Ingegneria sociale: comprendere la tecnica che rappresenta un rischio elevato per la sicurezza digitale

Quando si parla di attacchi informatici , si parla molto di codici e algoritmi. Ma una tecnica sta guadagnando attenzione, perché non richiede alcuna programmazione, solo il contatto umano: si tratta dell'ingegneria sociale.

Si tratta di un metodo di manipolazione psicologica ampiamente utilizzato per indurre le persone a rivelare informazioni riservate , a compiere azioni dannose o a consentire l'accesso ai sistemi.

Questa tecnica è stata utilizzata dai criminali per mettere a segno truffe che aggirano persino le tecnologie di sicurezza più avanzate . La minaccia aumenta con l'aumento delle informazioni personali divulgate online e sui social media.

Se desideri rimanere informato e approfondire questa e altre tipologie di frode che possono verificarsi in ambito digitale, iscriviti al corso "Nel mirino delle truffe" . Tenuto dal capo della polizia Emmanoel David, è un'iniziativa della Gazeta do Povo .

In che modo i criminali si dedicano all'ingegneria sociale?

Secondo il delegato Emmanoel David, capo della Divisione Frodi di Curitiba e specialista in Diritto Penale, Procedura Penale e Criminologia, Il successo delle truffe di ingegneria sociale risiede nello sfruttamento di emozioni e reazioni umane prevedibili, poiché gli esseri umani rappresentano l'anello debole della sicurezza digitale. " Invece di attaccare direttamente la macchina, come in un attacco di forza bruta o in un tentativo di hacking, il criminale sfrutta il comportamento umano. È quasi una tortura psicologica, basata sulla fiducia di una persona, sulla paura di determinate circostanze o, in alcuni casi, sullo sfruttamento dell'empatia ", spiega.

Secondo il capo della polizia, l'ingegneria sociale digitale è molto efficace perché non è fittizia: utilizza dati reali della vittima . " È efficace perché sfrutta le emozioni umane e perché i criminali hanno queste informazioni a portata di mano ".

I criminali, in particolare i truffatori che agiscono di persona, sono estremamente abili. " Usano tecniche di clickbait e guerrilla marketing e pagano per gli annunci di Google. Catturano l'attenzione della vittima come se si trattasse di una campagna pubblicitaria ", ha affermato.

" I criminali manipolano sfruttando la fiducia, la paura, l'urgenza e l'empatia. È il caso, ad esempio, della truffa del biglietto vincente. I criminali sanno come accedere alla psiche della persona: vedono un presunto vantaggio, ma in realtà vogliono aiutare il truffatore. Oggi, oltre il 90% dei crimini online utilizza l'ingegneria sociale. È molto più facile lanciare una truffa di phishing e indurre la vittima ad aprire la backdoor del sistema piuttosto che per il criminale hackerare quel sistema da solo ", aggiunge.

In tempi di truffe digitali, soprattutto quelle perpetrate tramite ingegneria sociale, è fondamentale rafforzare la propria sicurezza digitale. (Foto: Towfiqu Barbhuiya | Unsplash)

Il termine "delegato" si riferisce a un tipo di attacco di ingegneria sociale effettuato tramite e-mail o social media, in cui i criminali tentano di indurre gli individui a divulgare informazioni personali sensibili, come password, numeri di carte di credito o dati bancari , fingendosi un'entità affidabile.

Oltre al phishing , Emmanoel cita altre truffe di ingegneria sociale, come:

“ Quando qualcuno ti chiama fingendosi una banca, "Questo è il vishing, una forma di truffa basata sulla voce. Lo smishing, invece, si effettua tramite messaggi di testo (SMS). Esistono anche truffe perpetrate di persona ", spiega.

Quali sono le truffe di ingegneria sociale più comuni?

Il capo della polizia ha elencato alcuni dei principali tipi di truffe di ingegneria sociale più frequentemente utilizzate. Eccoli:

Truffa WhatsApp clonata

Il criminale, fingendosi un dipendente dell'operatore o di WhatsApp stessa, ottiene il codice di verifica e accede all'account della vittima. Da lì, si spaccia per la vittima e inizia a chiedere denaro ad amici e familiari con scuse plausibili, come il superamento del limite.

Phishing

Come accennato in precedenza, questo avviene tramite e-mail o SMS, in cui il truffatore invia falsi messaggi che sembrano provenire da banche, dal Federal Revenue Service, dal National Institute of Social Security (INSS) o da noti negozi , contenenti link che indirizzano a siti web falsi. In questo caso, l'ingegneria sociale fa leva su sentimenti di paura e urgenza, con frasi come "Ultima possibilità per regolarizzare il tuo CPF" o "Attività sospetta sul tuo conto".

Call center falso

Il criminale contatta la vittima fingendosi un impiegato di banca e affermando che ci sono stati tentativi di hacking o transazioni sospette sul conto. Da lì, convince la vittima a fornire password, token o persino a trasferire fondi su conti apparentemente sicuri che in realtà appartengono ai truffatori stessi.

Cosa garantisce la legge brasiliana in materia di frodi digitali?

David spiega che l'ingegneria sociale nella sicurezza informatica è considerata un reato quando viene utilizzata per commettere truffe.

A seconda di come viene praticato, può essere classificato nelle diverse fattispecie penali previste dalla legislazione brasiliana, come la frode , prevista dall'articolo 171 del Codice penale, che si caratterizza per l'ottenimento di un vantaggio illecito a danno di altri, mediante artificio, inganno o qualsiasi altro mezzo fraudolento.

Può essere anche qualificato come invasione di un dispositivo informatico , prevista dall'articolo 154-A del Codice penale, che riguarda l'invasione di computer, telefoni cellulari e altri dispositivi allo scopo di ottenere, manomettere o distruggere dati senza l'autorizzazione del proprietario.

Può essere classificata anche come falsità ideologica , quando il criminale inserisce o altera informazioni false in documenti con l'intenzione di danneggiare o ottenere un vantaggio; o falsità documentale, che riguarda l'uso o la produzione di documenti falsi per scopi illeciti.

“ Oltre a questi reati, possono essere applicate anche le sanzioni previste dall'Internet Civil Rights Framework, che regola l'uso di Internet in Brasile, e dalla Legge generale sulla protezione dei dati (LGPD), soprattutto nei casi di uso improprio delle informazioni personali delle vittime ”, sottolinea.

Come proteggersi dagli attacchi di ingegneria sociale?

David afferma che l'ingegneria sociale è una delle maggiori minacce alla sicurezza informatica odierna. " Oggi la tecnologia è piuttosto avanzata; disponiamo di firewall, software antivirus e una crittografia avanzata per proteggere le transazioni. Ad esempio, una conversazione WhatsApp tra una madre e un figlio è molto sicura grazie alla crittografia, ma l'anello più debole di questo sistema è l'essere umano ". Pertanto, è importante proteggersi!

Elenca quindi una serie di misure per evitare le truffe. " Diffidate delle situazioni che richiedono urgenza. Non cliccate su link sospetti e non fornite mai informazioni personali senza aver prima confermato l'identità dell'altra parte . Chiedetevi: è davvero il vostro direttore di banca? Riattaccate, respirate e interrompete il senso di urgenza. Chiamate direttamente la banca o accedete tramite il canale ufficiale. Controllate l'URL: il sito ha un "https" autentico? ", raccomanda.

L'esperto sottolinea inoltre la necessità di rafforzare la propria presenza digitale. " Non sovraesporre la tua vita online. Utilizza l'autenticazione a due fattori quando possibile. Questo aiuta a impedire ai criminali di accedere anche se conoscono la tua password ."

Tuttavia, non è solo compito dell'utente proteggersi. Le organizzazioni devono formare i propri dipendenti a riconoscere i tentativi di manipolazione. " È essenziale implementare policy di sicurezza informatica e promuovere la consapevolezza all'interno dell'azienda, promuovendo periodicamente corsi di formazione sulla sensibilizzazione e la prevenzione contro le truffe di ingegneria sociale. Dovrebbero essere condotte anche simulazioni di phishing in modo che i dipendenti imparino a identificare queste minacce. È inoltre importante condurre test di sicurezza, come i paytest, per valutare le vulnerabilità del sistema ."

Inoltre, le aziende devono creare solidi protocolli di verifica dell'identità per le comunicazioni. " Chiunque stabilisca contatti esterni deve seguire regole chiare su come dimostrare la propria identità. L'accesso ai dati sensibili deve essere limitato ", conclude.