Che cos'è il social engineering e quali rischi corri?
Se efficace, un attacco di social engineering può essere quasi impossibile da rilevare. Gli autori degli attacchi adottano tecniche ingannevoli che fanno leva sulle inclinazioni delle persone per manipolarle e indurle a rivelare preziose informazioni riservate. In questo articolo esamineremo come funziona il social engineering e vedremo esempi specifici di celebri truffe. Continua a leggere per sapere come evitare gli attacchi di social engineering.
Copia il link dell’articolo
Collegamento copiato
Scritto da
Brittany Nelson
Pubblicato il giorno
January 20, 2021
Che cos'è il social engineering?
Il social engineering può essere definito come un attacco psicologico che sfrutta il comportamento umano o i nostri pregiudizi cognitivi. In genere consiste nell'ingannare le persone spingendole a divulgare inconsapevolmente informazioni sensibili che possono essere utilizzate per scopi corrotti o criminali. Gli hacker adottano tecniche di social engineering per impossessarsi di informazioni personali che possono poi sfruttare per il furto di identità o per frodi o crimini di altro tipo.
Questo articolo contiene
:
In un'epoca in cui le persone stanno diventando sempre più abili a svolgere attività online, il social engineering richiede una certa dose di astuzia. Spesso si tratta di un piano articolato in più fasi che consiste nel conquistare prima di tutto la fiducia della vittima per poi accedere alle informazioni da acquisire.
A differenza degli attacchi alla sicurezza informatica, che sfruttano le strutture del software e del codice informatico, gli attacchi di social engineering si affidano al fatto che gli esseri umani commettono errori e sono manipolabili. Il social engineering spesso prende di mira informazioni sensibili quali credenziali di accesso, codice fiscale, dati bancari o altre informazioni personali.
Come funziona esattamente il social engineering?
Le truffe di social engineering possono avvenire durante un incontro di persona e una conversazione telefonica, ma spesso accadono online. In effetti, il social engineering è alla base di numerosi tipi di attacchi informatici, perché è più facile acquisire informazioni in modalità online.
Nel mondo fisico, siamo in grado di valutare le nostre interazioni con le persone in base alle informazioni che riceviamo attraverso i nostri sensi. Osservando il modo di fare di una persona e ascoltando il tono della sua voce, riusciamo a intuire se nasconde qualcosa di sospetto.
Quando invece siamo online, spesso interagiamo con aziende senza volto che elaborano i nostri pagamenti e inviano i nostri messaggi. Di conseguenza, dobbiamo fare affidamento su una grafica o un marchio familiare e su una sequenza riconoscibile di clic e conferme per avere l'idea che tutto sembri normale.
Le tattiche di social engineering hanno in genere un carattere ciclico:
Per prima cosa, un hacker raccoglie informazioni di base, svolgendo un'azione nota anche come profilatura, e sceglie un punto di accesso.
Successivamente, si mette in contatto e stabilisce una relazione.
A questo punto, l'hacker viene percepito come una fonte attendibile e può quindi sfruttare il suo bersaglio.
Una volta acquisite le informazioni riservate, l'hacker si disimpegna e scompare.
Gli attacchi di social engineering sfruttano la fiducia delle persone.
Per completare il ciclo, gli autori degli attacchi adottano in genere tecniche di social engineering, ad esempio coinvolgendo e amplificando le emozioni della loro vittima. Quando sei in preda a forti emozioni, hai minori probabilità di ragionare logicamente e maggiori probabilità di subire manipolazioni.
Esaminiamo un classico esempio di social engineering. Un utente malintenzionato riesce a mettere le mani su un elenco di giocatori d'azzardo online. È facile presupporre che queste persone reagiscano a un messaggio in grado di suscitare curiosità, eccitazione, urgenza o paura. L'utente malintenzionato assume l'identità di una società di scommesse, imitandone il tipo di carattere, il logo e i colori della grafica. Invia un messaggio in cui si congratula con le vittime e le invita ad accettare il loro premio, valido solo per un tempo limitato, che possono riscuotere inviando alcune informazioni personali.
Purtroppo, il premio non è per loro, ma per l'autore dell'attacco: informazioni personali sensibili che può rivendere sul Dark Web o utilizzare per accedere ad account personali.
Perché gli attacchi di social engineering online sono così pericolosi?
Gli attacchi di social engineering possono essere molto pericolosi sia per i singoli individui che per le aziende, perché in entrambi i casi è possibile sottrarre alle vittime ingenti quantità di denaro.
Nel 2019, Toyota Boshoku Corporation, un fornitore di ricambi auto per Toyota, ha perso 37 milioni di dollari a causa di un attacco di social engineering. Gli autori dell'attacco hanno preso di mira i dipendenti del reparto amministrativo fingendo di essere loro superiori. Gli hacker hanno inviato email da account aziendali falsi, ma credibili, in cui richiedevano un cambio di conto. In questo modo, sono riusciti a ingannare i contabili inducendoli a trasferire ingenti somme di denaro in conti controllati da hacker conniventi.
Per la maggior parte delle persone, perdere una qualsiasi somma di denaro può essere un colpo terribile. Ma se le tue informazioni personali vengono compromesse, corri un pericolo ancora più grande. Se un utente malintenzionato acquisisce le tue credenziali di accesso, il tuo codice fiscale o i tuoi dati bancari, può conservare queste informazioni per uso proprio o venderle sul Dark Web, dove altri possono acquistarle e sfruttarle, con conseguenti furti di identità o ulteriori danni futuri.
Come individuare un attacco di social engineering
Per individuare un tentativo di attacco di social engineering online, è utile conoscere le diverse tecniche utilizzate dagli aggressori per influenzare le loro vittime.
Le persone sono suscettibili all'autorità e sono più propense a obbedire a richieste provenienti da una fonte rispettabile. Per questo motivo i criminali informatici spesso impersonano aziende o istituzioni note, come l'Agenzia delle Entrate. Esamina sempre con attenzione le email il cui mittente dichiara di essere un'autorità pubblica o un'altra fonte autorevole. Anche se i dipendenti dell'Agenzia delle Entrate conoscono le tue informazioni personali, come nome, indirizzo e codice fiscale, non ti chiederebbero mai di inviare loro queste informazioni in un'email.
Le persone sono suscettibili all'autorità e hanno maggiori probabilità di obbedire quando le richieste provengono da una fonte rispettabile.
Una tattica più subdola fa leva sulla simpatia. In quanto esseri umani, siamo più propensi a fidarci delle persone che troviamo attraenti e piacevoli, e questo può fare miracoli nelle vendite peer-to-peer. Società di marketing multilivello, come Mary Kay e Avon, hanno costruito vasti imperi adottando questa tattica. Un utente malintenzionato può assumere l'identità di una persona attraente sui social media e utilizzare un complimento come scusa per stabilire un contatto. Quando la vittima si sente lusingata, è maggiormente disposta a soddisfare la richiesta del malintenzionato, che si tratti di una donazione a un "ente benefico" o di una truffa di altro tipo.
La consapevolezza di come possiamo essere influenzati dagli altri ci consente riconoscere più facilmente i segnali d'allarme del social engineering. Anche le richieste di determinati tipi di informazioni, come i dati di accesso, le informazioni bancarie o il tuo indirizzo, dovrebbero sempre destare qualche dubbio. Metti da parte qualsiasi tipo di emozione e osserva con attenzione chi sta chiedendo i tuoi dati: potresti evitare di subire una truffa.
Troppo bello per essere vero
Una classica mossa di social engineering consiste nell'offrire qualcosa di molto allettante che induca la vittima a rivelare alcune informazioni o compiere qualche azione. Questa tattica può essere utilizzata anche per finalità legittime, come quando un'azienda offre ai clienti un buono regalo da 10 euro a titolo di ricompensa per la recensione di un prodotto.
Gli hacker sfruttano la nostra familiarità con queste offerte legittime e spingono le cose ancora più avanti, offrendo 100 euro per completare un sondaggio che richiede semplicemente la creazione di credenziali di accesso. In questo caso, gli hacker sperano che tu riutilizzi altre credenziali di accesso, che possono quindi sfruttare per accedere al tuo conto bancario online o ad altri account di particolare valore.
Rifletti un attimo. Un premio di 100 euro per rispondere a un sondaggio sembra un'offerta troppo bella per essere vera. Naturalmente, una volta completato il sondaggio, i 100 euro si riveleranno un semplice stratagemma per farti condividere dati di accesso con una fonte poco affidabile. Quando ricevi offerte allettanti, prenditi sempre del tempo per informarti prima di compiere qualsiasi azione. E ricorda che, se qualcosa sembra troppo bello per essere vero... spesso lo è davvero.
I tipi più comuni di attacchi di social engineering online
I truffatori dotati di creatività hanno ideato svariati tipi di attacchi di social engineering, utilizzando diverse tecniche e punti di ingresso per ottenere l'accesso alle informazioni desiderate. Purtroppo queste tecniche di truffa sono fin troppo comuni, ma la conoscenza di varie tattiche di social engineering nel mondo reale ti aiuterà a riconoscere un tentativo di attacco, nel caso dovessi affrontarne uno.
Email di spam
Potresti credere che lo spam sia semplicemente una scheda nella casella di posta, ma non tutte le email di spam vengono filtrate con successo ed escluse dalla tua vista. Le email di spam ben progettate possono sfuggire ai filtri del server email e finire nella tua casella di posta, dove possono assumere l'aspetto di un messaggio credibile.
Di solito, le email di social engineering cercano di invogliarti a fare clic su collegamenti a siti Web fasulli, scaricare allegati dannosi o rispondere inviando proprio le informazioni sensibili che il mittente sta cercando di acquisire. Un approfondimento sulla sicurezza dell'email può aiutarti a individuare la differenza tra email di spam subdole e fonti attendibili.
Adescamento
Proprio come quando si mette il formaggio in un trappola per topi, un utente malintenzionato può gettare un'esca di social engineering lasciando in vista qualcosa di allettante per il suo bersaglio. A volte si tratta di un oggetto fisico, come un'unità flash USB abbandonata in un luogo pubblico ed etichettata come "riservata" per stimolare la curiosità di chi la trova. Una volta inserita e aperta l'unità flash nel computer della vittima, il malware si infiltra e infetta il dispositivo host e gli eventuali server collegati.
L'adescamento può avvenire anche online, come nel caso del download di un film usato come esca. Una volta scaricato e aperto il file del film, il malware nascosto riesce ad accedere al computer.
Phishing
Il phishing è probabilmente la tattica più comune di social engineering e avviene quando un utente malintenzionato assume l'identità di un'azienda o di un'organizzazione legittima e prende di mira una vittima tramite email, chat o annunci online. L'email o il messaggio indirizza in genere la vittima verso una pagina di destinazione fasulla, in cui è riprodotta perfettamente la grafica aziendale. Nella pagina viene chiesto di verificare le credenziali di accesso o di cambiare una password a causa di attività sospette.
Se la vittima acconsente alla richiesta, l'utente malintenzionato si impossessa di questi dati di accesso e può utilizzarli per cercare di accedere anche ad altri siti Web, a seconda della frequenza con cui la vittima utilizza password diverse per i vari siti.
Il catfishing è un'altra strategia di social engineering che fa parte della categoria di phishing. Consiste nell'assumere l'identità di una persona desiderabile su un sito di incontri o su una piattaforma di social media e quindi nel corteggiare le potenziali vittime.
Le forti emozioni sono alla base di ogni relazione sentimentale, ma possono offuscare l'intuito e nascondere i segnali di avvertimento. Una volta presa all'amo la vittima, l'adescatore escogiterà uno scenario per sottrarle denaro.
Che aspetto ha un'email di phishing? Nell'immagine qui sotto è raffigurata un'email inviata da un hacker che finge di scrivere da PayPal. L'autore dell'email sostiene che è stata rilevata un'attività sospetta su un account PayPal e che l'account rimarrà sospeso finché l'utente non eseguirà l'accesso e invierà documenti per confermare la propria identità, il tutto espresso con un tono di urgenza e apprensione per motivare la vittima ad agire.
Un'email di phishing imita lo stile di un marchio, ma proviene chiaramente da un indirizzo email falso.
Tuttavia, se osservi da vicino l'indirizzo email del mittente, vedrai una lunga serie di numeri e lettere con un nome di dominio che non è certamente di PayPal. L'email è anche indirizzata a più clienti, con uno stile stranamente generico, considerata la natura riservata dell'email.
Il pulsante di accesso nell'email non reindirizzerà l'utente a PayPal, ma a una pagina di destinazione fasulla in cui l'hacker potrà raccogliere informazioni di accesso e, se è abbastanza fortunato, acquisire anche documenti ufficiali come carta d'identità o passaporto per confermare l'identità dell'utente.
Spear phishing
Le email di phishing basate su social engineering vengono spesso inviate a centinaia di potenziali vittime, nella speranza che qualcuno faccia clic sul collegamento. Talvolta, però, l'hacker fa ricerche più approfondite sulle potenziali vittime, restringendo il raggio d'azione a un gruppo specifico di persone o addirittura a una sola persona.
Questo tipo di attacco mirato, o più circoscritto, è definito spear phishing ed è notevolmente più efficace di quanto ci si possa aspettare. Le email di spear phishing vengono aperte dal 50% dei destinatari, rispetto a una percentuale di apertura del 3% per i normali messaggi di phishing.
Prendiamo ad esempio il fondatore di Amazon, Jeff Bezos. È una delle prede più grandi da catturare, e così lontano dai problemi quotidiani da farti credere che non possa mai subire un attacco di phishing. Eppure, nel 2018, Bezos è stato preso di mira dal principe ereditario saudita Mohamed bin Salman.
I due si sono incontrati di persona, hanno instaurato un rapporto e si sono scambiati i numeri di telefono. Il principe ha quindi inviato su WhatsApp un file video che, una volta scaricato, ha iniziato a trasmettere grandi quantità di dati di Bezos senza autorizzazione. Bezos potrà anche essere a capo di un colosso dell'industria tecnologica, ma è pur sempre un essere umano e, in quanto tale, è suscettibile alla manipolazione e al social engineering.
Pretexting
Gli attacchi di social engineering basati su pretexting presuppongono la l'invenzione di uno scenario, o pretesto, per colpire la vittima. Di solito, l'hacker assume l'identità di una persona autorevole che può richiedere informazioni. Un attacco efficace di pretexting richiede un impegno preliminare di ricerca e preparazione da parte dell'hacker, che deve essere in grado di rispondere con precisione alle domande della vittima e risultare credibile.
Un esempio comune di pretexting è dato da un hacker che finge di essere un tecnico del reparto IT di un'azienda. L'hacker contatta un dipendente all'interno dell'azienda, si identifica come tecnico e richiede l'accesso remoto al computer della vittima o le sue credenziali di accesso per aggiornare un programma software.
A seconda di chi ha preso di mira, l'hacker potrebbe riuscire ad accedere ai registri finanziari o ai dati dei dipendenti della società. Può quindi tenere in ostaggio queste informazioni mediante ransomware o utilizzarle per compiere il passo successivo del suo piano.
Nel 2017, Classic Ether Wallet, progettato per archiviare la criptovaluta Classical Ethereum, ha subito un attacco di social engineering. Un hacker ha assunto l'identità del proprietario di Classic Ether Wallet, ha ottenuto l'accesso al dominio e ha acquisito le chiavi private che gli hanno permesso di trasferire denaro dai conti delle vittime al proprio server.
Vishing
Il vishing è basato sullo stesso concetto del phishing, ma avviene al telefono. In altre parole, si tratta di phishing vocale. In un attacco di vishing, il numero di telefono utilizzato viene spesso bloccato o mascherato come numero di un help desk o di un centro di assistenza. A volte viene utilizzata una tecnologia che altera la voce per cercare di imitare una determinata persona.
L'autore di un attacco di vishing in genere cerca di manipolare la vittima spingendola a rivelare i suoi dati di accesso oppure tenta di accedere al suo computer. Gli autori degli attacchi di questo tipo spesso si presentano come operatori del servizio clienti o del supporto tecnico e dichiarano di aver chiamato per installare un aggiornamento o correggere un bug per cui la vittima deve concedere l'accesso o reimpostare le proprie credenziali di accesso.
Nel 2019, si è diffusa una popolare truffa di vishing in cui gli hacker mascheravano il proprio ID chiamante facendo finta di chiamare da Apple. La chiamata era automatizzata e avvertiva le vittime di una violazione della sicurezza di Apple, indicando di chiamare un altro numero prima di fare qualsiasi cosa sul proprio telefono.
Quando le vittime chiamavano il numero indicato, ricevevano un messaggio di benvenuto automatico che imitava il centro di supporto clienti Apple, con tanto di tempo di attesa stimato. Non appena le vittime riuscivano a contattare qualcuno, gli hacker tentavano di ottenere le credenziali del loro ID Apple.
Gli autori di questi attacchi sfruttavano l'ampia diffusione dei prodotti Apple, l'autorità del marchio Apple e il sentimento di apprensione e urgenza in caso di violazione della sicurezza, ben consapevoli che le persone avrebbero risposto e agito di conseguenza. Da allora Apple avverte i propri clienti che non effettuerà mai chiamate non richieste e che non dovrebbero mai rispondere a chiamate che sembrano provenire dalla società.
Quid pro quo
"Quid pro quo" in latino significa "qualcosa in cambio di qualcos'altro". Gli autori di un attacco di social engineering basato sul meccanismo quid pro quo sono ben felici di offrirti qualcosa, sperando di ottenere in cambio le tue credenziali o l'accesso al tuo computer.
In questo tipo di attacchi, viene generalmente offerto un aiuto, che si tratti di assistenza tecnica, accesso a un documento particolare o soluzione di un problema che non sapevi nemmeno di avere.
Dopo il secondo incidente aereo del Boeing 737 Max nel 2019, gli hacker hanno fatto leva sulle emozioni e sulla paura delle persone per inviare email da account che si spacciavano per l'azienda metalmeccanica ISGEC. Gli hacker affermavano di aver avuto accesso a un documento trapelato sul Dark Web in cui erano riportati gli incidenti prima che accadessero, oltre a futuri incidenti che dovevano ancora avvenire.
Gli hacker esortavano quindi le persone ad aprire il documento e, per il bene delle loro famiglie e dei loro cari, a verificare che nessuno dei loro conoscenti avesse in programma di prendere uno dei voli elencati. Naturalmente, si trattava di un falso, e il download del file infettava il computer della vittima con malware che permetteva agli hacker di accedere ai dati desiderati.
Casi famosi di attacchi di social engineering
Gli attacchi di social engineering non accadono soltanto alla gente comune e ignara del rischio. Anche le grandi aziende tecnologiche e le persone famose possono esserne vittima. Purtroppo, nel caso di attacchi alle grandi aziende, spesso sono i dati dei clienti a correre il rischio.
Barbara Corcoran, una donna d'affari americana di successo, nel 2020 ha perso 380.000 dollari in un attacco di social engineering. Con una tecnica di pretexting, il truffatore si è fatto passare per l'assistente personale di Barbara usando un indirizzo email in cui era stata scambiata una sola lettera. L'aggressore ha inviato un'email al contabile della Corcoran, chiedendo il rinnovo di un pagamento relativo a un investimento immobiliare. La truffa è stata scoperta quando il contabile ha inviato un'email di follow-up mettendo in conoscenza la vera assistente personale.
Siamo tutti esseri umani, con emozioni che possono essere scosse e turbate, e noi tutti reagiamo in un certo modo di fronte alla bellezza e all'autorità, lasciandoci tentare da sollecitazioni urgenti e prospettive di ricompensa.
Nel 2013, la società statunitense Target ha subito un massiccio attacco di social engineering, in cui gli hacker sono riusciti ad accedere alle informazioni di pagamento di 40 milioni di persone. Gli autori dell'attacco si sono insinuati tramite un'email di phishing in una ditta di frigoriferi con cui Target aveva stabilito una partnership. Hanno quindi installato malware nei computer della ditta di frigoriferi e sono rimasti in attesa che qualcuno inserisse le proprie credenziali in modo da accedere ai server di Target.
Da qui, gli hacker sono riusciti a penetrare nei sistemi interni di Target e a individuare le vulnerabilità per copiare i dati di pagamento delle persone e salvarli nel loro server esterno.
Nel 2015, Ubiquiti Networks, un produttore di componenti di rete Wi-Fi di San Jose, ha perso 39 milioni di dollari per colpa di un hacker che, assumendo l'identità di un'altra persona, ha sferrato un attacco al reparto amministrativo della società. Facendosi passare per un fornitore, l'hacker è riuscito a convincere una filiale amministrativa di Ubiquiti a cambiare i dati di pagamento, dirottando il denaro nel conto dell'hacker.
Anche se Ubiquiti ha inizialmente perso 47 milioni di dollari, è riuscita a recuperane 8: una ben magra consolazione considerata la perdita così devastante.
Chi è più esposto al rischio di un attacco di social engineering?
In realtà, tutti noi siamo vulnerabili agli attacchi di social engineering. Siamo tutti esseri umani, con emozioni che possono essere scosse e turbate, e noi tutti reagiamo in un certo modo di fronte alla bellezza e all'autorità, lasciandoci tentare da sollecitazioni urgenti e prospettive di ricompensa.
Non dovremmo considerare queste qualità come debolezze. Dopo tutto, le abbiamo sviluppate per motivi evolutivi. Dovremmo invece comprendere come gli altri possono manipolarle e allenarci a individuare i segnali di avvertimento. Gli attacchi di social engineering prendono spesso di mira gli anziani, perché non sempre hanno familiarità con la moderna tecnologia e hanno meno probabilità di notare qualcosa di sospetto.
Suggerimenti per evitare di cadere vittima del social engineering
Così come puoi coltivare buone abitudini per evitare i borseggiatori (tieni sempre chiusa la cerniera della borsa!), puoi imparare consigli e pratiche utili per non esporti al rischio del social engineering.
Se però temi di essere caduto vittima di un attacco di social engineering o intendi aggiungere un livello di protezione in più, AVG BreachGuard può esserti di aiuto. BreachGuard ti avvisa nel momento stesso in cui una qualsiasi delle tue informazioni personali viene divulgata online ed esegue un monitoraggio 24 ore su 24 per scongiurare incidenti futuri, proprio come un cane da guardia personale su Internet.
Hai trovato un'email di phishing nella tua casella di posta? Non limitarti a contrassegnare l'email sospetta come spam. A seconda del contenuto dell'email, dovresti passare all'azionesegnalando la truffa Internet. Una buona azione di follow-up è quella di informarsi su come segnalare un episodio di criminalità informatica in modo da prepararsi per il futuro.
Negli Stati Uniti, la Federal Trade Commission (FTC) consiglia di segnalare le email di phishing inviandole al gruppo di lavoro anti-phishing all'indirizzo reportphishing@apwg.org. Se ti trovi nel Regno Unito, puoi inoltrare le email al servizio di segnalazione delle email sospette all'indirizzo report@phishing.gov.uk.
Se utilizzi Gmail, puoi utilizzare la funzionalità integrata per segnalare un tentativo di phishing. Vai nell'angolo in alto a destra dell'email e fai clic sui tre punti verticali accanto a "Rispondi", quindi seleziona "Segnala phishing" dal menu a discesa. Puoi anche adottare misure di sicurezza preventive imparando come impedire all'email di spam persino di raggiungere la tua casella di posta.
Informati sulle fonti e sui siti Web
Se ricevi un'email con un messaggio incredibilmente esagerato (in cui si afferma, ad esempio, che il tuo codice fiscale è stato compromesso), ricorda di controllare la fonte dell'email prima di farti prendere dal panico. I truffatori utilizzano spesso indirizzi email che sembrano totalmente fasulli, come un miscuglio di lettere e numeri, sperando che tu sia troppo distratto dal messaggio per notarlo. Inoltre, ricorda che le tattiche di manipolazione sfruttano il senso di urgenza e di paura.
I truffatori più sofisticati utilizzano indirizzi email che sono quasi perfetti, come nel caso della truffa di social engineering ai danni di Barbara Corcoran citata in precedenza. In casi come questi, dovrai guardare con più attenzione e verificare se sono presenti errori di digitazione in un indirizzo email apparentemente legittimo.
Se l'attacco di social engineering tenta di indirizzarti verso un determinato sito Web, controlla sempre se il sito è sicuro prima di fare clic sul collegamento o digitare l'indirizzo. Una rapida ricerca dell'URL sul Web può rivelare segnalazioni di truffe relative all'indirizzo Web in questione. Dovresti anche diffidare dei siti a cui manca la "s" di HTTPS (all'inizio dell'indirizzo Web): la "s" sta per "sicuro".
Installa un antivirus affidabile
Il software antivirus si è evoluto di pari passo con la criminalità informatica ed è uno dei migliori strumenti da includere nel tuo kit quando utilizzi Internet. AVG offre software antivirus gratuito in grado di rilevare e bloccare virus, ransomware e altri tipi di malware. Può anche catturare download dannosi e allegati email infetti prima che raggiungano il tuo computer, una funzionalità che si rivela particolarmente utile se cadi in una trappola di social engineering mentre stai cercando di scaricare un film.
Aggiungere AVG AntiVirus Free al tuo kit di strumenti per la sicurezza informatica non costa nulla e ti consente di aggiungere un nuovo livello di protezione per difenderti dai virus e dalle truffe in agguato su Internet.
Utilizza una connessione Wi-Fi privata o una VPN, quando possibile
Anche se accedere alla rete Wi-Fi gratuita dell'aeroporto e rispondere alle email di lavoro sembra un'idea migliore che sedersi a mangiare una pessima fetta di pizza nell'area ristoro, ricorda che sulla rete Wi-Fi dell'aeroporto non avrai una connessione privata.
Molte altre persone condivideranno la tua stessa rete e questo renderà le tue informazioni personali (o di lavoro) vulnerabili ad attacchi. Quando accedi a informazioni riservate, soprattutto dettagli privati come le tue credenziali di online banking, assicurati di utilizzare sempre una connessione privata.
Un altro ottimo strumento è offerto da una VPN, ovvero una rete privata virtuale. Una VPN, come AVG Secure VPN, cripta la tua connessione a Internet consentendoti di utilizzare una rete Wi-Fi pubblica in modo sicuro. La VPN maschera anche il tuo indirizzo IP per evitare che la tua attività online sia ricollegabile alla tua vera identità e alla tua posizione. L'installazione di una VPN offre un livello di protezione in più da attività con finalità dannose, sia a casa che in pubblico.
Implementa l'autenticazione a più fattori
L'autenticazione a due fattori può consentirti di restare fuori da quel gruppo di utenti Internet facili da adescare che rappresentano l'ambito bersaglio degli hacker. Con l'autenticazione a due fattori devi verificare la tua identità in due posizioni separate, ad esempio nel computer e nel telefono o anche con una chiave di sicurezza fisica.
È improbabile che un hacker possa accedere al tuo computer e al tuo telefono allo stesso tempo, quindi l'autenticazione a più fattori è un ottimo ostacolo per impedire a qualcuno di accedere ai tuoi account. La visualizzazione di una richiesta di autenticazione sul telefono quando non hai tentato di accedere al computer è anche un chiaro campanello d'allarme che sta accadendo qualcosa di sospetto.
Utilizza sempre password complesse
Se cadi in una trappola di social engineering e l'hacker si impossessa delle tue informazioni di accesso, per lo meno devi evitare che l'hacker possa utilizzarle per accedere agli altri tuoi account protetti da password. In altre parole, non dovresti utilizzare le stesse password per account diversi e dovresti sempre creare password complesse.
Se, ad esempio, la password compromessa associata al tuo account email era "gattoFelix456" e la password che utilizzi per l'online banking è "123felixGatto", è probabile che l'hacker sia in grado di intuire questa seconda password e accedere anche ai tuoi dati bancari. Non impegnarsi a creare password complesse è un po' come sbattere la porta anziché chiuderla a chiave: non è una tecnica molto efficace per difendersi da un attacco.
Utilizza un antivirus come arma nella lotta al social engineering
Potresti avere l'impressione che la rete Internet sia infestata da utenti malintenzionati che cercano di manipolare le tue emozioni abbastanza a lungo da sottrarre i tuoi dati. Tuttavia, le misure preventive hanno fatto grandi passi avanti nella lotta contro le minacce del social engineering. Informandosi sulle tecniche di social engineering esistenti sarà molto più facile riconoscerle mentre sono in azione e molto più difficile abboccare all'amo.
Oltre a documentarsi, una delle migliori mosse per far fronte al social engineering è quella di utilizzare un potente software antivirus. AVG AntiVirus Free esegue la scansione del computer e della rete, rilevando e ostacolando virus, spyware, ransomware o altri tipi di malware che un hacker potrebbe provare a utilizzare per entrare di nascosto.
AVG AntiVirus Free blocca anche allegati email, collegamenti e download non sicuri, impedendo così di selezionarli, nemmeno per errore. Siamo tutti esseri umani, ciascuno intento a navigare su Internet con le proprie inclinazioni: è quindi una buona idea dotarsi di un livello di sicurezza in più nel caso in cui rimaniamo vittime di una truffa.
We use cookies and similar technologies to recognize your repeat visits and preferences, to measure the effectiveness of campaigns, and improve our websites. For settings and more information about cookies, view our Cookie Policy. By clicking “I accept” on this banner or using our site, you consent to the use of cookies.