Interview on Social Engineering threads with an Italian high school student within the Alternanza Scuola-Lavoro project

Written by Matteo Mauri, CNIT

Alternanza Scuola Lavoro is a project that involves high school students in Universities' research activites. CNIT - PRA Lab hosted 2 students from the high school liceo Euclide of Cagliari, involving them in Social Engineering themes and teaching them modern techniques agains digital targeted attacks. The students were involved also in some activites carried on within the project DOGANA - aDvanced sOcial enGineering And vulNerability Assesment framework.

Marco G., one the two students involved in the project, released an interview to the DOGANA's Social Engineering Blog. Available in English and in Italian.

 

ENGLISH VERSION

Did you ever hear something about Social Engineering before the experience at CNIT, University of Cagliari?

No I didn't. I only remotely caught a glimpse of some news about the Carbanak attack and heard what happened in the attack to the Italian "Hacking Team". I didn't know anything about the "Social Engineering" phenomenon.


Considering the things you've learned, do you think that a school can be exposed to attacks carried out with Social Engineering techniques? Which type of data can be considered more exposed to computer security risks in a common school?

I believe that people with the right information and knowledge, can somehow be able to use certain techniques related to social engineering in order to obtain, sensitive information such as Username and Password of school employees, sometimes useful to access various online platforms, first of all the School Electronic Register.

 

Could be an awareness campaign on the Social Engineering useful in your school?

Yes, I think it is necessary to inform not only the students first and foremost, but also much people as possible, about the danger that these issues represent. It would be safer if everyone knew various hidden dangers that may arise, for example, during our activities on social networks.

 

After the experience at University of Cagliari, did you change your attitude while reading e-mails or using your social profiles? Did you change any privacy setting or password on your web profiles and web accounts?

I have always been a rather careful from this point of view, but this experience has further opened my eyes and made me pay more attention during my activity on the Internet.

 

Prior to this experience, which was your idea of "research", "university", "security", and which is your current idea on these concepts?

Before this experience, I had just "touched" the surface of these terms, but never once stopped to think and reflect on their true meaning and on the role they play in our everyday life. For example, the University represented to me only a distant and unknown place, as well as the research activities carried on within it. After this experience, it certainly represents a more "real and tangible place". Talking about "computer security", though knowing these words, I didn’t know the activities, the risks and the problems that this field have to constantly face in everyday life and the ways to solve and prevent the security matters.

 

ITALIAN VERSION

Prima di questa esperienza avevi mai sentito parlare di Social Engineering a scuola o in altre circostanze? (oppure) Avevi sentito parlare di attacchi informatici di questo tipo pur senza conoscere termini come "Social Engineering"?

No/ Avevo solamente intravisto (seppur lontanamente) alcune notizie riguardanti l’attacco Carbanak e a quanto accadde nell’attacco all’ Hacking Team , seppur senza appunto conoscere nulla a riguardo al fenomeno del “Social Engineering”.

 

Alla luce di quello che hai imparato, pensi che una scuola possa essere esposta ad attacchi effettuati con queste tecniche? In una scuola quale tipo di dati può essere considerato più esposto e quindi più a rischio?

Credo che qualsiasi persona , con le giuste informazioni e conoscenze , possa in qualche modo riuscire ad utilizzare alcune tecniche relative al Social Engineering al fine di impossessarsi , ad esempio , di informazioni sensibili quali Username e Password di dipendenti scolastici in modo da poter perciò accedere a svariate piattaforme online, prima fra tutte quella del Registro Elettronico.

 

Alla luce della tua esperienza all’Università di Cagliari hai cambiato atteggiamento quando leggi le e-mail, o utilizzando i tuoi profili social? Hai cambiato qualche impostazione di privacy o password suoi tuoi profili e account che usi nel web?

Sono sempre stato una persona piuttosto cauta da questo punto di vista , credo di esser sempre stato abbastanza attento a non utilizzare mai password troppo banali nei miei profili online o sui social (seppur non ne frequenti molti) , è bene considerare però che questa esperienza mi ha permesso di aprire gli occhi e prestare ancora più attenzione durante la mia attività in Internet.

 

Pensi che possa essere utile una campagna di informazione sul Social Engineering nella tua scuola?

Si, ritengo che sia una necessità informare non solo gli studenti in primis , ma anche quante più persone possibile, sul pericolo che questa problematica rappresenta. È bene che tutti vengano a conoscenza dei vari pericoli nascosti che ci si possono presentare, ad esempio, durante la nostra attività sui social network.

 

Prima di questa esperienza che idea avevi di termini come “ricerca”, “università”, “sicurezza informatica”, e che idea hai ora?

Prima di questa esperienza avevo solamente “sfiorato” la superficie di questi termini, senza però mai soffermarmi un momento a pensare e riflettere sul loro reale significato e sul loro ruolo nella vita di tutti i giorni. Ad esempio, prima l’Università rappresentava per me solamente un luogo ancora lontano e sconosciuto, così come lo erano le attività che si svolgevano all’interno di essa. Dopo questa esperienza essa rappresenta certamente un luogo più “reale e tangibile”. Per quanto riguarda la “sicurezza informatica”, seppur avendo conoscenza del termine, ignoravo quali potessero essere le attività, i rischi e le problematiche che essa dovesse affrontare continuamente nella vita quotidiana e il modo in cui essa si approcciasse ad essi.

 

 




This project has received funding from the European Union’s Horizon 2020 Research and Innovation programme, under grant agreement No. 653618

 

      

 

PHISHING WARS
The DOGANA phishing videogame

Want to try it?
Read more here and contact us

 

DOGANA CARDS GAME
Phishing: awareness through play

Want to try it?
Read more here and contact us

 

Contraband pixels and texts
Read all about our liteary-graphic competition on phishing and social engineering

All the pictures and novels