Riconoscere ed evitare il fenomeno del social engineering e gli attacchi phishing

Non fornire informazioni sensibili a nessuno a meno che non si è sicuri dell'identità dell'interlocutore e della sua necessità di avere accesso al tipo di informazioni richieste.

Che cosa è il social engineering ?

Per lanciare un attacco di social engineering, l'attaccante utilizza tecniche di comunicazione e di persuasione per ottenere o compromettere informazioni riguardanti un'organizzazione e/o il suo sistema informatico. Un attaccante potrebbe mostrarsi gentile e rispettabile, fingere di essere un nuovo impiegato, un manutentore, o ricercatore ed offrire magari anche delle credenziali a supporto della sua identità. Comunque, attraverso delle domande, lui o lei potrebbero essere in grado di mettere assieme informazioni sufficienti per infiltrarsi nella rete aziendale. Se un attaccante non è in grado di mettere assieme gli elementi necessari da una sola persona potrebbe contattarne altre e affidandosi sulle informazioni avute dalla prima aumentare la propria credibilità.

Che cosa è il phishing ?

Il Phishing è una tipologia di social engineering. Gli attacchi Phishing utilizzano e-mail o website finti per attirare la gente ed indurla a fornire ciò che si desidera avere per usi illeciti. L'hacker potrebbe inviare e-mail fingendosi un istituto di credito, un'azienda finanziaria o simili alla ricerca di gente disposta a fornirgli i dati relativi ai loro account, inventando magari che servono alla soluzione di un problema.

Non appena fornite tali informazioni l'hacker le può utilizzare per avere accesso all'account.

Come si può evitare di rimanerne vittima ?

• Sospettate delle telefonate da parte di sconosciuti, visite inaspettate da parte di tecnici o e-mail da parte di soggetti che dicendo di appartenere a fantomatiche ditte chiedono di avere notizie circa la vostra organizzazione interna ed i vostri colleghi. Se necessario accertatevi preventivamente della loro identità contattando voi direttamente la loro ditta.
• Non fornite informazioni personali o riguardanti la vostra organizzazione compreso la sua struttura, la rete informatica eccetera, a meno che non siate certi della necessità di conoscere della persona.
• Non rivelare informazioni personali o finanziarie tramite e-mail e non rispondere ad e-mail che richiedono tali dati. Questo vuol dire pure non cliccare su link di tali e-mail.
• Non inviare informazioni sensibili su internet prima di aver accertato il livello di sicurezza del sito.
• Fare attenzione all'URL del sito. Siti malevoli possono sembrare identici a quelli legittimi ma l'URL potrebbe essere differente nello spelling o appartenere ad un dominio diverso (ad esempio .com anzichè .net).
• Se non si è certi della legittimità dell'e-mail ricevuta o di quanto in essa contenuto, contattare direttamente l'originatario della stessa. Non utilizzando ovviamente il numero di telefono specificato nella stessa ma bensì quello preso da un vecchio estratto conto. Maggiori informazioni sugli attacchi phishing sono reperibili on-line su blog e newsgroup come ad esempio Anti-Phishing Working Group 
• Installa ed aggiorna costantemente l'antivirus, il firewall e gli altri eventuali programmi specifici contro gli spam per mitigare il rischio di attacchi di questo tipo.

Che fare se si è comunque rimasti vittima di ciò?

• Se si ritiene di aver fornito informazioni sensibili circa la propria organizzazione riportarlo immediatamente ai propri superiori o alle divisioni appropriate preposte, eventualmente esistenti nell'ambito della propria Unità o all'amministratore di rete che potrebbe così subito accorgersi di attività da questo derivanti.
• Se si ritiene che il proprio conto corrente possa essere stato compromesso contattare l'Istituto con il quale si intrattiene il rapporto per chiudere prontamente lo stesso o fare in modo che vengano subito modificati i dettagli compromessi.
• Riportare l'accaduto alle Forze dell'Ordine mediante apposita denuncia.