E’ un concetto che non avrai sentito molto spesso ma posso garantirti che può fare… danni! Scopri cosa significa social engineering e poi stai molto attento!
Il social engineering: un attacco informatico con mezzi “umani”
In italiano lo definiamo “ingegneria sociale” ed è un concetto molto strettamente legato al campo della sicurezza informatica! Il “social engineering” è una vera e propria tecnica di attacco informatico che, però, non usa mezzi digitali ma… abilità completamente umane! Il social engineering infatti rappresenta tutta quella serie di tecniche che un criminale informatico, un’autorità o chiunque interessato a delle informazioni può usare per indurre la vittima a comunicare volontariamente informazioni personali, password, codici d’accesso o peggio ancora violare un sistema dall’interno, studiandone le abitudini e traendola in inganno.
Oggi come oggi è sempre più raro trovare nei programmi o nei dispositivi dei bug che permettano di violarli in modo semplice e capita che neanche il cracker più bravo ci riesca con i soli mezzi informatici. E’ qui che entra in gioco l’ingegneria sociale! Ti faccio un esempio: il cracker Pippo ha intenzione di attaccare l’azienda PippoCorp, distruggendo il suo sistema informatico dall’interno. Tuttavia Pippo non riesce ad entrare nei server dell’azienda poiché non riesce a violarne il firewall.
Pippo allora decide di usare il social engineering ed inizia a studiare in silenzio gli impiegati di PippoCorp: capisce che Topolino è un impiegato un po’ meno furbo degli altri e che quindi può facilmente ingannare. Quindi si concentra a studiare le abitudini di Topolino e scopre che durante la pausa pranzo è lui a rispondere alle telefonate e a dare le informazioni, anche ai suoi superiori, senza verificare con attenzione chi ci sia dall’altra parte del telefono.
Pippo, dunque, chiama Topolino durante l’ora di pranzo e si spaccia per un dirigente (sapendo che Topolino – per la fretta – non controllerà la sua identità) e gli chiede i codici d’accesso per disattivare il firewall, inventando un problema tecnico; Topolino, credulone e frettoloso, gli dà i codici d’accesso. A questo punto Pippo ha ottenuto il suo risultato e, usando i codici d’accesso appena raccolti, può distruggere il sistema di PippoCorp.
Ecco, questo è stato un esempio d’uso di social engineering! E tu devi stare molto attento: anche se ti ho parlato di aziende, un criminale informatico può provare ad usare tecniche del genere per farti comunicare il tuo indirizzo, codice fiscale, codice della carta di credito, coordinate bancarie, nomi utenti, password ed altre informazioni particolarmente sensibili. Fai molta attenzione e non comunicare mai dati del genere!