Il phishing e l’ingegneria sociale sono due tecniche di attacco informatico che cercano di ingannare le persone per ottenere informazioni personali o accedere a sistemi protetti. Spieghiamoli in parole semplici:
1. Phishing
l phishing è un tipo di truffa online in cui gli hacker inviano messaggi o e-mail apparentemente provenienti da organizzazioni legittime, come
banche, social media o servizi online. Queste e-mail sembrano autentiche e convincenti, ma in realtà sono falsificate per ingannare le vittime. L’e-mail chiederà di fare qualcosa, come cliccare su un link per “verificare l’account” o fornire informazioni personali come nome utente, password, numeri di carta di credito, ecc. Quando le vittime seguono le istruzioni, finiscono per consegnare le loro informazioni sensibili agli hacker permettendo loro di ottenere libero accesso a database e sistemi aziendali.
2. Ingegneria Sociale
L’ingegneria sociale è una tecnica psicologica in cui gli attaccanti cercano di manipolare le persone per ottenere ciò che vogliono. Questi truffatori usano trucchi emotivi o ingannano le vittime fingendosi qualcun altro oppure facendo leva su una qualche autorità. L’obiettivo è spingere i dipendenti a rivelare informazioni personali o a compiere azioni rischiose, come scaricare software dannoso o fornire accesso a sistemi protetti.
CASO REALE DI PHISHING E DI ingegneria sociale
Accaduto ad un’azienda attraverso un attacco di phishing mirato. Un dipendente ricevette una e-mail apparentemente proveniente dalla sua banca, che chiedeva di verificare le informazioni del conto bancario cliccando su un link fornito nel testo stesso dell’e-mail. L’e-mail sembrava molto autentica, riportava il logo della banca e il formato della utilizzato normalmente. Il dipendente, preoccupato per la sicurezza del suo conto bancario, cliccò sul link e fu reindirizzato a una pagina web in tutto e per tutto simile a quella della sua banca. Senza esitare, inserì il suo nome utente e la password per effettuare l’accesso al conto. Ma purtroppo, la pagina era una copia fraudolenta creata dagli hacker. Il dipendente aveva appena consegnato le sue credenziali di accesso agli attaccanti. Questi ultimi, con il controllo dell’account a sottrarre fondi e a compiere altre operazioni finanziarie dannose. In questo caso, gli hacker utilizzarono la tecnica del phishing combinata con l’ingegneria sociale. Hanno sfruttato l’ansia del dipendente di proteggere il proprio conto bancario per ingannarlo e ottenere le sue informazioni personali.
Anche se apparentemente banale, questo caso è molto efficace ed inganna ancora oggi migliaia vittime facendo leva sulla paura. È importante dunque prestare sempre attenzione e verificare la provenienza delle e-mail o dei messaggi sospetti. Mai fornire informazioni personali o fare clic su link in e-mail non verificate. Per prevenire attacchi di phishing e proteggere i dati aziendali, anche qui, la consapevolezza e la formazione dei dipendentisono fondamentali.