Introducing G2.ai, the future of software buying.Try now
Categoria Email Anti-spam

Ingegneria Sociale: Cosa Puoi Fare per Evitare di Essere una Vittima

Maggio 28, 2021
Sagar Joshi
SJ
da Sagar Joshi

In questo post

In questo post

L'ingegneria sociale prende di mira le menti umane per trasformare l'intento malevolo di un attaccante in veri e propri attacchi informatici.

Gioca sulla tua avidità, paura e insicurezze per ingannarti a fornire le tue password e altre informazioni sensibili. È comune ricevere email o messaggi sospetti con avvertimenti e offerte a tempo limitato, che ti incoraggiano a inserire dettagli riservati.

Devi essere consapevole e attento 24 ore su 24, soprattutto quando vedi offerte generosamente sospette e avvertimenti minacciosi con conseguenze oscure.

Cos'è l'ingegneria sociale?

Nella sicurezza informatica, l'ingegneria sociale è una pratica malevola che inganna le persone a rivelare le loro informazioni sensibili utilizzando la manipolazione psicologica. Gli attaccanti possono convergere un attacco di ingegneria sociale in uno o più passaggi utilizzando diverse tecniche.

Ogni mente è diversa, così come i suoi pregiudizi cognitivi. L'ingegneria sociale utilizza vari pregiudizi cognitivi della mente umana per progettare un vettore di attacco e una tecnica adatti.

Gli attaccanti sfruttano ingiustamente queste complessità decisionali per apportare variazioni alle loro tecniche. Ciò si traduce nella produzione di numerose tecniche di ingegneria sociale che prendono di mira esclusivamente gruppi o individui.

Di conseguenza, diventa indispensabile per te cercare costantemente anomalie e minacce di ingegneria sociale. Per le imprese, è ancora più importante tenere d'occhio le minacce perché una singola credenziale di accesso compromessa potrebbe portare a una violazione della sicurezza incontrollabile.

È consigliabile avere la tua difesa impostata con sistemi di prevenzione e rilevamento delle intrusioni, firewall, software anti-spam per email e altri meccanismi di difesa. Ti aiuterebbero a rilevare e contenere un attacco di ingegneria sociale quando emergono avversità.

Fasi di un attacco di ingegneria sociale

L'attacco di ingegneria sociale è diviso in quattro fasi come segue:

  1. Ricerca. Raccogliere informazioni sugli interessi della vittima, sulla vita personale e professionale e su attributi simili gioca un ruolo significativo nel decidere il tasso di successo dell'attacco.
  2. Coinvolgimento. Gli attaccanti iniziano una conversazione fluida con i bersagli senza lasciare alcun margine di dubbio o sfiducia.
  3. Attacco. Quando i bersagli sono stati adeguatamente coinvolti, gli attaccanti passano a recuperare le informazioni che cercano o ingannano le vittime a compiere un'azione.
  4. Chiusura. Una volta che i motivi degli attaccanti sono soddisfatti, interrompono la comunicazione con la vittima senza alimentare alcun sospetto.

Tecniche e attacchi di ingegneria sociale

Le tecniche di ingegneria sociale non sono limitate a un numero specifico, ma i loro concetti sottostanti uniscono tecniche diverse in cluster unici.

Phishing

Il phishing è una tecnica comune di ingegneria sociale che incontri abbastanza spesso.

Puoi osservarlo in email sospette nella tua casella di posta o nelle cartelle di spam. Queste email contengono allegati malevoli mascherati da file genuini, che possono installare malware o scareware sul tuo dispositivo quando scaricati.

30%

delle email di phishing vengono aperte dagli utenti mirati, e il 12% di quegli utenti clicca sull'allegato o sul link malevolo.

Fonte: PurpleSec

In alcuni casi, invece di inviare allegati, gli ingegneri sociali usano link. Questi link ti portano a un sito web malevolo che ti manipola per rivelare le tue informazioni sensibili. Le aziende usano software anti-spam per email per proteggere gli utenti dalle truffe di phishing.

A volte, i truffatori prendono di mira un piccolo gruppo invece di condurre un attacco di phishing su larga scala. Conducono una ricerca approfondita sul gruppo target per risuonare con i loro interessi e guadagnare la loro fiducia. Tali tipi di attacchi di phishing sono chiamati spear phishing.

Gli attacchi di spear phishing rappresentano minacce significative per le organizzazioni poiché la ricerca dietro di essi aiuta a mascherare gli attaccanti come dipendenti genuini.

56%

dei decisori IT affermano che gli attacchi di phishing mirati sono la loro principale minaccia alla sicurezza.

Fonte: PurpleSec

Le campagne di spear phishing coinvolgono grandi quantità di ricognizione.

Gli attaccanti usano siti di social networking come LinkedIn, Twitter, Instagram e altri per raccogliere informazioni su un obiettivo. Usano informazioni personali e professionali per preparare un'email che appare genuina ma che ha un intento malevolo ulteriore.

Un altro elemento del phishing che richiede la tua attenzione è vishing (o phishing telefonico). Un perpetratore usa un sistema di risposta vocale interattiva (IVR) canaglia progettato per replicare un IVR originale di un'istituzione o banca in un attacco di vishing.

Gli attaccanti inviano un'email alle vittime, convincendole a comporre un numero verde che le collega con l'IVR canaglia. Il sistema di risposta vocale interattiva le guida a inserire le credenziali utente su una pagina web malevola, che assomiglia a una legittima.

Le vittime inseriscono le loro password più volte, ma la pagina web malevola le rifiuta. Inganna le vittime a divulgare varie password all'attaccante.

Quando il phishing viene effettuato utilizzando un servizio di messaggi brevi (SMS), è comunemente chiamato smishing. Gli attaccanti attirano le vittime su siti web malevoli ingannandole a cliccare su un link malevolo in un messaggio di testo. Gli attaccanti mascherano questi messaggi per replicare avvisi di ritiro o consegna di corrieri, premi attraenti, sconti o avvertimenti che incoraggiano il destinatario a intraprendere un'azione.

Sony Pictures è diventata vittima di un attacco di ingegneria sociale nel 2014. I criminali informatici hanno inviato più email di phishing arricchite con allegati malevoli per ottenere l'accesso alla rete di Sony.

Gli attaccanti hanno eseguito ricognizione segreta per alcuni mesi. Quando hanno ottenuto l'accesso alla rete, hanno iniziato a inviare email con minacce ai dirigenti e ai dipendenti dell'azienda, accedendo a informazioni riservate e altri dati sensibili.

Baiting

Il baiting avvolge tutte le tattiche di ingegneria sociale che attirano una vittima bersaglio con un'esca.

Di solito, questa tecnica utilizza esche fisiche ma non è limitata a esse. In ambienti digitali, le esche possono essere consegnate creando annunci malevoli e utilizzando mezzi simili.

Un attaccante può consegnare un'esca fisica sotto forma di disco rigido esterno, USB, dischetto, CD, DVD e simili. La troverai in luoghi comuni accessibili ai dipendenti. I malintenzionati contrassegnano le esche con etichette che potrebbero interessarti di più. Ad esempio, può essere una lista di valutazione, promozioni e cose simili.

Se qualcuno nel tuo luogo di lavoro la collega al proprio sistema informatico, consegna malware alla loro macchina. Le imprese usano suite di protezione degli endpoint per bloccare l'esca in tali situazioni e prevenire l'installazione di malware sul tuo desktop o laptop.

Nel 2016, uno studio interessante è stato condotto all'Università dell'Illinois, dove i ricercatori hanno lasciato cadere 297 chiavette USB in tutto il campus in un ambiente controllato.

I risultati sono stati:

  • 290 chiavette sono state prese dai luoghi di rilascio
  • 135 chiavette sono state inserite in un computer o laptop, e uno o più file sono stati aperti
  • 155 chiavette non hanno mostrato segni di file aperti. Potrebbero essere state inserite o meno.

Il 98% delle chiavette raccolte riflette quanto sia facile cadere nell'esca e rischiare la propria sicurezza inconsapevolmente.

Devi assicurarti che la tua forza lavoro sia ben educata e informata sulle tecniche di ingegneria sociale per evitare di esserne preda.

Un apprendimento continuo e una consapevolezza impartita attraverso software di formazione sulla consapevolezza della sicurezza possono aiutarti a formare i dipendenti su larga scala e valutare la loro prontezza alla sicurezza.

Pretexting

Il pretexting coinvolge la creazione di scenari falsi per coinvolgere le vittime e persuaderle ad agire secondo l'intento malevolo degli attaccanti. Questa tecnica richiede che un attaccante conduca una ricerca approfondita sull'obiettivo e svolga l'impersonificazione il più fedelmente possibile.

Il pretexting è unanimemente visto come la prima evoluzione nell'ingegneria sociale. Ora, viene utilizzato per ingannare le persone a rivelare le loro informazioni personali identificabili o i dati riservati dell'azienda.

Nel primo passo, gli attaccanti cercano di stabilire fiducia con la vittima impersonando la polizia, la banca o istituzioni simili con un diritto presumibile di sapere. I pretextors potrebbero spogliare i loro obiettivi delle loro informazioni sensibili come il numero di conto bancario, il numero di previdenza sociale, i dettagli della carta di credito e diversi altri dati riservati.

L'ingegneria sociale inversa è un tipico esempio di pretexting. Qui, gli attaccanti non contattano la vittima ma la manipolano per essere ingannata a contattare l'attaccante.

Ad esempio, un poster su una bacheca che informa del cambiamento del numero di telefono del servizio IT. In questo caso, i dipendenti contatteranno l'attaccante tramite dettagli di contatto illegittimi.

Alcuni ingegneri sociali usano bot sociali per inviare richieste di amicizia su larga scala e poi impiegano tecniche di ingegneria sociale inversa. Una volta che gli attaccanti identificano i loro potenziali obiettivi, sfruttano i dati personali delle vittime sui social media per stabilire fiducia e ingannarli a divulgare informazioni riservate o sensibili.

Un esempio notevole di pretexting è lo scandalo Hewlett e Packard. L'azienda ha assunto investigatori privati per trovare la fonte delle fughe di informazioni e ha dato loro accesso alle informazioni dei loro dipendenti. Gli investigatori hanno poi chiamato le compagnie telefoniche impersonando i dipendenti per ottenere i registri delle chiamate.

Water holing

Il water holing o (attacco al pozzo d'acqua) è una tecnica di ingegneria sociale in cui gli attaccanti osservano o indovinano siti web specifici che le organizzazioni usano quotidianamente. Una volta che hanno ristretto i siti web familiari ai dipendenti, gli attaccanti li infettano con trojan o aggiungono codice malevolo.

Di conseguenza, alcuni dipendenti del gruppo target diventano vittime. Quando l'attaccante vuole informazioni specifiche dagli utenti, potrebbe attaccare indirizzi IP particolari.

Lo sapevi?

Il termine "water holing" è stato derivato dalla tecnica di caccia dei predatori nel mondo reale, che aspettano vicino ai pozzi d'acqua per attaccare la loro preda.

Fonte: Wikipedia

La preparazione di un attacco al pozzo d'acqua inizia con la ricerca. Coinvolge l'osservazione e l'indagine dei siti web che le organizzazioni usano. Il passo successivo è scansionare questi siti web per vulnerabilità e infettarli con malware.

Gli attaccanti hanno riferito di aver usato la tecnica del water holing per ottenere l'accesso a sistemi ad alta sicurezza. È perché la trappola è impostata in un ambiente che una vittima si fida. Le persone potrebbero evitare con successo di cliccare su un link in un'email non richiesta. Ma non esiterebbero a seguire un link su siti web di cui si fidano.

Un esempio notevole di un attacco al pozzo d'acqua è la Campagna Holy Water che prende di mira società religiose e di beneficenza asiatiche. Gli attaccanti hanno ingannato le vittime a aggiornare il loro Adobe Flash, che ha innescato l'attacco.

Tailgating

Il tailgating è una tecnica di ingegneria sociale in cui un perpetratore cerca di accedere a luoghi sicuri ingannando alcuni dipendenti a credere che siano autorizzati ad accedere alla loro posizione. Ad esempio, per accedere al tuo ufficio, un perpetratore potrebbe chiederti di sbloccare la porta d'ingresso con un token di identità o un tag RFID ingannandoti a credere che abbiano dimenticato il loro tag a casa.

In alcuni casi, potrebbero portare una carta d'identità falsa e chiederti di dare loro accesso poiché la macchina biometrica non accetta la loro impronta digitale a causa di un guasto tecnico.

Il tailgating generalmente sfrutta indebitamente la cortesia comune.

Come atto di aiuto, un dipendente potrebbe tenere aperta la porta per un attaccante (mascherato da un altro dipendente) e dimenticare di chiedere la prova di identità. A volte, il perpetratore potrebbe presentare una prova di identità falsa progettata proprio come quella reale, e una persona autorizzata non è attenta ai dettagli della prova.

Vuoi saperne di più su Software Anti-spam per Email? Esplora i prodotti Email Anti-spam.

Categorie di ingegneri sociali

Esiste una vasta gamma di ingegneri sociali che utilizzano varie tecniche per raccogliere informazioni sensibili. Possiamo classificarli in:

  • Hacker black hat sono persone con intenti malevoli che sono disposte a impegnarsi in attività illegali per ottenere accesso non autorizzato ai tuoi beni. Gli hacker black hat usano tecniche di ingegneria sociale perché gli esseri umani sono più facili da hackerare rispetto alle vulnerabilità di rete o di sistema.
  • Tester di penetrazione impiegano molteplici tattiche per verificare se le persone in un'organizzazione sono suscettibili a divulgare informazioni riservate e sensibili.
  • Spie usano metodi di ingegneria sociale per raccogliere segretamente informazioni su un'organizzazione o un'istituzione. Il loro obiettivo è principalmente legato a fornire benefici strategici o finanziari all'organizzazione che li ha assunti.
  • Ladri di identità rubano informazioni personali identificabili (PII) come il tuo numero di previdenza sociale, nome, indirizzo, indirizzo email, ecc. Queste informazioni, quando vendute sul dark web, offrono un beneficio finanziario.
  • Broker di dati sono aziende o agenzie che raccolgono informazioni sui consumatori per scopi di rivendita. Ci sono casi in cui i broker di dati sono ingannati involontariamente a cedere informazioni sensibili a malintenzionati, qualcosa che è successo nella violazione dei dati di ChoicePoint.
  • Dipendenti scontenti o ex-dipendenti potrebbero usare tecniche di ingegneria sociale per convergere una minaccia interna su un'organizzazione. L'intenzione principale è ottenere una sorta di vendetta dall'organizzazione per non aver soddisfatto le loro aspettative, o può essere per scambiare informazioni inaccessibili in cambio di denaro.
  • Venditori che ti contattano per sapere quali sistemi o tecnologie stai attualmente utilizzando, in modo che possano offrire il loro prodotto in base alle tue esigenze. C'è la possibilità che possano essere ingegneri sociali che fingono di essere venditori e stanno cercando di raccogliere informazioni sensibili.
  • Persone comuni usano tecniche di ingegneria sociale più spesso di quanto siano consapevoli. Potrebbe essere un adolescente che cerca di accedere all'account sociale del proprio partner rispondendo alle domande di sicurezza. Ci possono essere vari altri esempi di vita comune di ingegneria sociale.

Come rilevare le minacce di ingegneria sociale

Gli ingegneri sociali giocano sul desiderio delle persone di ottenere soddisfazione. I truffatori generalmente si mascherano da qualcuno di cui ti fideresti o cercano di guadagnare la tua fiducia in primo luogo.

Devi essere attento e cauto quando qualcuno che non conosci così bene cerca di stabilire fiducia dal nulla.

Puoi rilevare le minacce di ingegneria sociale quando tieni un occhio vigile su:

  • Email da una fonte fidata che ti motiva a cliccare su un link irrilevante
  • Collega o amico che chiede aiuto nei modi meno attesi, inducendo un senso di urgenza
  • Email aziendale da un sito web noto ma con un nome di dominio insolito
  • Email dalla leadership senior o da un collega che ti chiede di eseguire un compito al più presto o di rivelare informazioni specifiche
  • Richieste di donazione da ONG popolari e siti web di beneficenza che utilizzano nomi di dominio irregolari
  • Messaggi che affermano che hai vinto un premio molto generoso
  • Richiesta di verifica (OTP, cambio password, ecc.) da prodotti o servizi che non hai usato di recente
  • Risposta a una domanda che non hai mai posto
  • Messaggi che creano sfiducia tra colleghi
  • Persone che ti chiedono di dar loro accesso a una posizione
  • Messaggi che affermano che hai violato una legge
  • Email che ti chiedono di pagare un importo come multa per un'attività illegale che hai svolto
  • Tentativi di accesso ripetuti effettuati su un dispositivo non riconosciuto
  • Utenti autorizzati che cercano di accedere a informazioni aziendali o finanziarie al di fuori del loro ambito

Queste sono alcune delle azioni che potrebbero convergere come minacce di ingegneria sociale, ma non sono limitate a quanto sopra. Una vasta gamma di minacce di ingegneria sociale prevale nelle aziende, e il rilevamento è il primo passo verso la loro risoluzione.

Ogni volta che senti qualcosa di sospetto, ricorda di prenderti del tempo e chiederti le seguenti domande:

  • Il messaggio è arrivato da una fonte fidata?
  • È davvero il mio amico che mi ha inviato il messaggio?
  • Le mie emozioni (paura, avidità, eccitazione, curiosità) sono aumentate?
  • Questo sito web appare diverso dal solito?
  • Questa offerta sembra troppo bella per essere vera?
  • Questi allegati o link sembrano sospetti?
  • Possono provare la loro identità?

Come prevenire gli attacchi di ingegneria sociale

Puoi prevenire gli attacchi di ingegneria sociale adottando contromisure adeguate.

Consapevolezza e formazione

Gli attacchi di ingegneria sociale avvengono a causa della mancanza di attenzione e ingenuità. Devi fornire una consapevolezza adeguata e regolare ai tuoi dipendenti per renderli ben informati sulla natura delle minacce. Paul Kubler, un membro fondatore di CYBRI, dice: "Gli esseri umani devono essere addestrati - sono l'anello più debole."

“Le aziende dovrebbero impiegare una formazione semestrale orientata a ciascun gruppo di utenti (utenti finali, personale IT, ecc.) in modo che tutti siano consapevoli degli attacchi più recenti.”

Paul Kubler
Capo del team rosso e membro fondatore di CYBRI, Fonte: Digital Guardian

Dovrebbe essere fornita una formazione adeguata per proteggerti e rispondere a diversi tipi di tecniche di ingegneria sociale. Ad esempio, nel tailgating, se un attaccante che si maschera da collega ti chiede di dargli accesso, dovresti essere addestrato a negare educatamente la loro richiesta e aiutarli a mettersi in contatto con il personale di sicurezza che può verificare la loro identità. Allo stesso modo, puoi fornire formazione per tutti gli scenari comuni ed emergenti di ingegneria sociale.

Quadro unificato

Assicurati che la tua organizzazione abbia un quadro standard per la gestione delle informazioni sensibili. Ogni dipendente deve sapere come gestire le informazioni.

Devi tenerli ben informati quando condividono informazioni e assicurarti che comprendano quali tipi di informazioni possono comunicare internamente ed esternamente. Stabilire un quadro standard di sicurezza delle informazioni per la gestione delle informazioni consente ai dipendenti di formarsi su quando, perché, dove e come le informazioni sensibili dovrebbero essere gestite.

Protocolli, strumenti e politiche preventive

È essenziale avere il software appropriato per resistere agli attacchi di ingegneria sociale. Sebbene la migliore difesa contro l'ingegneria sociale sia capacitare le menti umane a essere consapevoli e attente, le soluzioni software come firewall e vari altri aiutano a coprire le estremità libere che sono presenti anche dopo i programmi di formazione.

Pierluigi Paganini, un ricercatore di sicurezza per InfoSec Institute, consiglia di proteggere le identità digitali degli utenti dagli attacchi di ingegneria sociale. Paganini dice: “Adotta sistemi di difesa adeguati come filtri antispam, software antivirus e un firewall, e mantieni tutti i sistemi aggiornati.”

Assicurati di avere il giusto arsenale di soluzioni di sicurezza, protocolli standard e politiche per prevenire gli attacchi di ingegneria sociale nella tua organizzazione.

Test e revisioni

Quando hai impostato tutti i sistemi di difesa preventiva contro l'ingegneria sociale e altri attacchi informatici, è cruciale testarli e rivederli regolarmente. Per assicurarti che la tua forza lavoro sia resistente ai tentativi di persuasione, puoi assumere un'agenzia esterna per condurre un attacco di ingegneria sociale controllato e trovare le falle nel tuo attuale setup.

Per i sistemi di sicurezza, sfrutta test di penetrazione per testare i diversi modi in cui un hacker può sfruttare una vulnerabilità nei tuoi beni se riescono a frodare l'identità tramite un attacco di ingegneria sociale. Rimedia a queste vulnerabilità e conduci regolarmente scansioni di vulnerabilità per identificare se emergono nuove debolezze di sicurezza.

Smaltimento corretto dei rifiuti

È essenziale mantenere i rifiuti elettronici o cartacei della tua organizzazione in cassonetti con serrature fino a quando non vengono adeguatamente smaltiti dalle autorità di gestione dei rifiuti. Tali rifiuti potrebbero includere dischi rigidi usati, USB difettosi o documenti sensibili che non sono più richiesti.

Questi rifiuti possono essere inutili per te. Tuttavia, gli attaccanti possono ancora usarli come vettore di attacco o per accedere a informazioni sensibili ristrutturando i rifiuti elettronici smaltiti o ricostruendo documenti cartacei strappati.

Assicurati che i tuoi cassonetti dei rifiuti siano dietro cancelli o recinzioni chiuse a chiave, o siano visibili ai dipendenti, in modo che le persone noteranno se qualcuno cerca di entrare senza permesso.

Ingegnerizza la tua mente

Gli attacchi di ingegneria sociale mirano a ingannare le persone a fare qualcosa che normalmente non farebbero. Devi essere consapevole di te stesso e addestrare le tue menti nelle aree in cui agisci impulsivamente o ansiosamente e cercare segni e minacce di attacchi di ingegneria sociale.

Anche dopo aver adottato misure preventive adeguate, se un attaccante riesce a passare attraverso una lacuna di sicurezza sconosciuta, ecco un piano di risposta agli incidenti che ti aiuterà a rimanere reattivo senza confusione.

Sagar Joshi
SJ

Sagar Joshi

Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.

Esplora altri articoli di G2

Strumenti completi di gestione degli eventi per le imprese
Il miglior strumento RO-I per decisioni basate sui dati nel settore tecnologico
Miglior software per il controllo dei precedenti
Miglior software per desktop remoto