Gli attacchi basati sulla tecnica del social engineering mirano a sfruttare le debolezze psicologiche tramite azioni ingannevoli che inducono ad installare software dannoso o rivelare informazioni personali; si pensi per esempio ad un’immagine confezionata per informare l'utente che il sistema non è aggiornato inducendolo a cliccare su un link per l'update.
Un altro esempio potrebbe essere una finestra di dialogo che sembra provenire effettivamente dalla fonte originale, ma in realtà è una copia. Un ulteriore caso di attacco incentrato sul social engineering è la presenza in un sito Web di pulsanti che presentano con lo stesso look and feel di una pagina. Al di là delle differenti modalità d'impiego, l'ingegneria sociale è spesso strettamente legata al Web design.
A tal proposito Google ha recentemente annunciato l’estensione del tool Safe Browsing per proteggere gli internauti da possibili attacchi di social engineering. Verrà quindi considerato come potenziale attacco un contenuto inserito in una pagina che:
- finga di agire come un’entità fidata, ad esempio il browser o il sito Web corrente;
- spinga l’utente a fare qualcosa che farebbe per un’entità fidata, come condividere una password o contattare il supporto tecnico.
Il tool di Mountain View analizza le pagine Web alla ricerca di componenti, programmi o script potenzialmente pericolosi. Il risultato finale dell'attività di controllo è un alert di colore rosso che compare ogni volta che si tenta di accedere a un portale considerato dannoso:
Può capitare che il proprio sito Web venga etichettato come fornitore di contenuti finalizzati ad attacchi basati sul social engineering. In questi casi Google consiglia di:
- verificare tramite search console di essere effettivamente il proprietario del sito e che non siano stati aggiunti nuovi proprietari sospetti;
- controllare il report “Problemi di sicurezza” per capire se il proprio sito risulta essere un sito che effettua attacchi finalizzati all'ingegneria sociale;
- rimuovere contenuti dannosi;
- controllare le risorse di terze parti (annunci, immagini) incluse nel sito;
- richiedere un controllo di sicurezza tramite il rapporto “Problemi di sicurezza”.
Per approfondire: Guida Google Search Console