Possiamo rinforzare la nostra sicurezza attraverso la conoscenza dei più comuni attacchi di social engineering, seguendo alcune precauzioni essenziali per la sicurezza.
Cos’è il social engineering?
Il social engineering è l’arte di manipolare le persone per far fare loro delle cose, in particolare relative alla sicurezza, ad esempio l’accesso al computer o rivelare informazioni riservate. Invece di far leva sulle reti o sui sistemi informatici, gli ingegneri sociali usano trucchi psicologici sull’uomo.
In molti casi, gli hacker utilizzano queste informazioni per ottenere la fiducia o l’accesso in modo da poter poi svolgere le proprie attività. Ecco alcuni esempi:
- Un hacker potrebbe chiamarvi, dicendo che vostra carta di credito è stata contrassegnata per attività insolite e la banca ha bisogno di verificare i dati (numero di carta di credito, nome da nubile della madre, ecc) prima di rilasciare una sostituzione. Lui o lei offre le ultime quattro cifre della vostra carta e, forse, la data e l’importo di una transazione recente (le cose facilmente reperibili) per guadagnare la vostra fiducia;
- L’hacker si pone come membro nella vostra azienda o come consulente (per esempio, supporto tecnico) o come un revisore dei conti;
- Gli hacker potrebbero anche presentarsi come un vostro amico di Facebook per poi raccogliere le informazioni del vostro profilo o dei messaggi;
- Attacchi di phishing e siti web canaglia;
- Gli hacker possono entrare in account tramite procedure aziendali permissive che richiedono solo informazioni minime (ad esempio, indirizzo di fatturazione e-mail) per identificare gli utenti.
Il social engineering, come si può vedere, si basa sulla nostra credulità e la quantità limitata di informazioni che usiamo per verificare le identità delle persone.
Come evitare di essere vittima di un Hack Social Engineering
Bisogna abbracciare un sano scetticismo ed essere sempre vigili. Basta essere consapevoli dei trucchi comuni utilizzati per tali scopi. Non fornite mai informazioni riservate o anche apparentemente non riservate su di voi o sulla vostra azienda, per telefono, online o di persona, a meno che non si riesca a verificare l’identità della persona che chiede queste informazioni.
Le aziende avrebbero realmente bisogno di formare i propri dipendenti per individuare hack di social engineering e fissare i propri sistemi per la prevenzione di facili intrusioni.
Ridurre al minimo il danno derivato dagli attacchi di social engineering
È possibile proteggersi da attacchi di phishing, truffe e furti di identità, con un paio di misure preventive:
- Utilizzare più indirizzi mail, per operazioni di recupero della password;
- Utilizzare dati di accesso diversi per ogni servizio e proteggerli con password: non utilizzare mai la stessa password più di una volta e assicurarsi che le password siano forti;
- Usate un’ autenticazione a due fattori: questo rende più difficile ai ladri entrare nel tuo account, anche se il vostro username e password sono compromessi;
- È possibile utilizzare il proprio sistema di codifica speciale per assicurarsi che solo voi conosciate le risposte di sicurezza;
- Utilizzate le carte di credito con saggezza: le carte di credito sono il modo più sicuro per pagare online (meglio di carte di debito o sistemi di pagamento online come PayPal), a causa delle loro forti protezioni. Se si utilizza una carta di debito e un hacker ottiene l’accesso al numero, il vostro conto bancario potrebbe essere esaurito. È possibile proteggere ulteriormente la vostra carta di credito non memorizzando numeri di carta su siti Web o utilizzando i numeri di carta usa e getta o virtuale (offerto da Citibank, Bank of America e Discover);
- Monitorare i conti e dati personali: verificare il saldo del conto e il credito regolarmente. Diversi servizi offrono il monitoraggio senza furto di identità, controllando il credito a disposizione. È anche possibile utilizzare Google Alert come un cane da guardia per il furto d’identità;
- Rimuovere le informazioni da banche dati pubbliche: siti come ZabaSearch e PeopleFinders pubblicano le nostre informazioni private (come l’indirizzo e data di nascita) on-line e sono visibili a tutti;
- Fare Rrgolarmente back up.
Questi passaggi non impediranno che il vostro account venga compromesso, ma possono almeno ridurre al minimo i possibili danni e anche darvi più tranquillità.