ProtonBlog
Iscriviti con RSS

Cos’è l’ingegneria sociale e come puoi proteggerti?

Condividi questa pagina

L’ingegneria sociale è una comune tattica di hacking che implica la manipolazione psicologica utilizzata negli attacchi informatici per accedere o rubare informazioni riservate.

Queste informazioni vengono poi utilizzate per commettere frodi, ottenere accesso non autorizzato ai sistemi o, in alcuni casi, rubare la tua identità. Ad esempio, le aziende negli Stati Uniti hanno perso oltre 2,9 miliardi di dollari a causa del compromesso di email aziendali(new window) nel 2023. Molti degli attacchi hanno coinvolto il phishing, una delle truffe di ingegneria sociale più comuni.

Comprendendo i meccanismi delle truffe di ingegneria sociale più comuni e implementando solide difese informatiche, puoi proteggere meglio le tue informazioni più sensibili e preziose.

Questo articolo esamina i diversi tipi di attacchi di ingegneria sociale ed esplora modi in cui puoi proteggere te stesso e la tua Business da queste pratiche ingannevoli.

Come funziona l’ingegneria sociale

Piuttosto che prendere di mira codici vulnerabili, l’ingegneria sociale sfrutta le debolezze della psicologia umana per ottenere accesso a edifici, sistemi o dati. Spesso, l’ingegneria sociale sfrutta la nostra tendenza naturale a fidarci.

I cybercriminali diventano sempre più abili nel travestirsi da attori benevoli, usando un linguaggio persuasivo per indurre le vittime a rivelare informazioni che desiderano mantenere private e sicure.

Ad esempio, un attaccante potrebbe inviarti un’email che sembra provenire da una società o un servizio noto, chiedendoti di confermare le credenziali di accesso o le informazioni personali. Questo tipo di comunicazione può creare un senso di urgenza o paura e farti pensare che ci sia un problema con il tuo account che necessita di attenzione immediata. Molti pensano di rispondere a qualcuno che ha a cuore i loro interessi e forniscono le informazioni, come i dettagli di accesso o un codice di passaggio una tantum, solo per poi vedere queste informazioni utilizzate contro di loro.

Gli attacchi di ingegneria sociale non si limitano all’email, anche se questa è la via più comune. Possono anche verificarsi al telefono, sui social media o di persona.

Ci sono diversi tipi di attacchi di ingegneria sociale?

I cybercriminali dispongono di un vasto arsenale di trucchi di ingegneria sociale.

Phishing

Il Phishing comporta l’invio di email o messaggi che sembrano legittimi con l’unico scopo di estrarre dati sensibili, come password o informazioni sulle carte di credito. Queste email e messaggi possono sembrare incredibilmente reali, ingannandoti a credere che provengano da un mittente di fiducia.

Fatturazione falsa

Gli aggressori spesso usano un dominio legittimo, come PayPal, per inviare false fatture che affermano che devi un saldo e includono un pulsante per pagare.

Esca

Questa tattica agita offerte allettanti, come software gratuiti, per attirare le vittime in trappole che possono portarle a installare inconsapevolmente ransomware. La promessa di un download gratuito di un film, ad esempio, potrebbe indurti a scaricare un file che compromette il tuo computer.

Compromissione dell’Email Aziendale (BEC)

In questo scenario, un attaccante può ingannare dirigenti di alto livello a trasferire fondi o rivelare informazioni sensibili(new window). Solitamente sotto forma di email, questi attacchi sembrano legittimi con richieste urgenti o link dannosi, rendendoli più difficili da individuare.

Scareware

Questo metodo comporta l’invio di falsi allarmi e minacce inesistenti per costringere le potenziali vittime a scaricare o installare software dannosi. Queste minacce, ad esempio, possono affermare che il tuo sistema è infetto da un virus che richiede un tipo speciale di software di sicurezza che in realtà è dannoso.

Dumpster diving

Questa tattica, sebbene più elaborata e complessa, è un altro comune stratagemma di social engineering che prevede il rovistare nei tuoi rifiuti alla ricerca di bollette, estratti conto, carte di credito pre-approvate o altri documenti con informazioni sensibili utilizzabili per attività fraudolente.

Tailgating

Conosciuta anche come “piggybacking(new window)“, questa tattica da attacco “fisico” comporta che gli aggressori ottengano l’accesso a aree protette seguendo da vicino il personale autorizzato. Il tailgating sfrutta l’istinto umano comune di tenere le porte aperte per gli altri, specialmente in aree affollate.

Truffe monetarie

Probabilmente hai sentito parlare della cosiddetta truffa del principe nigeriano(new window), in cui un aggressore ti chiede di aiutare a trasferire una grossa somma di denaro dall’estero in cambio di una percentuale sul contante. Naturalmente, devi prima fornire i dettagli del tuo conto bancario o pagare una “tassa di elaborazione” per ottenerlo.

Quid pro quo

Qui, gli aggressori offrono servizi o benefici in cambio di informazioni. Un hacker, ad esempio, potrebbe offrire di risolvere un problema al computer che richiede di scaricare uno strumento di accesso remoto che alla fine dà all’aggressore il controllo sul tuo computer.

Come puoi proteggerti dagli attacchi di social engineering?

Ci sono diverse strategie che puoi utilizzare per limitare o prevenire il rischio di attacchi di social engineering:

Presta attenzione agli allegati email

Sii cauto nell’aprire allegati o cliccare su link in email da fonti sconosciute, poiché potrebbero contenere malware o indirizzare a siti di phishing.

Sii scettico riguardo offerte troppo belle per essere vere

Se un’offerta sembra troppo generosa senza alcun apparente inganno, è probabilmente una tattica di adescamento progettata per sfruttare.

Limita la condivisione di informazioni personali online

Meno informazioni condividi online, più difficile sarà per gli aggressori prenderti di mira con truffe personalizzate.

Aggiorna regolarmente il tuo software

Mantenere aggiornate le app e il sistema operativo assicura di avere la protezione più recente contro nuove minacce.

Effettua backup dei tuoi dati

I backup regolari possono aiutarti a riprenderti rapidamente da un attacco senza una perdita significativa di informazioni.

Smaltisci correttamente i documenti sensibili

Triturare o distruggere completamente i documenti contenenti informazioni personali o sensibili può impedirne la scoperta e l’utilizzo malevolo.

Evita dispositivi USB sconosciuti e disabilita le funzioni di esecuzione automatica dei dispositivi

Collegare dispositivi USB sconosciuti può introdurre malware nel tuo sistema. Disabilitare l’autorun impedisce l’installazione automatica di potenziali ransomware.

Utilizza l’autenticazione multi-fattore (MFA)

Aggiungere un ulteriore livello di sicurezza oltre le sole password può migliorare notevolmente le tue difese contro gli accessi non autorizzati.

Usa password forti e 2FA

Utilizza password forti e uniche per tutti i tuoi account online. Proton raccomanda di utilizzare un gestore di password open-source per aiutarti a creare e ricordare password forti. Inoltre, abilitare l’autenticazione a due fattori (2FA) aggiunge un ulteriore livello di difesa. Se i tuoi nomi utente o password vengono mai compromessi, gli imbroglioni non potranno accedere ai tuoi account.

Proteggiti con Proton

Di fronte alle minacce di social engineering, Proton offre una suite completa di prodotti e funzionalità progettate per salvaguardare la tua vita digitale.

Proton Mail

Proton Mail è progettato per riconoscere e isolare le email di phishing, riducendo notevolmente il rischio che messaggi truffa raggiungano la tua casella di posta. Con la crittografia end-to-end al centro dei nostri servizi, abbiamo progettato Proton Mail con diversi strati di difese di cybersecurity:

La nostra crittografia si estende ai messaggi inoltrati, alla condivisione di file e a tutti gli eventi organizzati in Proton Calendar, permettendoti di mantenere il flusso di lavoro e programmare riunioni senza compromettere la sicurezza.

Proton VPN

Proton VPN(new window) maschera anche le tue attività online e la tua posizione da potenziali intercettatori, rendendo difficile per gli aggressori raccogliere informazioni su di te che potrebbero essere utilizzate in attacchi di social engineering. Per le aziende, un account Proton VPN for Business(new window) offre accesso a una vasta rete di server che copre 85+ paesi su sei continenti, garantendo che tu e i tuoi dipendenti abbiate sempre accesso a un server VPN veloce e sicuro, indipendentemente dalla posizione delle vostre operazioni o dei vostri dipendenti.

Proton Drive

Proton Drive protegge i tuoi file da accessi non autorizzati. Tutti i tuoi file, nomi di file e nomi di cartelle sono completamente crittografati sia a riposo che in transito verso il tuo cloud sicuro. Con un piano Proton for Business, ogni utente della tua organizzazione ottiene 500 GB di spazio di archiviazione, fornendo lo spazio e la sicurezza di cui la tua azienda ha bisogno per operare senza preoccupazioni di minacce alla cybersecurity.

Proton Pass

Proton Pass semplifica la condivisione sicura di credenziali di accesso e — se sei un imprenditore — controllare chi ha accesso a login sensibili. Gli amministratori ottengono accesso aggiuntivo agli strumenti per assicurare che i loro team adottino le migliori pratiche di cybersecurity, incluse l’autenticazione a due fattori. Un account Proton Pass for Business ti dà accesso a 50 casseforti, alias illimitati e al nostro programma di alta sicurezza Proton Sentinel, che protegge sia Proton Mail che Proton Pass e ha bloccato migliaia di attacchi di takeover degli account dal suo lancio nell’agosto 2023.

Passare è semplice

Proton Mail offre anche una funzione facile da usare chiamata Easy Switch che ti permette di passare senza problemi alla tua nuova casella di posta Proton Mail, fare il backup dei dati e importare messaggi, contatti e calendari da altri servizi di posta elettronica, come Gmail. È semplice trasferire i tuoi dati su Drive e Pass anche.

Quando crei un account Proton Mail, stai proteggendo i tuoi dati più preziosi dagli attacchi di social engineering e contribuisci a costruire un internet migliore dove la privacy è la norma.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

en
Google is one of the biggest obstacles to privacy. The Big Tech giant may offer quick access to information online, but it also controls vast amounts of your personal or business data. Recently, more people are becoming aware of the actual price you
What to do if someone steals your Social Security number
en
If you’re a United States citizen or permanent resident, you have a Social Security number (SSN). This number is the linchpin of much of your existence, linked to everything from your tax records to your credit cards. Theft is a massive problem, whic
compromised passwords
en
Compromised passwords are a common issue and probably one of the biggest cybersecurity threats for regular people. How do passwords get compromised, and is there anything you can do to prevent it? * What does compromised password mean? * How do pa
Is WeTransfer safe?
en
  • Le basi della privacy
Is WeTransfer safe?
WeTransfer is a popular service used by millions worldwide to send large files. You may have wondered if it’s safe or whether you should use it to share sensitive files. We answer these questions below and present a WeTransfer alternative that may su
what is a dictionary attack
en
  • Le basi della privacy
What is a dictionary attack?
Dictionary attacks are a common method hackers use to try to crack passwords and break into online accounts.  While these attacks may be effective against people with poor account security, it’s extremely easy to protect yourself against them by usi
I furti di dati sono sempre più comuni. Ogni volta che ti registri a un servizio online, fornisci informazioni personali preziose per gli hacker, come indirizzi email, password, numeri di telefono e altro ancora. Purtroppo, molti servizi online non p