Tessera di socio
TCS Mastercard
Fattura


Social engineering

Ecco come veniamo ingannati dai criminali del web: e-mail che minacciano di cancellare i nostri dati o SMS che annunciano una vincita eccezionale.

Poiché siamo costantemente online sul web, ci sono diversi pericoli su Internet che devono essere trattati. Il TCS desidera svolgere un ruolo attivo nella lotta contro questi pericoli e rischi ed è quindi diventato membro della SISA Swiss Internet Security Alliance.

Cos’è il social engineering?

E-mail che minacciano di cancellare i nostri dati, SMS che annunciano una vincita eccezionale o contatti Facebook che prospettano la nascita di un grande amore: gli incontri inattesi sul web spesso non mantengono quanto promesso. Scoprite di più sulle truffe su Internet, sulle strategie adottate dai criminali e su cosa potete fare per difendervi.

L’espressione «social engineering» definisce un metodo finalizzato a ingannare gli altri. Fuorviandoci con stratagemmi di natura psicologica, i criminali cercano di carpire informazioni riservate, di appropriarsi di denaro o di accedere all’ambiente IT della nostra azienda. La strategia di attacco punta sempre a sfruttare determinati comportamenti. In questo caso, il concetto di «social engineering» può essere tradotto con «condizionamento» o «manipolazione sociale».

TCS Libretto Protezione Internet – per andare sul sicuro!

Si legge spesso di furti di dati, truffe online e altri raggiri che accadono nel mondo digitale. Contro le conseguenze di queste nuove minacce potete ora tutelarvi in modo completo con il TCS Libretto Protezione Internet. Ora già da CHF 4.– al mese.

Saperne di più

Come funziona il social engineering?

In determinate situazioni, gli esseri umani reagiscono senza analizzare criticamente le proprie azioni. Ciò accade soprattutto quando sono in gioco emozioni forti come stress, paura o amore: «Il mio account verrà eliminato fra 5 minuti?!», «Il tecnico informatico ha bisogno della mia password?!», «L’amore della mia vita, conosciuto online, ha bisogno di soldi per poter accudire il figlio malato?!». Quando i criminali si mascherano con astuzia da individuo o azienda, possono metterci in una condizione di vulnerabilità o farci sentire in obbligo di agire, con conseguenze che alla fine finiscono per nuocerci.

Stratagemmi psicologici: caratteristiche di un caso di social engineering

I criminali si avvalgono di stratagemmi psicologici per manipolarci. A tale scopo, sfruttano sempre emozioni che ci mettono sotto pressione e ci impediscono di ragionare con un approccio critico. Diffidate delle e-mail o delle chiamate che presentano le seguenti caratteristiche:

  • Minaccia: Se non fai X, accadrà Y!
  • Urgenza: Presto (!), agisci subito!
  • Esclusività: Mi rivolgo proprio a te!
  • Richiesta: Ho bisogno di aiuto!
 
 

Situazioni frequenti di social engineering

 
 
Siamo sinceri: chi non si farebbe tentare nelle situazioni illustrate di seguito?
Esempio I. Shop online ingannevoli: troppo conveniente per essere vero

La possibilità di fare un affare o l’occasione irripetibile di acquistare un prodotto a prezzo scontato sono situazioni che accogliamo sempre con favore. I criminali le sfruttano a proprio vantaggio gestendo shop online che propongono offerte allettanti. Scarpe da ginnastica firmate a soli CHF 20.-? Borsa di marca scontata del 40%? Suona interessante. Spesso le offerte sono valide solo per un giorno o persino per un’ora. Così facendo i criminali cercano di metterci in una situazione di stress e di indurci ad accettare l’offerta irripetibile. Confermiamo l’acquisto e inseriamo i dati della nostra carta di credito per procedere al pagamento. Il presunto affare non ci verrà purtroppo mai recapitato.

«Acquista subito il nuovo iPhone con un incredibile sconto del 50%! Solo per te e solo per oggi!»

Esempio II. La truffa dell’amore: altruismo in prima linea

Quando la persona di cui siamo innamorati è in difficoltà, interveniamo senza indugio. I criminali sfruttano il nostro altruismo. Mascherati da soldati o medici con un impiego all’estero, nel corso del tempo conquistano il cuore e la fiducia con affettuosi messaggi online. Finalmente arriva il momento di un incontro di persona. Tuttavia, prima dell’appuntamento, la persona conosciuta su Internet fa presente al malcapitato che la nipote dovrà presto sottoporsi a un’operazione costosissima. Mossa da amore e animata dal desiderio di aiutare, la vittima si dichiara subito disponibile a sostenere economicamente la famiglia all’estero.

«Penso sempre a te e non vedo l’ora di incontrarti. Purtroppo però devo aspettare che operino mia nipote. È un intervento molto complesso e caro...»

Esempio III. La truffa del CEO: è davvero il capo a contattarci?

I criminali si servono di minacce che promettono di tradursi in realtà se non agiamo immediatamente e senza pensarci due volte.
Il vostro superiore è in ferie. Quando la giornata di lavoro volge ormai al termine, ricevete un’e-mail che vi dice di saldare immediatamente (!) la fattura allegata. Se non lo farete, l’azienda perderà il cliente. Il vostro superiore provvederebbe di persona al pagamento, ma è assente dal lavoro e non c’era nessun altro reperibile a quell’ora della sera. L’e-mail e i dati del conto del cliente sono tuttavia falsi.

«Al momento non sono raggiungibile telefonicamente, ma è fondamentale che il pagamento venga effettuato prima della fine dell’orario di lavoro! Altrimenti perderemo il cliente! Mi raccomando di trattare la questione con la massima riservatezza!»

Tutte le vittime sono scettiche all’inizio. I criminali cercano di combattere questa diffidenza utilizzando i seguenti metodi:

  • fingono di essere persone degne di fiducia, presentandosi ad esempio come donne, anziani, agenti di polizia o superiori.
  • chiamano in causa parenti, conoscenti e persone stimate che confermino la situazione/l’urgenza.
  • inviano la copia di un presunto documento d’identità o passaporto o presunti documenti come bolle di consegna, biglietti o contratti.
  • assicurano che il denaro da trasferire «finirà al sicuro».
 
 

Cosa fare? Respirare profondamente. Analisi dei fatti. Verifica.

  • Respirare profondamente: quando vi trovate davanti a un’urgenza, per prima cosa fate sempre un respiro profondo. Fermatevi un attimo a riflettere prima di cliccare su un link o di trasferire denaro. Analizzate i fatti!
  • Analisi dei fatti: quando qualcosa è troppo bello per essere vero, di norma è proprio così, soprattutto su Internet. Chiedetevi se la richiesta o l’offerta che avete ricevuto via e-mail o sul cellulare può essere ritenuta realistica: ho partecipato alla lotteria? Uno stilista venderebbe le sue borse davvero a un prezzo così conveniente?
  • Verifica: se questa analisi non vi aiuta a chiarire i fatti, approfondite la questione. Si tratta di un messaggio sospetto della vostra banca? Chiamatela subito. È un messaggio inviato dal vostro superiore? Chiedete di parlargli. Oppure avete ricevuto una fattura o un contratto da un’azienda che conoscete? Non esitate a contattarla.

Non è la prima volta? Niente panico.

Avete trasferito denaro?
  • Contattate la vostra banca
  • Interrompete subito qualsiasi comunicazione con l’aggressore
  • Sporgete denuncia alla polizia
Avete comunicato ad altri la vostra password?
  • Modificate le vostre password
  • Avviate il vostro antivirus
  • Informate il vostro reparto IT
Veri casi di social engineering
Aziende vittime di danni economici: AMAG e Emile Egger
L’azienda svizzera Emile Egger è stata vittima di una «CEO Fraud», la truffa del CEO, mentre la rete aziendale dell’importatore automobilistico AMAG è stata colpita da un attacco hacker scatenatosi a partire da un allegato di posta elettronica dannoso. In entrambi i casi si parla di danni per diversi milioni di franchi.
L’amore della vita?

Una donna di Zurigo ha subito una truffa di CHF 180’000.- architettata dal presunto amore della sua vita. È caduta vittima di una cosiddetta «Romance Scam», la truffa dell’amore.

Attacco hacker su Twitter
Nel luglio del 2020, 130 profili Twitter di personalità di fama mondiale sono stati presi di mira dagli hacker. Twitter parla di un attacco coordinato di social engineering finalizzato a colpire in maniera mirata collaboratori con accesso a sistemi e tool interni.
Newsletter
Reti sociali
FacebookInstagramTwitterLinkedInYouTube
Rivista Touring
Rivista Touring
Apps
Nuovi prodotti & giubilei
50 Jahre Rechtsshutz
60 Jahre ETI Schutzbrief
Mitgliedschaft Familien
 
La preghiamo di pazientare un momento.
Il Suo ordine è in fase di elaborazione.