ProtonBlog(new window)
Iscriviti con RSS

Cos’è l’ingegneria sociale e come puoi proteggerti?

Condividi questa pagina

L’ingegneria sociale è una comune tattica di hacking che implica la manipolazione psicologica utilizzata negli attacchi informatici(new window) per accedere o rubare informazioni riservate.

Queste informazioni vengono poi utilizzate per commettere frodi, ottenere accesso non autorizzato ai sistemi o, in alcuni casi, rubare la tua identità. Ad esempio, le aziende negli Stati Uniti hanno perso oltre 2,9 miliardi di dollari a causa del compromesso di email aziendali(new window) nel 2023. Molti degli attacchi hanno coinvolto il phishing, una delle truffe di ingegneria sociale più comuni.

Comprendendo i meccanismi delle truffe di ingegneria sociale più comuni e implementando solide difese informatiche, puoi proteggere meglio le tue informazioni più sensibili e preziose.

Questo articolo esamina i diversi tipi di attacchi di ingegneria sociale ed esplora modi in cui puoi proteggere te stesso e la tua Business da queste pratiche ingannevoli.

Come funziona l’ingegneria sociale

Piuttosto che prendere di mira codici vulnerabili, l’ingegneria sociale sfrutta le debolezze della psicologia umana per ottenere accesso a edifici, sistemi o dati. Spesso, l’ingegneria sociale sfrutta la nostra tendenza naturale a fidarci.

I cybercriminali diventano sempre più abili nel travestirsi da attori benevoli, usando un linguaggio persuasivo per indurre le vittime a rivelare informazioni che desiderano mantenere private e sicure.

Ad esempio, un attaccante potrebbe inviarti un’email che sembra provenire da una società o un servizio noto, chiedendoti di confermare le credenziali di accesso o le informazioni personali. Questo tipo di comunicazione può creare un senso di urgenza o paura e farti pensare che ci sia un problema con il tuo account che necessita di attenzione immediata. Molti pensano di rispondere a qualcuno che ha a cuore i loro interessi e forniscono le informazioni, come i dettagli di accesso o un codice di passaggio una tantum, solo per poi vedere queste informazioni utilizzate contro di loro.

Gli attacchi di ingegneria sociale non si limitano all’email, anche se questa è la via più comune. Possono anche verificarsi al telefono, sui social media o di persona.

Ci sono diversi tipi di attacchi di ingegneria sociale?

I cybercriminali dispongono di un vasto arsenale di trucchi di ingegneria sociale.

Phishing

Il Phishing(new window) comporta l’invio di email o messaggi che sembrano legittimi con l’unico scopo di estrarre dati sensibili, come password o informazioni sulle carte di credito. Queste email e messaggi possono sembrare incredibilmente reali(new window), ingannandoti a credere che provengano da un mittente di fiducia.

Fatturazione falsa

Gli aggressori spesso usano un dominio legittimo, come PayPal, per inviare false fatture che affermano che devi un saldo e includono un pulsante per pagare.

Esca

Questa tattica agita offerte allettanti, come software gratuiti, per attirare le vittime in trappole che possono portarle a installare inconsapevolmente ransomware(new window). La promessa di un download gratuito di un film, ad esempio, potrebbe indurti a scaricare un file che compromette il tuo computer.

Compromissione dell’Email Aziendale (BEC)

In questo scenario, un attaccante può ingannare dirigenti di alto livello a trasferire fondi o rivelare informazioni sensibili(new window). Solitamente sotto forma di email, questi attacchi sembrano legittimi con richieste urgenti o link dannosi, rendendoli più difficili da individuare.

Scareware

Questo metodo comporta l’invio di falsi allarmi e minacce inesistenti per costringere le potenziali vittime a scaricare o installare software dannosi. Queste minacce, ad esempio, possono affermare che il tuo sistema è infetto da un virus che richiede un tipo speciale di software di sicurezza che in realtà è dannoso.

Dumpster diving

Questa tattica, sebbene più elaborata e complessa, è un altro comune stratagemma di social engineering che prevede il rovistare nei tuoi rifiuti alla ricerca di bollette, estratti conto, carte di credito pre-approvate o altri documenti con informazioni sensibili utilizzabili per attività fraudolente.

Tailgating

Conosciuta anche come “piggybacking(new window)“, questa tattica da attacco “fisico” comporta che gli aggressori ottengano l’accesso a aree protette seguendo da vicino il personale autorizzato. Il tailgating sfrutta l’istinto umano comune di tenere le porte aperte per gli altri, specialmente in aree affollate.

Truffe monetarie

Probabilmente hai sentito parlare della cosiddetta truffa del principe nigeriano(new window), in cui un aggressore ti chiede di aiutare a trasferire una grossa somma di denaro dall’estero in cambio di una percentuale sul contante. Naturalmente, devi prima fornire i dettagli del tuo conto bancario o pagare una “tassa di elaborazione” per ottenerlo.

Quid pro quo

Qui, gli aggressori offrono servizi o benefici in cambio di informazioni. Un hacker, ad esempio, potrebbe offrire di risolvere un problema al computer che richiede di scaricare uno strumento di accesso remoto che alla fine dà all’aggressore il controllo sul tuo computer.

Come puoi proteggerti dagli attacchi di social engineering?

Ci sono diverse strategie che puoi utilizzare per limitare o prevenire il rischio di attacchi di social engineering:

Presta attenzione agli allegati email

Sii cauto nell’aprire allegati o cliccare su link in email da fonti sconosciute, poiché potrebbero contenere malware o indirizzare a siti di phishing.

Sii scettico riguardo offerte troppo belle per essere vere

Se un’offerta sembra troppo generosa senza alcun apparente inganno, è probabilmente una tattica di adescamento progettata per sfruttare.

Limita la condivisione di informazioni personali online

Meno informazioni condividi online, più difficile sarà per gli aggressori prenderti di mira con truffe personalizzate.

Aggiorna regolarmente il tuo software

Mantenere aggiornate le app e il sistema operativo assicura di avere la protezione più recente contro nuove minacce.

Effettua backup dei tuoi dati

I backup regolari possono aiutarti a riprenderti rapidamente da un attacco senza una perdita significativa di informazioni.

Smaltisci correttamente i documenti sensibili

Triturare o distruggere completamente i documenti contenenti informazioni personali o sensibili può impedirne la scoperta e l’utilizzo malevolo.

Evita dispositivi USB sconosciuti e disabilita le funzioni di esecuzione automatica dei dispositivi

Collegare dispositivi USB sconosciuti può introdurre malware nel tuo sistema. Disabilitare l’autorun impedisce l’installazione automatica di potenziali ransomware.

Utilizza l’autenticazione multi-fattore (MFA)

Aggiungere un ulteriore livello di sicurezza oltre le sole password può migliorare notevolmente le tue difese contro gli accessi non autorizzati.

Usa password forti e 2FA

Utilizza password forti e uniche per tutti i tuoi account online. Proton raccomanda di utilizzare un gestore di password open-source(new window) per aiutarti a creare e ricordare password forti(new window). Inoltre, abilitare l’autenticazione a due fattori (2FA)(new window) aggiunge un ulteriore livello di difesa. Se i tuoi nomi utente o password vengono mai compromessi, gli imbroglioni non potranno accedere ai tuoi account.

Proteggiti con Proton

Di fronte alle minacce di social engineering, Proton offre una suite completa di prodotti e funzionalità progettate per salvaguardare la tua vita digitale.

Proton Mail

Proton Mail è progettato per riconoscere e isolare le email di phishing, riducendo notevolmente il rischio che messaggi truffa raggiungano la tua casella di posta. Con la crittografia end-to-end al centro dei nostri servizi, abbiamo progettato Proton Mail con diversi strati di difese di cybersecurity:

La nostra crittografia si estende ai messaggi inoltrati, alla condivisione di file e a tutti gli eventi organizzati in Proton Calendar, permettendoti di mantenere il flusso di lavoro e programmare riunioni senza compromettere la sicurezza.

Proton VPN

Proton VPN(new window) maschera anche le tue attività online e la tua posizione da potenziali intercettatori, rendendo difficile per gli aggressori raccogliere informazioni su di te che potrebbero essere utilizzate in attacchi di social engineering. Per le aziende, un account Proton VPN for Business(new window) offre accesso a una vasta rete di server che copre 85+ paesi su sei continenti, garantendo che tu e i tuoi dipendenti abbiate sempre accesso a un server VPN veloce e sicuro, indipendentemente dalla posizione delle vostre operazioni o dei vostri dipendenti.

Proton Drive

Proton Drive protegge i tuoi file da accessi non autorizzati. Tutti i tuoi file, nomi di file e nomi di cartelle sono completamente crittografati sia a riposo che in transito verso il tuo cloud sicuro. Con un piano Proton for Business, ogni utente della tua organizzazione ottiene 500 GB di spazio di archiviazione, fornendo lo spazio e la sicurezza di cui la tua azienda ha bisogno per operare senza preoccupazioni di minacce alla cybersecurity.

Proton Pass

Proton Pass semplifica la condivisione sicura di credenziali di accesso e — se sei un imprenditore — controllare chi ha accesso a login sensibili. Gli amministratori ottengono accesso aggiuntivo agli strumenti per assicurare che i loro team adottino le migliori pratiche di cybersecurity, incluse l’autenticazione a due fattori(new window). Un account Proton Pass for Business ti dà accesso a 50 casseforti, alias illimitati e al nostro programma di alta sicurezza Proton Sentinel, che protegge sia Proton Mail che Proton Pass e ha bloccato migliaia di attacchi di takeover degli account(new window) dal suo lancio nell’agosto 2023.

Passare è semplice

Proton Mail offre anche una funzione facile da usare chiamata Easy Switch che ti permette di passare senza problemi alla tua nuova casella di posta Proton Mail, fare il backup dei dati e importare messaggi, contatti e calendari da altri servizi di posta elettronica, come Gmail. È semplice trasferire i tuoi dati su Drive e Pass anche.

Quando crei un account Proton Mail, stai proteggendo i tuoi dati più preziosi dagli attacchi di social engineering e contribuisci a costruire un internet migliore dove la privacy è la norma.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

Una comunicazione sicura e fluida è il fondamento di ogni azienda. Con sempre più organizzazioni che proteggono i loro dati con Proton, abbiamo notevolmente ampliato il nostro ecosistema con nuovi prodotti e servizi, dal nostro gestore di password al
what is a brute force attack
Nel contesto della cybersecurity, un termine che spesso si incontra è attacco brute force. Un attacco brute force è qualsiasi attacco che non si basa sulla raffinatezza, ma utilizza la pura potenza di calcolo per violare la sicurezza o addirittura la
La Sezione 702 del Foreign Intelligence Surveillance Act è diventata famigerata come giustificazione legale che consente ad agenzie federali come la NSA, la CIA e l’FBI di effettuare intercettazioni senza mandato, raccogliendo i dati di centinaia di
In risposta al crescente numero di violazioni dei dati, Proton Mail offre una funzionalità agli abbonati a pagamento chiamata Monitoraggio del Dark Web. Il nostro sistema verifica se le tue credenziali o altri dati sono stati diffusi su mercati illeg
Il tuo indirizzo email è la tua identità online, e lo condividi ogni volta che crei un nuovo account per un servizio online. Sebbene ciò offra comodità, lascia anche la tua identità esposta se gli hacker riescono a violare i servizi che utilizzi. Le
proton pass f-droid
La nostra missione in Proton è contribuire a creare un internet che protegga la tua privacy di default, assicuri i tuoi dati e ti dia la libertà di scelta. Oggi facciamo un altro passo in questa direzione con il lancio del nostro gestore di password