In un senso più ampio, qualsiasi tipo di manipolazione legata alla psicologia comportamentale può essere considerata ingegneria sociale. Tuttavia, il concetto non è sempre correlato ad attività criminali o fraudolente. In effetti, l’ingegneria sociale viene ampiamente utilizzata e studiata in una varietà di contesti, in campi come le scienze sociali, la psicologia e il marketing.
Quando si tratta di sicurezza informatica, l'ingegneria sociale viene eseguita con secondi fini e si riferisce a una serie di attività dannose che tentano di manipolare le persone inducendole a compiere mosse sbagliate, come la divulgazione di informazioni personali o riservate che possono essere successivamente utilizzate contro di loro o contro la loro azienda. La frode d’identità è una conseguenza comune di questi tipi di attacchi e in molti casi porta a perdite finanziarie significative.
L'ingegneria sociale viene spesso presentata come una minaccia informatica, ma il concetto esiste da molto tempo e il termine può essere utilizzato anche in relazione a schemi fraudolenti del mondo reale, che di solito comportano l'imitazione di autorità o specialisti IT. Tuttavia, l’avvento di Internet ha reso molto più semplice per gli hacker eseguire attacchi manipolativi su scala più ampia e, sfortunatamente, queste attività dannose si verificano anche nel contesto delle criptovalute.
Come funziona?
Tutti i tipi di tecniche di ingegneria sociale si basano sui punti deboli della psicologia umana. I truffatori sfruttano le emozioni per manipolare e ingannare le loro vittime. La paura, l'avidità, la curiosità e persino la volontà di aiutare gli altri vengono rivolte contro di loro attraverso una varietà di metodi. Tra le molteplici forme di ingegneria sociale dannosa, il phishing è sicuramente uno degli esempi più comuni e conosciuti.
Phishing
Le e-mail di phishing spesso imitano la corrispondenza di un'azienda legittima, come una catena bancaria nazionale, un negozio online affidabile o un provider di posta elettronica. In alcuni casi, queste e-mail clonate avviseranno gli utenti che il loro account deve essere aggiornato o ha mostrato attività insolite, richiedendo loro di fornire informazioni personali come modo per confermare la propria identità e regolarizzare i propri account. Per paura, alcune persone fanno subito clic sui collegamenti e accedono a un sito Web falso per fornire i dati richiesti. A questo punto le informazioni saranno nelle mani degli hacker.
Spaventapasseri
Tecniche di ingegneria sociale vengono applicate anche per diffondere il cosiddetto Scareware. Come suggerisce il nome, lo scareware è un tipo di malware progettato per spaventare e scioccare gli utenti. In genere comportano la creazione di falsi allarmi che tentano di indurre le vittime a installare un software fraudolento che sembra legittimo o ad accedere a un sito Web che infetta il loro sistema. Tale tecnica spesso si basa sulla paura degli utenti di vedere compromesso il proprio sistema, convincendoli a fare clic su un banner web o un popup. I messaggi di solito dicono qualcosa del tipo: "Il tuo sistema è infetto, fai clic qui per pulirlo".
Adescamento
Il baiting è un altro metodo di ingegneria sociale che causa problemi a molti utenti disattenti. Implica l'uso di esche per attirare le vittime in base alla loro avidità o curiosità. Ad esempio, i truffatori possono creare un sito Web che offre qualcosa gratuitamente, come file musicali, video o libri. Ma per accedere a questi file, gli utenti devono creare un account, fornendo le proprie informazioni personali. In alcuni casi, non è necessario creare un account perché i file vengono infettati direttamente da malware che penetrerà nel sistema informatico della vittima e raccoglierà i suoi dati sensibili.
Gli schemi di adescamento possono verificarsi anche nel mondo reale attraverso l'uso di chiavette USB e dischi rigidi esterni. I truffatori possono lasciare intenzionalmente i dispositivi infetti in un luogo pubblico, quindi qualsiasi persona curiosa che li prende per controllarne il contenuto finisce per infettare il proprio computer.
Ingegneria sociale e criptovalute
Una mentalità avida può essere piuttosto pericolosa quando si tratta di mercati finanziari, rendendo i trader e gli investitori particolarmente vulnerabili agli attacchi di phishing, agli schemi Ponzi o piramidali e ad altri tipi di truffe. All’interno del settore blockchain, l’entusiasmo generato dalle criptovalute attira molti nuovi arrivati nel settore in un periodo di tempo relativamente breve (specialmente durante i mercati rialzisti).
Anche se molte persone non comprendono appieno come funziona la criptovaluta, spesso sentono parlare del potenziale di questi mercati per generare profitti e finiscono per investire senza fare ricerche adeguate. L'ingegneria sociale è particolarmente preoccupante per i principianti poiché sono spesso intrappolati dalla loro stessa avidità o paura.
Da un lato, il desiderio di realizzare profitti rapidi e guadagnare soldi facili alla fine porta i nuovi arrivati a inseguire false promesse di omaggi e lanci aerei. D'altro canto, il timore che i propri file privati vengano compromessi può spingere gli utenti a pagare un riscatto. In alcuni casi, non esiste una reale infezione da ransomware e gli utenti vengono ingannati da un falso allarme o da un messaggio creato dagli hacker.
Come prevenire gli attacchi di ingegneria sociale
Come accennato in precedenza, le truffe di ingegneria sociale funzionano perché fanno appello alla natura umana. Di solito usano la paura come motivatore, spingendo le persone ad agire immediatamente per proteggere se stesse (o il proprio sistema) da una minaccia irreale. Gli attacchi si basano anche sull’avidità umana, attirando le vittime in vari tipi di truffe sugli investimenti. Quindi è importante tenere presente che se un’offerta sembra troppo bella per essere vera, probabilmente lo è.
Sebbene alcuni truffatori siano sofisticati, altri aggressori commettono errori evidenti. Alcune e-mail di phishing e persino banner scareware contengono spesso errori di sintassi o parole errate e sono efficaci solo contro coloro che non prestano sufficiente attenzione alla grammatica e all'ortografia, quindi tieni gli occhi aperti.
Per evitare di diventare vittima di attacchi di ingegneria sociale, dovresti prendere in considerazione le seguenti misure di sicurezza:
Educa te stesso, la tua famiglia e i tuoi amici. Insegna loro i casi più comuni di ingegneria sociale dannosa e informali sui principali principi generali di sicurezza.
Sii cauto con gli allegati e i collegamenti e-mail. Evitare di fare clic su annunci e siti Web di origine sconosciuta;
Installa un antivirus affidabile e mantieni aggiornati le tue applicazioni software e il tuo sistema operativo;
Utilizza soluzioni di autenticazione a più fattori ogni volta che puoi per proteggere le tue credenziali e-mail e altri dati personali. Configura l'autenticazione a due fattori (2FA) sul tuo account Binance.
Per le aziende: valuta la possibilità di preparare i tuoi dipendenti a identificare e prevenire attacchi di phishing e schemi di ingegneria sociale.
Pensieri conclusivi
I criminali informatici sono costantemente alla ricerca di nuovi metodi per ingannare gli utenti, con l'obiettivo di rubare i loro fondi e informazioni sensibili, quindi è molto importante educare te stesso e chi ti circonda. Internet fornisce un rifugio per questi tipi di truffe, particolarmente frequenti nel settore delle criptovalute. Sii cauto e stai attento per evitare di cadere nelle trappole dell’ingegneria sociale.
Inoltre, chiunque decida di fare trading o investire in criptovaluta dovrebbe fare delle ricerche preventive e assicurarsi di avere una buona conoscenza sia dei mercati che dei meccanismi di funzionamento della tecnologia blockchain.
