{"id":58314,"date":"2023-03-22T19:12:23","date_gmt":"2023-03-22T18:12:23","guid":{"rendered":"https:\/\/www.alground.com\/site\/?p=58314"},"modified":"2023-03-22T19:12:44","modified_gmt":"2023-03-22T18:12:44","slug":"ingeneria-sociale-cose-e-le-principali-tecniche","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/ingeneria-sociale-cose-e-le-principali-tecniche\/58314\/","title":{"rendered":"Ingegneria sociale. Cos&#8217;\u00e8 e le principali tecniche"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f8afb89df35\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f8afb89df35\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/ingeneria-sociale-cose-e-le-principali-tecniche\/58314\/#Tecniche_e_termini_sullingegneria_sociale\" >Tecniche e termini sull&#8217;ingegneria sociale<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/ingeneria-sociale-cose-e-le-principali-tecniche\/58314\/#I_sei_principi_di_Robert_Cialdini\" >I sei principi di Robert Cialdini<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/ingeneria-sociale-cose-e-le-principali-tecniche\/58314\/#I_metodi_principali_dellingegneria_sociale\" >I metodi principali dell&#8217;ingegneria sociale<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/alground.com\/site\/ingeneria-sociale-cose-e-le-principali-tecniche\/58314\/#Contromisure\" >Contromisure<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/alground.com\/site\/ingeneria-sociale-cose-e-le-principali-tecniche\/58314\/#Il_ciclo_di_vita_dellingegneria_sociale\" >Il ciclo di vita dell&#8217;ingegneria sociale<\/a><\/li><\/ul><\/nav><\/div>\n\n<p>Nel contesto della sicurezza informatica, <strong>l&#8217;ingegneria sociale consiste nella manipolazione psicologica delle persone al fine di indurle a compiere determinate azioni<\/strong> o a divulgare informazioni riservate. Si tratta di un tipo di scam che mira a raccogliere informazioni, compiere frodi o ottenere l&#8217;accesso ad un sistema. Questo tipo di attacco differisce da una &#8220;truffa&#8221; tradizionale, in quanto spesso rappresenta solo uno dei tanti passaggi all&#8217;interno di uno schema di frode pi\u00f9 complesso. Inoltre, l&#8217;ingegneria sociale pu\u00f2 essere definita come &#8220;qualsiasi atto che induce una persona a intraprendere un&#8217;azione che potrebbe essere o meno nel suo migliore interesse&#8221;.<\/p>\n\n\n\n<p>Un esempio di ingegneria sociale \u00e8 l&#8217;uso della funzione &#8220;password dimenticata&#8221; sulla maggior parte dei siti web che richiedono il login. Un sistema di recupero della password protetto in modo improprio pu\u00f2 essere utilizzato per concedere a un utente malintenzionato l&#8217;accesso completo all&#8217;account di un utente, mentre l&#8217;utente originale perder\u00e0 l&#8217;accesso all&#8217;account.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Tecniche_e_termini_sullingegneria_sociale\"><\/span>Tecniche e termini sull&#8217;ingegneria sociale<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Tutte le tecniche di ingegneria sociale si basano su attributi specifici del processo decisionale umano noti come pregiudizi cognitivi. Questi pregiudizi, a volte chiamati &#8220;bug nell&#8217;hardware umano&#8221;, vengono sfruttati in varie combinazioni per creare tecniche di attacco, alcune delle quali sono elencate di seguito. Gli attacchi utilizzati nell&#8217;ingegneria sociale possono essere utilizzati per rubare informazioni riservate ai dipendenti di una azienda o organizzazione statale. <\/p>\n\n\n\n<p>Possiamo fare un esempio di ingegneria sociale descrivendo un individuo che invia un annuncio dall&#8217;aspetto ufficiale alle email aziendali che dice che il numero dell&#8217;help desk \u00e8 cambiato. Pertanto, quando i dipendenti chiedono aiuto, l&#8217;individuo chiede loro password e ID ottenendo cos\u00ec la possibilit\u00e0 di accedere alle informazioni private dell&#8217;azienda. Pi\u00f9 l&#8217;azienda e grande e pi\u00f9 facilmente questo trucco pu\u00f2 funzionare. Un altro esempio di ingegneria sociale sarebbe che l&#8217;attaccante contatta una persona su un social network e inizia una conversazione, a poco a poco l&#8217;hacker ottiene la fiducia del bersaglio e quindi utilizza tale fiducia per ottenere l&#8217;accesso a informazioni sensibili come password o dettagli del conto bancario. <\/p>\n\n\n\n<p><strong>L&#8217;ingegneria sociale fa molto affidamento sui sei principi di influenza stabiliti da Robert Cialdini<\/strong>. La teoria dell&#8217;influenza di Cialdini si basa su sei principi chiave: reciprocit\u00e0, impegno e coerenza, riprova sociale, autorit\u00e0, gradimento, scarsit\u00e0.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"I_sei_principi_di_Robert_Cialdini\"><\/span>I sei principi di Robert Cialdini<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p><strong>Autorit\u00e0<\/strong><br>Nell&#8217;ingegneria sociale, l&#8217;attaccante pu\u00f2 atteggiarsi ad autorit\u00e0 per aumentare la probabilit\u00e0 di adesione da parte della vittima.<\/p>\n\n\n\n<p><strong>Intimidazione<\/strong><br>L&#8217;aggressore informa o fa credere che ci saranno conseguenze negative se determinate azioni non vengono eseguite. Le conseguenze potrebbero includere sottili frasi di intimidazione come &#8220;lo dir\u00f2 al tuo manager&#8221; fino a minacciare un arresto.<\/p>\n\n\n\n<p><strong>Consenso\/prova sociale<br><\/strong>Le persone faranno cose che vedono fare da altre persone. Ad esempio \u00e8 noto l&#8217;esperimento per cui quando una o pi\u00f9 persone guardano in cielo, i presenti inconsciamente vengono incuriositi e anche loro alzano lo sguardo al cielo per vedere cosa si sta accadendo. Ad un certo punto questo esperimento \u00e8 stato interrotto, poich\u00e9 le persone che si erano &#8220;contagiate&#8221; erano cos\u00ec tante che stavano bloccando il traffico. <\/p>\n\n\n\n<p><strong>Scarsit\u00e0<\/strong><br>La scarsit\u00e0 percepita generer\u00e0 la domanda. La comune frase pubblicitaria &#8220;fino ad esaurimento scorte&#8221; capitalizza su un senso di scarsit\u00e0.<\/p>\n\n\n\n<p><strong>Urgenza<\/strong><br>Collegato alla scarsit\u00e0, gli aggressori usano l&#8217;urgenza come principio psicologico basato sul tempo dell&#8217;ingegneria sociale. Ad esempio, dire che le offerte sono disponibili solo per un &#8220;tempo limitato&#8221; incoraggia le vendite attraverso un senso di urgenza.<\/p>\n\n\n\n<p><strong>Familiarit\u00e0 \/ Simpatia<br><\/strong>Le persone sono facilmente persuase da altre persone che gli piacciono. Cialdini cita il marketing di Tupperware in quello che oggi si potrebbe definire marketing virale. Le persone erano pi\u00f9 propense ad acquistare se gli piaceva la persona che glielo vendeva. Vengono utilizzati alcuni dei molti pregiudizi che favoriscono le persone pi\u00f9 attraenti. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"I_metodi_principali_dellingegneria_sociale\"><\/span>I metodi principali dell&#8217;ingegneria sociale<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p><strong>Vishing<\/strong><br>Il vishing, altrimenti noto come &#8220;voice phishing&#8221;, \u00e8 la pratica criminale di utilizzare l&#8217;ingegneria sociale su un sistema telefonico per ottenere l&#8217;accesso a informazioni personali e finanziarie private a scopo di ricompensa finanziaria. Viene anche impiegato dagli aggressori per scopi di ricognizione per raccogliere informazioni pi\u00f9 dettagliate su un&#8217;organizzazione bersaglio.<\/p>\n\n\n\n<p>Il vishing \u00e8 un tipo di attacco informatico che combina la tecnologia telefonica con la manipolazione psicologica al fine di indurre la vittima a fornire informazioni personali o finanziarie sensibili. Il termine &#8220;vishing&#8221; deriva dalla combinazione delle parole &#8220;voice&#8221; (voce) e &#8220;phishing&#8221; (phishing, ovvero la pratica di inviare email fraudolente che sembrano provenire da fonti affidabili al fine di indurre le persone a fornire informazioni personali o finanziarie).<\/p>\n\n\n\n<p>Il &#8220;vishing&#8221; (voice phishing) \u00e8 una truffa informatica che sfrutta il telefono per cercare di ottenere informazioni personali e sensibili, come numeri di carte di credito, numeri di conti bancari, PIN, password e altri dati importanti.<\/p>\n\n\n\n<p>Il vishing si svolge attraverso una chiamata telefonica che spesso sembra provenire da un&#8217;organizzazione affidabile, come una banca o un&#8217;agenzia governativa. Il truffatore cerca di convincere la vittima a fornire informazioni personali o a effettuare un pagamento, spesso utilizzando tecniche di manipolazione psicologica.<\/p>\n\n\n\n<p>Ad esempio, il truffatore potrebbe affermare che c&#8217;\u00e8 un problema con l&#8217;account della vittima e che \u00e8 necessario fornire informazioni per risolverlo, o potrebbe minacciare conseguenze legali se la vittima non fornir\u00e0 le informazioni richieste.<\/p>\n\n\n\n<p>Il vishing pu\u00f2 essere particolarmente efficace perch\u00e9 le persone tendono a fidarsi di una voce umana al telefono e possono essere facilmente influenzate da tecniche di manipolazione psicologica. Per prevenire il vishing, \u00e8 importante essere consapevoli dei rischi e non fornire informazioni personali o finanziarie a chiunque chieda di farlo al telefono, a meno che non si sia certi della legittimit\u00e0 della richiesta. In caso di dubbio, \u00e8 meglio rifiutare la richiesta e contattare l&#8217;organizzazione direttamente tramite un canale affidabile, come il sito web ufficiale o il numero di telefono indicato sulla carta di credito o sul sito web dell&#8217;organizzazione stessa.<\/p>\n\n\n\n<p><strong>Phishing<\/strong><br>Il phishing \u00e8 una tecnica per ottenere in modo fraudolento informazioni private. In genere, il phisher invia un&#8217;e-mail che sembra provenire da un&#8217;azienda legittima, una banca o una societ\u00e0 di carte di credito, richiedendo la &#8220;verifica&#8221; delle informazioni e avvertendo di qualche grave conseguenza se non vengono fornite. L&#8217;e-mail di solito contiene un collegamento a una pagina Web fraudolenta che sembra legittima, con loghi e contenuti aziendali, e ha un modulo che richiede di tutto, dall&#8217;indirizzo di casa al PIN di una carta bancomat o al numero di una carta di credito. Ad esempio, una ventina di anni fa si \u00e8 verificata una truffa di phishing in cui gli utenti ricevevano e-mail camuffata da eBay affermando che l&#8217;account dell&#8217;utente stava per essere sospeso a meno che non fosse stato fatto clic su un collegamento fornito per aggiornare una carta di credito (informazioni che il vero eBay aveva gi\u00e0). Imitando il codice HTML e i loghi di un&#8217;organizzazione legittima, \u00e8 relativamente semplice far sembrare autentico un sito Web falso. La truffa ha indotto alcune persone a pensare che eBay richiedesse loro di aggiornare le informazioni del proprio account facendo clic sul collegamento fornito.<\/p>\n\n\n\n<p><strong>Smishing<\/strong><br>L&#8217;atto di utilizzare messaggi di testo SMS per attirare le vittime in una linea di condotta specifica, nota anche come &#8220;smishing&#8221;. Come il phishing, pu\u00f2 consistere nel fare clic su un collegamento dannoso o nella divulgazione di informazioni. Esempi sono i messaggi di testo che affermano di provenire da un corriere comune (come Ups) che indicano che un pacco \u00e8 in transito, con un collegamento fornito.<\/p>\n\n\n\n<p><strong>Impersonificazione<\/strong><br>Fingere di essere un&#8217;altra persona con l&#8217;obiettivo di ottenere l&#8217;accesso fisico a un sistema o edificio. La rappresentazione viene utilizzata nella frode &#8220;SIM swap scam &#8220;.<\/p>\n\n\n\n<p>Ci sono altre diverse tecniche, che vedremo singolarmente in altri articoli, ma sostanzialmente riprendono le basi di queste prime tecniche appena elencate.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Contromisure\"><\/span>Contromisure<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Come si pu\u00f2 controbattere a questi attacchi sempre pi\u00f9 subdoli e specifici? Ecco alcuni punti base<\/p>\n\n\n\n<p><strong>Formazione ai dipendenti<\/strong>: formazione dei dipendenti sui protocolli di sicurezza rilevanti per la loro posizione. (ad esempio, in situazioni come il tailgating, se l&#8217;identit\u00e0 di una persona non pu\u00f2 essere verificata, i dipendenti devono essere addestrati a rifiutare educatamente ogni proseguio del colloquio)<\/p>\n\n\n\n<p><strong>Quadro standard<\/strong>: stabilire quadri di fiducia a livello di dipendente\/personale (ovvero, specificare e formare il personale quando\/dove\/perch\u00e9\/come le informazioni sensibili devono essere gestite)<\/p>\n\n\n\n<p><strong>Controllo delle informazioni<\/strong>: identificare quali informazioni sono sensibili e valutare la loro esposizione all&#8217;ingegneria sociale e ai guasti nei sistemi di sicurezza (edificio, sistema informatico, ecc.)<\/p>\n\n\n\n<p><strong>Protocolli di sicurezza<\/strong>: definizione di protocolli, politiche e procedure di sicurezza per la gestione delle informazioni sensibili.<\/p>\n\n\n\n<p><strong>Event Test<\/strong>: esecuzione di test periodici senza preavviso del framework di sicurezza.<\/p>\n\n\n\n<p><strong>Revisione<\/strong>: rivedere regolarmente i passaggi precedenti, nessuna soluzione per l&#8217;integrit\u00e0 delle informazioni \u00e8 perfetta. Va sempre affinata e controllata dai responsabili.<\/p>\n\n\n\n<p><strong>Gestione dei rifiuti<\/strong>: utilizzo di un servizio di gestione dei rifiuti che dispone di cassonetti con serratura, con chiavi limitate solo all&#8217;azienda di gestione dei rifiuti e al personale delle pulizie. Individuare il cassonetto in vista dei dipendenti in modo che il tentativo di accedervi comporti il \u200b\u200brischio di essere visti, o dietro un cancello chiuso o una recinzione in cui la persona deve sconfinare prima di poter tentare di accedere al cassonetto. <\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Il_ciclo_di_vita_dellingegneria_sociale\"><\/span>Il ciclo di vita dell&#8217;ingegneria sociale<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p><strong>Raccolta di informazioni<\/strong>: la raccolta di informazioni \u00e8 la prima e pi\u00f9 importante fase del ciclo di vita dell&#8217;ingegneria sociale. Richiede molta pazienza e una lunga osservazione delle abitudini della vittima. Questo passaggio raccoglie dati sugli interessi della vittima, informazioni personali. Determina la percentuale di successo dell&#8217;attacco complessivo.<br><br><strong>Impegno con la vittima<\/strong>: dopo aver raccolto la quantit\u00e0 richiesta di informazioni, l&#8217;attaccante apre una conversazione con la vittima senza problemi senza che la vittima trovi nulla di inappropriato.<br><br><strong>Attacco<\/strong>: questo passaggio si verifica generalmente dopo un lungo periodo di coinvolgimento con il bersaglio e durante questo periodo le informazioni dal bersaglio vengono recuperate utilizzando l&#8217;ingegneria sociale. In questa fase, l&#8217;attaccante ottiene i risultati dal bersaglio.<br><br><strong>Interazione di chiusura<\/strong>: questo \u00e8 l&#8217;ultimo passaggio che include la chiusura lenta della comunicazione da parte dell&#8217;aggressore senza far sorgere alcun sospetto nella vittima. In questo modo il movente si realizza e raramente la vittima si rende conto che l&#8217;aggressione \u00e8 avvenuta. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nel contesto della sicurezza informatica, l&#8217;ingegneria sociale consiste nella manipolazione psicologica delle persone al fine di indurle a compiere determinate azioni o a divulgare informazioni riservate. Si tratta di un tipo di scam che mira a raccogliere informazioni, compiere frodi o ottenere l&#8217;accesso ad un sistema. Questo tipo di attacco differisce da una &#8220;truffa&#8221; tradizionale, [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":58324,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[1413,387],"tags":[793],"class_list":{"0":"post-58314","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-attualita","8":"category-guide-sicurezza","9":"tag-sicurezza-informatica","10":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2023\/03\/ingegneria-sociale.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/58314","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=58314"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/58314\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/58324"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=58314"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=58314"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=58314"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}