Social engineering: Gli stratagemmi dei truffatori del web
Rischi di Internet
E-mail che minacciano di cancellare i nostri dati, SMS che annunciano una vincita eccezionale o contatti Facebook che prospettano la nascita di un grande amore: gli incontri inattesi sul web spesso non mantengono quanto promesso. Scoprite di più sulle truffe su Internet, sulle strategie adottate dai criminali e su cosa potete fare per difendervi.
Cos’è il social engineering?
L’espressione «social engineering» definisce un metodo finalizzato a ingannare gli altri. Fuorviandoci con stratagemmi di natura psicologica, i criminali cercano di carpire informazioni riservate, di appropriarsi di denaro o di accedere all’ambiente IT della nostra azienda. La strategia di attacco punta sempre a sfruttare determinati comportamenti. In questo caso, il concetto di «social engineering» può essere tradotto con «condizionamento» o «manipolazione sociale».
«Il mio account verrà eliminato fra 5 minuti?!»
Come funziona?
In determinate situazioni, gli esseri umani reagiscono senza analizzare criticamente le proprie azioni. Ciò accade soprattutto quando sono in gioco emozioni forti come stress, paura o amore: «Il mio account verrà eliminato fra 5 minuti?!», «Il tecnico informatico ha bisogno della mia password?!», «L’amore della mia vita, conosciuto online, ha bisogno di soldi per poter accudire il figlio malato?!». Quando i criminali si mascherano con astuzia da individuo o azienda, possono metterci in una condizione di vulnerabilità o farci sentire in obbligo di agire, con conseguenze che alla fine finiscono per nuocerci.
Stratagemmi psicologici: caratteristiche di un caso di social engineering
I criminali si avvalgono di stratagemmi psicologici per manipolarci. A tale scopo, sfruttano sempre emozioni che ci mettono sotto pressione e ci impediscono di ragionare con un approccio critico. Diffidate delle e-mail o delle chiamate che presentano le seguenti caratteristiche:
- Minaccia: Se non fai X, accadrà Y!
- Urgenza: Presto (!), agisci subito!
- Esclusività: Mi rivolgo proprio a te!
- Richiesta: Ho bisogno di aiuto!
Situazioni frequenti
Shop online ingannevoli: troppo conveniente per essere vero
La possibilità di fare un affare o l’occasione irripetibile di acquistare un prodotto a prezzo scontato sono situazioni che accogliamo sempre con favore. I criminali le sfruttano a proprio vantaggio gestendo shop online che propongono offerte allettanti.
«Acquista subito il nuovo iPhone con un incredibile sconto del 50%! Solo per te e solo per oggi!»
Scarpe da ginnastica firmate a soli 20 CHF? Borsa di marca scontata del 40%? Suona interessante. Spesso le offerte sono valide solo per un giorno o persino per un’ora. Così facendo i criminali cercano di metterci in una situazione di stress e di indurci ad accettare l’offerta irripetibile.
Confermiamo l’acquisto e inseriamo i dati della nostra carta di credito per procedere al pagamento. Il presunto affare non ci verrà purtroppo mai recapitato.
Termini specifici: Shopping online
La truffa dell’amore: altruismo in prima linea
Quando la persona di cui siamo innamorati è in difficoltà, interveniamo senza indugio. I criminali sfruttano il nostro altruismo. Mascherati da soldati o medici con un impiego all’estero, nel corso del tempo conquistano il cuore e la fiducia con affettuosi messaggi online.
Finalmente arriva il momento di un incontro di persona. Tuttavia, prima dell’appuntamento, la persona conosciuta su Internet fa presente al malcapitato che la nipote dovrà presto sottoporsi a un’operazione costosissima.
«Penso sempre a te e non vedo l’ora di incontrarti. Purtroppo però devo aspettare che operino mia nipote. È un intervento molto complesso e caro...»
Mossa da amore e animata dal desiderio di aiutare, la vittima si dichiara subito disponibile a sostenere economicamente la famiglia all’estero.
Termini specifici: La truffa dell’amore
La truffa del CEO: è davvero il capo a contattarci?
I criminali si servono di minacce che promettono di tradursi in realtà se non agiamo immediatamente e senza pensarci due volte.
Il vostro superiore è in ferie. Quando la giornata di lavoro volge ormai al termine, ricevete un’e-mail che vi dice di saldare immediatamente (!) la fattura allegata. Se non lo farete, l’azienda perderà il cliente.
«Al momento non sono raggiungibile telefonicamente, ma è fondamentale che il pagamento venga effettuato prima della fine dell’orario di lavoro! Altrimenti perderemo il cliente! Mi raccomando di trattare la questione con la massima riservatezza!»
Il vostro superiore provvederebbe di persona al pagamento, ma è assente dal lavoro e non c’era nessun altro reperibile a quell’ora della sera.
L’e-mail e i dati del conto del cliente sono tuttavia falsi.
Termini specifici: Truffa del CEO
Tutte le vittime sono scettiche all’inizio.
I criminali cercano di combattere questa diffidenza utilizzando i seguenti metodi:
- fingono di essere persone degne di fiducia, presentandosi ad esempio come donne, anziani, agenti di polizia o superiori.
- chiamano in causa parenti, conoscenti e persone stimate che confermino la situazione/l’urgenza.
- inviano la copia di un presunto documento d’identità o passaporto o presunti documenti come bolle di consegna, biglietti o contratti.
- assicurano che il denaro da trasferire «finirà al sicuro».
- coinvolgono imprese fittizie come i servizi di consegna con siti web reali
Cosa fare? Respirare profondamente. Analisi dei fatti. Verifica.
Respirare profondamente: quando vi trovate davanti a un’urgenza, per prima cosa fate sempre un respiro profondo. Fermatevi un attimo a riflettere prima di cliccare su un link o di trasferire denaro. Analizzate i fatti!
Analisi dei fatti: quando qualcosa è troppo bello per essere vero, di norma è proprio così, soprattutto su Internet. Chiedetevi se la richiesta o l’offerta che avete ricevuto via e-mail o sul cellulare può essere ritenuta realistica: ho partecipato alla lotteria? Uno stilista venderebbe le sue borse davvero a un prezzo così conveniente?
Verifica: se questa analisi non vi aiuta a chiarire i fatti, approfondite la questione. Si tratta di un messaggio sospetto della vostra banca? Chiamatela subito. È un messaggio inviato dal vostro superiore? Chiedete di parlargli. Oppure avete ricevuto una fattura o un contratto da un’azienda che conoscete? Non esitate a contattarla.
E già accaduto? Niente panico.
Avete trasferito denaro?
- Contattate la vostra banca
- Interrompete subito qualsiasi comunicazione con l’aggressore
- Sporgete denuncia alla polizia
Avete comunicato ad altri la vostra password?
- Modificate le vostre password
- Avviate il vostro antivirus
- Informate il vostro reparto IT
Casi reali
Aziende vittime di danni economici: AMAG e Emile Egger
L’azienda svizzera Emile Egger è stata vittima di una «CEO Fraud», la truffa del CEO, mentre la rete aziendale dell’importatore automobilistico AMAG è stata colpita da un attacco hacker scatenatosi a partire da un allegato di posta elettronica dannoso. In entrambi i casi si parla di danni per diversi milioni di franchi.
Più informazioni: RSI: Il crimine in rete esplode
L’amore della vita?
Una donna di Zurigo ha subito una truffa di 180’000 franchi architettata dal presunto amore della sua vita. È caduta vittima di una cosiddetta «Romance Scam», la truffa dell’amore.
Più informazioni: Tagesanzeiger: Er gaukelte der Zürcherin Liebe vor, sie verlor 180'000 Franken (tedesco)
Attacco hacker su Twitter
Nel luglio del 2020, 130 profili Twitter di personalità di fama mondiale sono stati presi di mira dagli hacker. Twitter parla di un attacco coordinato di social engineering finalizzato a colpire in maniera mirata collaboratori con accesso a sistemi e tool interni.
Più informazioni: Twitter - 100'000 dollari agli hacker
Maggiori informazioni
Definizione di ingegneria sociale
WikipediaLibretto protezione internet
TCSPer saperne di più sull'ingegneria sociale (social engineering)
eBanking ma securo!Per saperne di più sul phishing
eBanking ma securo!Metti alla prova le tue conoscenze con il test sul phishing
eBanking ma securo!Maggiori informazioni sulla frode dei CEO
eBanking ma sicuro!Per saperne di più sulle frodi sugli investimenti
eBanking ma sicuro!Casi attuali e fenomeni comuni
Cybercrimepolice (tedesco)