Il termine social engineering si riferisce alla manipolazione psicologica utilizzata per ingannare e manipolare le vittime al fine di spingere le persone a rivelare determinate informazioni o consentire l’accesso a un sistema informatico.
Tra tecniche utilizzate dagli esperti di social engineering vi è il baiting (offrire qualcosa al fine di consentire il download di un file dannoso), il phishing (una mail realizzata appositamente per favorire l’inserimento di informazioni personali), il pretexting (l’impersonare qualcuno per ottenere l’accesso a dati privilegiati) o lo scareware (spingere l’utente a credere che il proprio computer sia infetto per poi offrire una soluzione con cui infettarlo veramente).
Come i truffatori del mondo reale, i ladri online utilizzano l’impersonificazione come mezzo per rubare informazioni importanti o accedere a conti bancari. Questa tecnica di attacco è chiamata spoofing, può essere utilizzata per falsificare diverse informazioni, come ad esempio l’identità di un host all’interno di una rete o il mittente di un messaggio. Una volta che un attaccante riesce ad impersonare qualcun altro all’interno di una rete gli è possibile intercettare informazioni riservate, diffondere informazioni false e tendenziose o effettuare qualsiasi tipo di attacco. Risulta particolarmente efficace combinata a tecniche di social engineering per ottenere l’accesso ad informazioni “riservate” e credenziali degli utenti. Social media scammers o phishers possono usare questa tecnica ad esempio per convincere un utente a connettersi ad un server malevolo intercettando così le sue credenziali.