… è quello di farsela dire. Il social engineering è una delle forme più efficaci e più utilizzate, per bypassare un sistema protetto, dalla tessera di blockbuster al conto bancario.
Recentemente sono stati eseguiti alcuni esperimenti a New York (da RSA Security) e a Venezia (dal periodico Focus): falsi intervistatori hanno avvicinato turisti a spasso con la scusa di un sondaggio e, promettendo un piccolo gadget, sono state raccolte con facilità una grande quantità di informazioni di carattere personale. (Fonte ANSA)
Ovviamente nessuno (forse) avrà rivelato il PIN di accesso al proprio conto corrente online, ma, in realtà, anche i soli nome, indirizzo e data di nascita rappresentano un patrimonio più che sufficiente ad un “ingegnere sociale” per sferrare un attacco, nel caso in cui questo possa rappresentare un’occasione di guadagno.
Il social engineering, per usare le parole del guru del settore Kevin Mitnick, non è altro che l’utilizzo di tecniche dell’”inganno”, di espedienti per usare la buona fede, l’ingenuità o l’inesperienza delle persone che hanno accesso alle informazioni “sensibili”: un ingegnere sociale è un hacker che non utilizza per i suoi esperimenti il computer e gli exploit, ma cerca, con la parola, di violare l’anello più debole della catena di sicurezza di un’azienda, di una banca, di un’istituzione governativa: il fattore umano.

Ecco, allora, il decalogo di RSA Security e di Focus, diffuso in occasione della presentazione dell’indagine-esperimento di Venezia e New York:
1. Non comunicare a nessuno le tue password e come le crei e soprattutto non annotarle mai su fogli e foglietti alla portata di chiunque.
2. Cerca di non usare sempre la stessa password per accedere a siti e servizi diversi e comunque modificala regolarmente: al minimo ogni 90 giorni.
3. Usa password lunghe almeno 8 caratteri e alfanumeriche. Evita di usare parole di uso comune o informazioni personali.
4. Evita di usare come password la stessa parola usata come login e combinazioni di lettere di tasti vicini sulla tastiera.
5. Sii cauto nel fornire a sconosciuti informazioni personali apparentemente innocue quali la tua data di nascita perché potrebbero essere usate per indovinare le tue password.
6. Se ti vengono chieste informazioni personali – nome, email, indirizzo, telefono, numero di conto corrente – verifica l’utilizzo che ne verrà fatto, se verranno protette e non saranno condivise con nessuno.
7. Verifica sempre l’identità di chi – società o persona – ti chiede informazioni personali: se è in buona fede, non avrà problemi a fornire telefono e indirizzo fisico per consentirti di fare delle verifiche. Diversamente: diffida.
8. Chiedi al tuo service provider (banca online o Internet provider) se offre strumenti più sicuri delle password per proteggere i tuoi conti correnti e account online dall’accesso non autorizzato.
9. Quando fai acquisti online, verifica che sul bordo inferiore del browser appaia l’icona di un lucchetto. Ciò indica che la connessione è protetta. Inoltre verifica, cliccando due volte sul lucchetto, che all’interno della finestra appena comparsa sia presente lo stesso nome del sito web a cui sei collegato per usufruire del servizio.
10. Non farti ingannare da email apparentemente innocenti ma in realtà assurde (phishing): banche e altre organizzazioni serie non chiedono mai via email dati riservati come password e numeri di conto corrente dei propri clienti.

Software utile
Kee Pass Password Safe : è un applicazione gratuita, a formato aperto, leggera e semplice da usare per gestire le proprie password. Consente di archiviare le proprie password in un database a cifratura altamente sicura il cui accesso è blindato da un’unica password. L’applicazione non necessita di installazione e può essere utilizzata, quindi, anche sopra una chiavetta USB.
E’ scaricabile qui

NetCraft Antiphishing Toolbar : è una toolbar che si integra al browser, in grado di bloccare i siti segnalati dalla community come strumento di phishing. Contiene, inoltre, altre features quali la possibilità di individuare informazioni sul sito che viene visitato (tra cui il paese in cui viene “hostato”), o la possibilità di mostrare sempre i controlli di navigazione (barra degli indirizzi e pulsanti di navigazione) anche quando nascosti.
E’ scaricabile qui