Social Engineering

L'anello debole di qualsiasi catena di sicurezza è rappresentato dagli esseri umani. Il social engineering cerca di sfruttare tale anello debole facendo appello alla vanità, all'avidità, alla curiosità, all'altruismo, al rispetto o al timore nei confronti dell'autorità, al fine di spingere le persone a rivelare determinate informazioni o consentire l'accesso a un sistema informatico.

Il Social engineering è l’atto di manipolare le persone affinché compiano specifiche azioni a vantaggio di un attaccante. Potrebbe quasi sembrare il lavoro di un artista, e in effetti per qualche verso lo è.

Quasi tutti gli attacchi contengono una sorta di social engineering. Le classiche e-mail di "phishing" e i virus truffa, ad esempio, sono cariche di sfumature sociali. Le e-mail di phishing cercano di convincere gli utenti che esse provengono in realtà da fonti legittime, nella speranza di procurarsi anche pochi dati personali o aziendali. Nel frattempo, le e-mail che contengono allegati pieni di virus, fingono spesso di provenire da contatti fidati o offrono contenuti multimediali che sembrano innocui, come video "divertenti" o "carini".

Alcuni attacchi, invece, si basano su una comunicazione effettiva tra attaccanti e vittime; in questo caso, l'attaccante spinge l'utente a permettere l'accesso alla rete con il pretesto di un problema serio che richiede attenzione immediata. La rabbia, il senso di colpa e la tristezza sono tutti utilizzati in egual misura per convincere gli utenti che il loro aiuto è necessario e non possono farne a meno. Infine, è importante fare attenzione al social engineering in quanto mezzo di confusione. Molti dipendenti e consumatori non si rendono conto che con solo poche informazioni (nome, data di nascita o indirizzo), per esempio sui Social Media, gli hacker possono accedere a più reti, mascherandosi da utenti legittimi al personale di supporto IT. Da qui, è semplice ripristinare le password e ottenere un accesso quasi illimitato.