Ingegneria sociale
Il termine «ingegneria sociale» (in inglese social engineering) definisce l'arte di manipolare delle persone al fine di aggirare dei dispositivi di sicurezza. Si tratta di una tecnica che consiste nell'ottenere delle informazioni da parte degli utenti per telefono, posta elettronica e tradizionale o per contatto diretto.
L'ingegneria sociale è basata sull'utilizzazione della forza di persuasione e sullo sfruttamento dell'ingenuità degli utenti facendosi passare per qualcuno di conosciuto, un tecnico, un amministratore, ecc. In maniera generale i metodi di ingegneria sociale si svolgono secondo lo schema seguente:
Una fase di approccio per guadagnare la fiducia dell'utente, facendosi passare per una persona del suo gruppo, società, ambiente o per un cliente, un fornitore e così via;
Un avviso, per destabilizzare ed assicurarsi della rapidità della sua reazione. Si tratta ad esempio di un pretesto di sicurezza o di una situazione di emergenza;
Una diversione, cioè una frase o una situazione che permetta di rassicurare l'utente evitando che si focalizzi sull'avviso. Può essere ad esempio un ringraziamento che annunci che tutto è rientrato nella norma, una frase anodina o, nel caso di una mail o di un sito web, di un rindirizzamento verso il sito web della società.
L'ingegneria sociale può presentarsi sotto diverse forme:
Per telefono;
Tramite posta elettronica;
Posta scritta;
Messaggio istantaneo, ecc.
Come proteggersi
Il miglior modo di proteggersi dalle tecniche di ingegneria sociale è di utilizzare il buon senso nel non divulgare a chiunque delle informazioni che possano nuocere alla sicurezza della società. Si consiglia quindi, qualunque sia il tipo di informazione richiesta:
Di informarsi sull'identità del proprio interlocutore chiedendogli delle informazioni precise (nome e cognome, società, numero di telefono);
Di verificare eventualmente le informazioni fornite;
Di interrogarsi rispetto alla criticità delle informazioni richieste.
In questo caso, può risultare necessaria una formazione e una sensibilizzazione degli utenti a queste problematiche.
Ulteriori informazioni
CERT® Incident Note IN-2002-03 - Social Engineering Attacks via IRC and Instant Messaging;
Social Engineering Fundamentals, Part I: Hacker Tactics.
Foto: © Martial Red – Shutterstock.com
Potrebbe anche interessarti
- Ingegneria sociale (social engineering)
- Colore ingegneria informatica - Astuzie - Video
Il documento intitolato « Ingegneria sociale » dal sito CCM (it.ccm.net) è reso disponibile sotto i termini della licenza Creative Commons. È possibile copiare, modificare delle copie di questa pagina, nelle condizioni previste dalla licenza, finché questa nota appaia chiaramente.