Social engineering: gli stratagemmi dei truffatori del web

Rischi di Internet

E-mail che minacciano di cancellare i nostri dati, SMS che annunciano una vincita eccezionale o contatti Facebook che prospettano la nascita di un grande amore: gli incontri inattesi sul web spesso non mantengono quanto promesso. Scoprite di più sulle truffe su Internet, sulle strategie adottate dai criminali e su cosa potete fare per difendervi.

iBarry und Mausefalle

Cos’è il social engineering?

L’espressione «social engineering» definisce un metodo finalizzato a ingannare gli altri. Fuorviandoci con stratagemmi di natura psicologica, i criminali cercano di carpire informazioni riservate, di appropriarsi di denaro o di accedere all’ambiente IT della nostra azienda. La strategia di attacco punta sempre a sfruttare determinati comportamenti. In questo caso, il concetto di «social engineering» può essere tradotto con «condizionamento» o «manipolazione sociale».

«Il mio account verrà eliminato fra 5 minuti?!»

Come funziona?

In determinate situazioni, gli esseri umani reagiscono senza analizzare criticamente le proprie azioni. Ciò accade soprattutto quando sono in gioco emozioni forti come stress, paura o amore: «Il mio account verrà eliminato fra 5 minuti?!», «Il tecnico informatico ha bisogno della mia password?!», «L’amore della mia vita, conosciuto online, ha bisogno di soldi per poter accudire il figlio malato?!». Quando i criminali si mascherano con astuzia da individuo o azienda, possono metterci in una condizione di vulnerabilità o farci sentire in obbligo di agire, con conseguenze che alla fine finiscono per nuocerci.

Stratagemmi psicologici: caratteristiche di un caso di social engineering

I criminali si avvalgono di stratagemmi psicologici per manipolarci. A tale scopo, sfruttano sempre emozioni che ci mettono sotto pressione e ci impediscono di ragionare con un approccio critico. Diffidate delle e-mail o delle chiamate che presentano le seguenti caratteristiche:

Situazioni frequenti

Shop online ingannevoli: troppo conveniente per essere vero

La possibilità di fare un affare o l’occasione irripetibile di acquistare un prodotto a prezzo scontato sono situazioni che accogliamo sempre con favore. I criminali le sfruttano a proprio vantaggio gestendo shop online che propongono offerte allettanti.

«Acquista subito il nuovo iPhone con un incredibile sconto del 50%! Solo per te e solo per oggi!»

Scarpe da ginnastica firmate a soli 20 CHF? Borsa di marca scontata del 40%? Suona interessante. Spesso le offerte sono valide solo per un giorno o persino per un’ora. Così facendo i criminali cercano di metterci in una situazione di stress e di indurci ad accettare l’offerta irripetibile.

Confermiamo l’acquisto e inseriamo i dati della nostra carta di credito per procedere al pagamento. Il presunto affare non ci verrà purtroppo mai recapitato.

Termini specifici: Shopping online

La truffa dell’amore: altruismo in prima linea

Quando la persona di cui siamo innamorati è in difficoltà, interveniamo senza indugio. I criminali sfruttano il nostro altruismo. Mascherati da soldati o medici con un impiego all’estero, nel corso del tempo conquistano il cuore e la fiducia con affettuosi messaggi online.

Finalmente arriva il momento di un incontro di persona. Tuttavia, prima dell’appuntamento, la persona conosciuta su Internet fa presente al malcapitato che la nipote dovrà presto sottoporsi a un’operazione costosissima.

«Penso sempre a te e non vedo l’ora di incontrarti. Purtroppo però devo aspettare che operino mia nipote. È un intervento molto complesso e caro...»

Mossa da amore e animata dal desiderio di aiutare, la vittima si dichiara subito disponibile a sostenere economicamente la famiglia all’estero.

Termini specifici: La truffa dell’amore

La truffa del CEO: è davvero il capo a contattarci?

I criminali si servono di minacce che promettono di tradursi in realtà se non agiamo immediatamente e senza pensarci due volte.

Il vostro superiore è in ferie. Quando la giornata di lavoro volge ormai al termine, ricevete un’e-mail che vi dice di saldare immediatamente (!) la fattura allegata. Se non lo farete, l’azienda perderà il cliente.

«Al momento non sono raggiungibile telefonicamente, ma è fondamentale che il pagamento venga effettuato prima della fine dell’orario di lavoro! Altrimenti perderemo il cliente! Mi raccomando di trattare la questione con la massima riservatezza!»

Il vostro superiore provvederebbe di persona al pagamento, ma è assente dal lavoro e non c’era nessun altro reperibile a quell’ora della sera.

L’e-mail e i dati del conto del cliente sono tuttavia falsi.

Termini specifici: Truffa del CEO

Tutte le vittime sono scettiche all’inizio.

I criminali cercano di combattere questa diffidenza utilizzando i seguenti metodi:

Cosa fare? Respirare profondamente. Analisi dei fatti. Verifica.

Respirare profondamente: quando vi trovate davanti a un’urgenza, per prima cosa fate sempre un respiro profondo. Fermatevi un attimo a riflettere prima di cliccare su un link o di trasferire denaro. Analizzate i fatti!

Analisi dei fatti: quando qualcosa è troppo bello per essere vero, di norma è proprio così, soprattutto su Internet. Chiedetevi se la richiesta o l’offerta che avete ricevuto via e-mail o sul cellulare può essere ritenuta realistica: ho partecipato alla lotteria? Uno stilista venderebbe le sue borse davvero a un prezzo così conveniente?

Verifica: se questa analisi non vi aiuta a chiarire i fatti, approfondite la questione. Si tratta di un messaggio sospetto della vostra banca? Chiamatela subito. È un messaggio inviato dal vostro superiore? Chiedete di parlargli. Oppure avete ricevuto una fattura o un contratto da un’azienda che conoscete? Non esitate a contattarla.

E già accaduto? Niente panico.

Avete trasferito denaro?

Avete comunicato ad altri la vostra password?

Casi reali

Aziende vittime di danni economici: AMAG e Emile Egger

L’azienda svizzera Emile Egger è stata vittima di una «CEO Fraud», la truffa del CEO, mentre la rete aziendale dell’importatore automobilistico AMAG è stata colpita da un attacco hacker scatenatosi a partire da un allegato di posta elettronica dannoso. In entrambi i casi si parla di danni per diversi milioni di franchi.

Più informazioni: RSI: Il crimine in rete esplode

L’amore della vita?

Una donna di Zurigo ha subito una truffa di 180’000 franchi architettata dal presunto amore della sua vita. È caduta vittima di una cosiddetta «Romance Scam», la truffa dell’amore.

Più informazioni: Tagesanzeiger: Er gaukelte der Zürcherin Liebe vor, sie verlor 180'000 Franken (tedesco)

Attacco hacker su Twitter

Nel luglio del 2020, 130 profili Twitter di personalità di fama mondiale sono stati presi di mira dagli hacker. Twitter parla di un attacco coordinato di social engineering finalizzato a colpire in maniera mirata collaboratori con accesso a sistemi e tool interni.

Più informazioni: Twitter - 100'000 dollari agli hacker

Maggiori informazioni