pericoli, in grado di compromettere i vost ...

I perché degli antivirus

Leggi tutto...
L’antivirus è un software utilizzato per individuare, prevenire, rimuovere o disattivare i programmi dannosi quali virus e worm. Così come l’uomo se attaccato da virus e ...

Articoli recenti

Leggi le ultima novità dal blog.

Intelligenza artificiale: i pro e i contro

Leggi tutto...
Tema molto dibattuto in questi ultimi tempi: l’intelligenza artificiale. Argomento di grande rilevanza nella società odierna, che suscita sia entusiasmo che preoccupazione. Da un lato, ...

Cosa sono i dati basati su SSD ?

Leggi tutto...
Le SSD (acronimo di solid state drive, o unità di memoria a stato solido) sono delle unità di memoria particolarmente popolari nel mondo dei giocatori di videogiochi. Essendo i videogi ...

Perché utilizzare una VPN per l'accesso al cloud ?

Leggi tutto...
Il 2020 ha visto un enorme aumento del crimine informatico. Sebbene le persone non andassero in ufficio a causa delle preoccupazioni relative al COVID-19, molti si sono trovati inclini a maggiori ri ...

Errori comuni nell’archiviazione dei dati: quali sono e come evitarli ?

Leggi tutto...
Errori comuni nell’archiviazione dei dati: quali sono e come evitarli? Siamo nell’era digitale in cui di dati e le informazioni sul web sono una componente chiave di qualsiasi tipo di ...

Consigli sulla sicurezza: come il vostro computer potrebbe compromettersi nel momento peggiore

Leggi tutto...
La sicurezza del proprio dispositivo è oggi qualcosa a cui si deve prestare una particolare attenzione. La rete è invasa da sempre più pericoli, in grado di compromettere i vost ...

Scegliere una password sicura per qualsiasi account

Leggi tutto...
Al giorno d'oggi è estremamente facile subire un attacco ai propri account, specie se riguardano servizi bancari o postali o permettono di fare acquisti online. Per poter evitare che i ...