Con questi due termini si intendono tutti i tentativi volti a carpire dati estremamente importanti dai nostri dispositivi informatici, anche e sopratutto mobili – dove l’attenzione è minore dacché utilizzati ormai “per abitudine o noia”, ovvero del prendere in mano lo smartphone quasi sempre , con noncuranza.
Phishing, il pescare e il far abboccare all’amo.
Brutale definizione, per chi ne è vittima, del tranello in cui si è caduti.
A cosa più comunemente possiamo abboccare?
- e-mail che proviene, o sembra provenire, dalla propria banca, da un sito dove abbiamo account economici: questa è la forma più grave di truffa in cui si può cadere, e negli ultimi tempi si sono fatte più evolute, adottando meccanismi di social engineering sempre più evoluti;
- messaggio da un amico via Social Network in cui, a titolo di esempio, ti dice “guarda questa super occasione a prezzo praticamente gratis che voglio condividere con te perché siamo amici-amici“: l’amico/a è stato vittima a sua volta, gli è stato sottratto l’account del social network ed ora viene utilizzato da “brutte persone” per pescare a strascico nella rete di conoscenze;
- messaggio da chat o gruppo/canale di chat, proveniente da contatto “fidato”, vittima anche lui di questa catena;
E lo Smishing?
Come sopra, ma tutti questi tentativi arrivano anche via SMS, che molti considerano ancora come un canale più affidabile in quanto si pensa che almeno devono avere il tuo numero di cellulare per mandarti qualcosa e tu stai sempre molto attento a darlo in giro.
Falso. Il tuo numero di cellulare probabilmente circola molto più, enormemente più di quanto pensi. Lo avrai inserito in qualche sito, per una verifica via OTP (One Time Password) o più comunemente si trova registrato in un gruppo di chat, sui social network che usi, ed in ogni anche più improbabile meandro di internet. Uno di questi luoghi è stato violato e da quel momento il tuo numero di cellulare circola.
Queste e molte altre sono le più comuni ma l’obiettivo di questo articolo non è la mera produzione di un elenco di tutte le possibilità, quando arrivare alla sorgente del problema e cercare di dare gli strumenti analitici per non incappare in truffe di questo tipo.
Come mi difendo?
Il sapere come si può essere attaccati aiuta a preparare le difese – vale in qualsiasi manuale di strategia militare e sì, anche questa è una guerra.
Riprendiamo in mano il termine enunciato all’inizio dell’articolo: Social Engineering, che tradotto è Ingegneria Sociale.
Nel contesto della psicologia sociale, gli esseri umani hanno alcune debolezze che portano a comportamenti schematizzabili, e quindi prevedibili; sono questi comportamenti, le reazioni a determinate situazioni, che vengono sfruttate dai malintenzionati per penetrare le tue difese.
Come riportato nell’estratto di cui fonte, le tecniche psicologiche utilizzate nell’ingegneria sociale sono molteplici, ma le più comuni riguardano lo sfruttamento di strumenti quali autorevolezza, senso di colpa, panico, ignoranza, desiderio, avidità e compassione.
I malintenzionati faranno quindi leva su questi ambiti e sulle nostre talvolta automatiche reazioni, che avvengono per atavici meccanismi di auto-difesa o auto-determinazione.
Cosa fare quindi?
Nulla. Non fare nulla. Fermati.
E’ il miglior consiglio che si possa dare, per quanto sembri il più ingenuo e scontato.
Eppure facendo nulla, fermandoti a ragionare, aspettando e chiedendo aiuto a persone fidate o esperti del settore stai facendo la cosa giusta. Perché non è successo nulla, ed anche se il tuo conto in banca ti dicono che è vuoto, beh, peggio di così non può andare, se anche fosse vero.
Prenditi quindi del tempo e non agire mai impulsivamente. Non cliccare, non aprire allegati, non rispondere ai messaggi.
Se non conosci esperti o persone di fiducia cerca su internet, utilizza un motore di ricerca e riporta il testo del messaggio (o parte di esso nella) barra di ricerca: è molto probabile che questo sia capitato anche ad altri ed in questo modo potrai capire che è palesemente una truffa.
Leggendo questo articolo fino a questo punto, puoi chiedere anche a noi. E’ il nostro lavoro dopotutto.