Gli attacchi di ingegneria sociale consistono in più fasi. Un autore analizza inizialmente la vittima bersaglio per ottenere informazioni di base necessarie per eseguire l'aggressione, come possibili vie di ingresso e meccanismi di sicurezza deboli. Questo articolo spiegherà l'ingegneria sociale, gli attacchi di ingegneria sociale, come proteggersi dall'ingegneria sociale ed esempi di ingegneria sociale.
Questa è la pratica di manipolare le persone in un contesto online convincendole a fornire informazioni personali sensibili come numeri di conto, password o informazioni bancarie in buona fede
L'ingegneria sociale può verificarsi anche quando l'"ingegnere" chiede alla vittima di trasferire denaro a ciò che la vittima pensa sia un istituto finanziario o una persona con cui la vittima fa affari, ma il denaro finisce sul conto dell'"ingegnere".
I piani di assicurazione informatica e sulla privacy possono coprire le perdite derivanti dall'ingegneria sociale se hanno una garanzia per questo, ma l'importo della copertura è solitamente un massimo di $ 100,000. Inoltre, la copertura di ingegneria sociale, che va anche sotto il nome di "copertura di istruzioni fraudolente", è disponibile solo come copertura aggiuntiva oltre i limiti di qualsiasi polizza assicurativa contro i crimini aziendali applicabile.
Cos'è l'ingegneria sociale
L'ingegneria sociale è un modo per ottenere informazioni, accesso o beni privati approfittando degli errori delle persone. Nel crimine informatico, queste cosiddette truffe di "hacking umano" vengono spesso utilizzate per indurre gli utenti che non sanno cosa sta succedendo a rivelare dati, diffondere attacchi di malware o consentire l'accesso a sistemi che dovrebbero essere mantenuti privati. Gli attacchi possono avvenire di persona, online o in altri modi.
L'ingegneria sociale è un tipo di frode che si basa su come le persone pensano e agiscono. Per questo motivo, gli attacchi di ingegneria sociale sono un ottimo modo per cambiare il modo in cui una persona agisce. Una volta che un utente malintenzionato sa cosa fa fare a un utente quello che fa, può ingannare e controllare bene l'utente.
Inoltre, gli hacker tentano di sfruttare la mancanza di esperienza di un utente. Poiché la tecnologia si muove così rapidamente, molti clienti e lavoratori non sono a conoscenza dei rischi come i download drive-by. Le persone potrebbero anche non rendersi conto di quanto siano importanti le informazioni personali come il loro numero di telefono. Per questo motivo, molti utenti non sanno come proteggere se stessi e le proprie informazioni.
Leggi anche: HACKER ONLINE: 10 tipi di hacker e i pericoli e come ti danneggeranno
Attacco di ingegneria sociale
Gli attacchi che coinvolgono l'ingegneria sociale possono assumere molte forme diverse e possono verificarsi ovunque le persone parlino tra loro. Ecco i cinque modi più comuni in cui si possono subire attacchi di ingegneria sociale.
#1. Esca
Gli attacchi di adescamento, come suggerisce il nome, utilizzano una falsa offerta per rendere una persona avida o curiosa. Le persone si lasciano ingannare cadendo in una trappola che ruba le loro informazioni private o inserisce malware nei loro computer.
Il malware viene diffuso attraverso i media reali, che è il tipo di adescamento più odiato. Ad esempio, gli aggressori lasciano l'esca, che di solito è un'unità flash contenente malware, in luoghi in cui le potenziali vittime lo vedranno sicuramente, come bagni, ascensori e il parcheggio di un'azienda presa di mira. L'esca sembra reale, con cose come un'etichetta che dice che è la lista degli stipendi dell'azienda.
Le persone abboccano perché sono curiose e poi lo inseriscono in un computer al lavoro oa casa, che installa automaticamente malware sul sistema.
Le truffe che utilizzano l'esca non devono avvenire nel mondo reale. L'esca online assume la forma di annunci che hanno un bell'aspetto ma portano a siti dannosi o tentano di indurre le persone a scaricare software infetto da malware.
#2. Spaventapasseri
Lo scareware è un tipo di attacco di ingegneria sociale. Implica l'invio di molti falsi allarmi e false minacce alle persone. Gli utenti sono indotti a pensare che il loro computer sia infetto da malware, il che fa eseguire loro software che non fa nulla di utile (tranne per la persona che l'ha fatto) o che è esso stesso malware. Lo scareware è anche chiamato fraudware, software scanner illegale e software di inganno.
Lo scareware spesso si presenta sotto forma di banner pop-up che sembrano reali e dicono cose come "Il tuo computer potrebbe essere infettato da programmi spyware dannosi". Ti offrirà di installare lo strumento per te (che è spesso contaminato da malware) o ti invierà a un sito dannoso che infetterà il tuo computer.
Lo scareware si diffonde anche tramite e-mail di spam che danno falsi allarmi o cercano di indurre le persone ad acquistare servizi inutili o dannosi.
#3. Pretestuoso
Il pretexting è un'altra forma di attacco di ingegneria sociale che si verifica quando un utente malintenzionato ottiene informazioni attraverso una serie di bugie accuratamente progettate. Qualcuno che afferma di aver bisogno delle informazioni sensibili della vittima per completare un'attività importante in genere avvia la truffa.
L'attaccante inizia spesso fingendo di essere un collega, un agente delle forze dell'ordine, un banchiere o un funzionario fiscale o qualsiasi individuo con il diritto di sapere. L'impostore pone domande che sembrano necessarie per verificare l'identità della vittima, ma in realtà sono utilizzate per ottenere importanti informazioni personali.
Questa truffa raccoglie tutti i tipi di informazioni e documenti importanti, come numeri di previdenza sociale, indirizzi personali e numeri di telefono, tabulati telefonici, date di ferie del personale, documenti bancari e persino informazioni sulla sicurezza di un impianto reale.
#4. Phishing
Le truffe di phishing sono campagne di posta elettronica e messaggi di testo che cercano di far sentire le persone come se avessero bisogno di agire rapidamente, sono curiose o spaventate. Questo è un tipo molto comune di attacco di ingegneria sociale. Quindi li induce a fornire informazioni private, facendo clic su collegamenti a siti Web dannosi o aprendo allegati che contengono malware.
Un esempio è un'e-mail che gli utenti di un servizio online ricevono quando infrangono una regola che richiede loro di fare qualcosa immediatamente, come cambiare la password. Ha un collegamento a un sito Web falso che assomiglia quasi esattamente a quello reale. Questo falso sito Web chiede all'utente di inserire le informazioni di accesso correnti e una nuova password. Le informazioni vengono inviate all'aggressore quando viene inviato il modulo.
Poiché gli schemi di phishing inviano lo stesso o quasi lo stesso messaggio a tutti gli utenti, è molto più facile per i server di posta che hanno accesso alle piattaforme di condivisione delle minacce trovarli e fermarli.
Leggi anche: Consulenti per la sicurezza informatica: panoramica e migliori fornitori nel 2023
Proteggiti dall'ingegneria sociale
Negli attacchi di ingegneria sociale, l'attaccante cerca di ottenere l'accesso a dati o servizi costruendo relazioni con persone di cui può usare la fiducia. Restare consapevoli è la prima linea di difesa. L'aggressore potrebbe provare a parlarti in un modo che si trasforma in domande. Ma il modo migliore per proteggersi dall'ingegneria sociale è sapere di chi ci si può fidare ed essere affidabili. Devi scoprire chi potrebbe accedere o modificare il tuo account e assicurarti che abbiano una buona ragione per farlo. Ecco alcuni modi per proteggersi dall'ingegneria sociale.
#1. Mittenti sconosciuti (e-mail e messaggi di testo)
Guarda attentamente l'indirizzo email del mittente e il messaggio stesso. È importante sapere che non è necessario fare clic su alcun collegamento a documenti loschi.
#2. Interrompi la condivisione delle informazioni personali
Prima di fornire informazioni personali come password e numeri di carta di credito, dovresti pensarci. Nessuna vera azienda o persona dovrebbe mai chiedere questo tipo di informazioni private. Usa password difficili da indovinare e cambiale spesso. Se utilizzi la stessa password per più di un account, potresti essere il bersaglio di un attacco di social engineering.
#3. Livelli di sicurezza
Ogni volta che puoi, usa la verifica con due fattori. Può aggiungere un ulteriore livello di sicurezza chiedendo agli utenti di inserire il proprio nome utente, password e un codice inviato al proprio telefono cellulare. Imposta i codici di sicurezza per la tua e-mail e il tuo numero di telefono in modo che se qualcuno entrasse in uno dei due sistemi, non potesse utilizzare direttamente il tuo account.
#4. Programma antivirus
Installa software antivirus e anti-malware su ogni gadget che possiedi. Mantieni questi programmi aggiornati in modo che possano proteggerti dalle minacce più recenti. Ma se hai un software antivirus caricato sui tuoi dispositivi, può essere un'ottima difesa contro l'ingegneria sociale.
#5. Sii sempre consapevole di eventuali rischi
Dovresti sempre pensare ai rischi. Assicurati che qualsiasi richiesta di informazioni sia corretta controllandola due o anche tre volte. Tieni d'occhio le notizie sulla sicurezza informatica se una recente violazione ti ha causato danni.
Esempio di ingegneria sociale
Ci sono molti esempi di ingegneria sociale nelle notizie, ma eccone cinque per darti un'idea di come funziona:
#1. Albergo Marriott
Utilizzando metodi di ingegneria sociale, un gruppo di hacker ha rubato 20 GB di dati personali e finanziari da un hotel Marriott. Gli hacker hanno chiesto a un dipendente del Marriott Hotel di accedere al suo computer.
#2. Dipartimento del lavoro degli Stati Uniti (DoL)
Questo è stato un esempio di attacco di ingegneria sociale che ha rubato le informazioni di accesso per Office 365. L'attacco è stato eseguito con phishing intelligente, utilizzando domini falsi che sembravano esattamente come il vero dominio DoL. Le e-mail sembravano provenire da un impiegato senior del DoL che chiedeva loro di fare un'offerta per un lavoro governativo. Quando il dipendente ha fatto clic sul pulsante "Offerta", è stato indirizzato a un sito di "phishing", utilizzato per rubare le password.
#3. Zoom utenti
Un'operazione di phishing che ha preso di mira i dipendenti ha colpito almeno 50,000 persone. Gli ingegneri sociali hanno sfruttato la paura di essere licenziati per convincere i lavoratori a fare clic su un collegamento per organizzare una riunione Zoom con le risorse umane. Quando il dipendente ha fatto clic sul collegamento, è stato indirizzato a una falsa pagina di accesso di Zoom impostata per rubare le password.
#4. FACC (costruttore aeronautico austriaco)
FACC ha subito una perdita di circa 42 milioni di euro a causa di una complessa truffa BEC (Business Email Compromise). L'account di posta elettronica dell'amministratore delegato dell'azienda è stato violato e utilizzato per inviare una richiesta “urgente” di trasferimento di denaro. Questa e-mail ha ingannato una persona che lavorava in contabilità fornitori, che ha accettato la richiesta e ha inviato i soldi al ladro.
#5. Richiamata Crowdstrike
L'ingegneria sociale è così potente che anche le società di sicurezza lo sentono. Crowdstrike viene ora utilizzato come parte e come esempio nel gioco dell'ingegneria sociale. I truffatori inviano e-mail di phishing ai lavoratori utilizzando il nome attendibile di Crowdstrike e altre società di sicurezza. L'e-mail contiene informazioni su un possibile attacco di malware e un numero di telefono da chiamare per eliminare qualsiasi malware installato. Il dipendente viene indotto con l'inganno a concedere all'aggressore l'accesso al proprio computer se raggiunge il numero.
Leggi anche: CHE COS'È LA SICUREZZA INFORMATICA? Esempi, minaccia e importanza
Conclusione
Per proteggerti dalle minacce di ingegneria sociale, devi imparare a proteggerti. Dato che ti abbiamo già parlato di alcuni metodi collaudati ed esempi di attacchi di ingegneria sociale che sono stati utilizzati in tutto il mondo per molto tempo, assicurati di iniziare subito a prendere provvedimenti. Gli attacchi di ingegneria sociale possono danneggiare la carriera di una persona in pochi secondi. Utilizza sempre due codici di verifica dell'accesso configurati per proteggere i tuoi dispositivi, le password e altri accessi. Questa è un'altra misura di sicurezza.
Cos'è l'ingegneria sociale nel cyber?
Questo è un termine per tutti i metodi usati per indurre qualcuno a fornire informazioni o fare qualcosa che non dovrebbe.
Qual è l'ingegneria sociale più comune?
Gli attacchi più comuni sono:
- Attacchi di Phishing.
- Hacking mirato.
- Caccia alla balena.
- Sia smishing che vishing.
- Esca.
- Piggyback/Tailgating.
- Pretexting.
- (BEC) Compromissione dell'e-mail aziendale
L'ingegneria sociale è la minaccia più grande?
L'ingegneria sociale è un tipo di attacco che si basa in gran parte sul contatto umano e di solito comporta l'inganno delle persone a infrangere le normali procedure di sicurezza e le migliori pratiche per ottenere l'accesso illegale a sistemi, reti, luoghi fisici o per fare soldi.
Chi è l'obiettivo più probabile dell'ingegneria sociale?
Le persone ricche, famose o che occupano posizioni di alto livello sono spesso il bersaglio di attacchi di ingegneria sociale. I criminali inseguono le persone che hanno molto potere e accesso.
Qual è la migliore difesa contro l'ingegneria sociale?
Le persone pensano che il modo migliore per fermare gli attacchi di ingegneria sociale sia formare ed educare le persone che lavorano per un'azienda.
Come è anche conosciuta l'ingegneria sociale?
Poiché prende di mira le fragilità umane piuttosto che quelle dei sistemi tecnologici o digitali, l'ingegneria sociale viene anche chiamata "hacking umano". Ciò è dovuto al fatto che il suo obiettivo principale sono le persone vulnerabili.
Riferimenti
Articoli Correlati
- ENGINEERING MANAGER: definizione, mansioni, stipendio, domande sul software e sui colloqui
- Hacking etico: cos'è e come funziona?
- Prevenire e recuperare portafogli Ethereum persi e chiavi private
- EMAIL SPOOFING: come prevenirlo e bloccarlo
- LAVORO POSITIVO: significato, citazioni, affermazione e ambiente
