Cosa sono gli attacchi di ingegneria sociale?
Gli attacchi di social engineering in informatica sono metodi sofisticati utilizzati dai criminali informatici per manipolare le persone e indurle a compromettere la propria sicurezza. Questi attacchi spesso portano le vittime a inviare inconsapevolmente denaro, a rivelare informazioni personali o organizzative sensibili o a violare i protocolli di sicurezza.
L'efficacia dell'ingegneria sociale risiede nella sua capacità di sfruttare le emozioni umane come la paura, la curiosità o l'empatia, inducendo le persone ad agire impulsivamente contro il loro giudizio. Comprendendo e sfruttando questi fattori emotivi, gli aggressori convincono le vittime a prendere decisioni che a posteriori possono sembrare irrazionali, come scaricare software dannoso, visitare siti web non sicuri o condividere dati riservati.
Come funziona l'ingegneria sociale?
L'ingegneria sociale prevede tattiche psicologiche per manipolare le persone a rivelare informazioni sensibili, fondamentali per l'accesso al sistema o per il furto di identità. Sfrutta l'errore umano, spesso attraverso l'inganno o l'impersonificazione, portando a violazioni della sicurezza e compromissione dei dati, senza ricorrere a metodi tecnici di hacking.
Gli attacchi di ingegneria sociale sono tipicamente processi a più fasi. Inizialmente, l'aggressore compie ricerche sull'obiettivo per raccogliere informazioni sufficienti e dettagli di base essenziali, identificando le vulnerabilità e le misure di sicurezza deboli cruciali per il successo dell'attacco. In seguito, l'aggressore impiega tattiche come il pretexting o l'impersonificazione di figure autoritarie per guadagnarsi la fiducia della vittima. Questa manipolazione è finalizzata a ottenere azioni che compromettono la sicurezza, come la divulgazione di informazioni riservate o l'accesso a sistemi vitali.
Gli attacchi di ingegneria sociale manipolano la psicologia umana per aggirare le misure tecniche di sicurezza. Selezionano accuratamente la vittima designata in base a vari fattori. Le tattiche principali includono:
- Impersonificazione: Gli aggressori spesso si spacciano per entità affidabili - grandi marchi, agenzie governative o figure autoritarie - per guadagnare fiducia. Ad esempio, possono creare siti web fraudolenti che rispecchiano marchi importanti per ingannare gli utenti e indurli a rivelare informazioni sensibili.
- Sfruttare le emozioni: Questi attacchi fanno comunemente leva su emozioni come la paura, l'urgenza o l'avidità. I truffatori potrebbero inviare messaggi allarmanti su un conto bancario compromesso o attirare le vittime con promesse fraudolente di guadagno finanziario, come nel caso della famosa truffa via e-mail del "principe nigeriano".
- Sfruttare la buona volontà o la curiosità: Gli ingegneri sociali sfruttano anche la naturale inclinazione di una persona ad aiutare o la sua curiosità. Potrebbero inviare e-mail che sembrano provenire da amici o da social network, chiedendo informazioni di contatto, assistenza o invogliando gli utenti a cliccare su un link dannoso con la scusa di una storia intrigante o di una risorsa utile.
La comprensione di queste tattiche è fondamentale per riconoscere e sventare gli attacchi di social engineering. Questi attacchi fanno leva sulla natura umana piuttosto che su difetti tecnologici, rendendo la consapevolezza e la vigilanza le difese chiave contro queste minacce.
Come proteggersi dagli attacchi di social engineering
Gli attacchi di social engineering possono assumere diverse forme, dalle e-mail di phishing alla manipolazione tramite telefonate o messaggi di testo. Poiché si rivolgono principalmente alle vulnerabilità umane piuttosto che ai difetti tecnologici, per difendersi da questi attacchi è necessaria una combinazione di consapevolezza, vigilanza e protezioni tecnologiche.
I passi che seguono offrono un approccio completo per migliorare la vostra difesa contro questi attacchi sempre più comuni e sofisticati:
- Utilizzare l'autenticazione a più fattori: L'implementazione dell'autenticazione a due o più fattori è fondamentale. Aggiunge un ulteriore livello di sicurezza, assicurando che anche se le credenziali di accesso sono compromesse, l'accesso non autorizzato sia comunque impedito.
- Security Formazione di sensibilizzazione: Una formazione regolare per tutti i dipendenti è fondamentale per riconoscere e rispondere agli attacchi di social engineering. Questa formazione deve riguardare l'identificazione di attività sospette e l'importanza di non condividere informazioni sensibili.
- Installare un solido programma di sicurezza informatica: Utilizzate un software di cybersecurity completo, come Malwarebytes, in grado di riconoscere e neutralizzare le minacce, tra cui siti web dannosi, malvertising, malware, virus e ransomware.
- Implementare le politiche di controllo degli accessi e le tecnologie di cybersecurity: Applicare rigorose politiche di controllo degli accessi, compresa l'autenticazione adattiva e un approccio di sicurezza a fiducia zero. Utilizzare tecnologie come filtri antispam, gateway di posta elettronica sicuri, firewall, software antivirus e mantenere i sistemi aggiornati con le ultime patch.
- Attivare i filtri antispam: Attivate i filtri antispam per bloccare le e-mail di phishing e altre forme di spam. Anche se alcune e-mail legittime potrebbero essere filtrate, potete attenuare il problema contrassegnandole come "non spam" e aggiungendo i mittenti legittimi alla vostra lista di contatti.
- Imparate a riconoscere le e-mail di phishing: Istruite voi stessi e gli altri sull'identificazione dei tentativi di phishing. Cercate bandiere rosse come indirizzi del mittente non corrispondenti, saluti generici, URL insoliti, grammatica scadente e offerte che sembrano troppo belle per essere vere.
- Disattivare le macro nei documenti: Disattivate le macro nel vostro software. Siate cauti con gli allegati di posta elettronica che richiedono l'attivazione delle macro, soprattutto se provenienti da fonti sconosciute. In caso di dubbio, verificare la legittimità dell'allegato con il mittente.
- Non rispondete ai sospetti di truffa: Evitate di rispondere a potenziali truffe, sia tramite e-mail, SMS o telefonate. Rispondere conferma ai truffatori che le vostre informazioni di contatto sono valide, incoraggiando altri tentativi. Inoltrate gli SMS sospetti al numero 7726 (SPAM) per aiutare il vostro operatore a filtrare lo spam.
Implementando queste strategie, potrete creare un solido sistema di difesa contro gli attacchi di social engineering, salvaguardando sia i vostri dati personali che le informazioni sensibili della vostra organizzazione. Ricordate che essere informati e prudenti è la prima linea di difesa nel panorama in continua evoluzione delle minacce alla sicurezza informatica.
Tipi di attacchi di ingegneria sociale
Gli attacchi di ingegneria sociale avvengono prevalentemente attraverso varie [forme di phishing]( https://www.malwarebytes.com/phishing). Questi attacchi sfruttano la psicologia e la fiducia umana, piuttosto che affidarsi a metodi tecnici di hacking. L'efficacia e la diffusione del phishing ne fanno un problema critico sia per gli individui che per le organizzazioni. Ecco una descrizione più dettagliata di ciascun tipo:
- Phishing via e-mail: gli aggressori si spacciano per entità legittime attraverso le e-mail, inducendo i destinatari a rivelare dati personali o credenziali. Queste e-mail contengono spesso link a siti web ingannevoli o allegati dannosi.
- Bulk Phishing: questo metodo prevede l'invio della stessa e-mail di phishing a milioni di persone. Le e-mail sembrano provenire da organizzazioni riconoscibili e spesso richiedono informazioni personali con un falso pretesto.
- Spear Phishing: Una forma di phishing più mirata, in cui gli aggressori personalizzano i loro messaggi per individui specifici utilizzando informazioni provenienti dai social media o dalle reti professionali.
- Phishing con le balene: Una tattica di spear phishing di alto livello rivolta a dirigenti o persone di alto profilo. Questi attacchi sono altamente personalizzati e spesso comportano un inganno complesso.
- Phishing vocale (Vishing): Questa tecnica utilizza le telefonate per ingannare le persone e indurle a divulgare informazioni sensibili. Gli aggressori possono spacciarsi per organizzazioni legittime o figure autoritarie.
- SMS Phishing (Smishing): Variante del phishing condotta tramite messaggi di testo. Questi messaggi inducono i destinatari a cliccare su link dannosi o a divulgare informazioni sensibili.
- Phishing sui motori di ricerca: in questo approccio, gli aggressori creano siti web falsi che appaiono in alto nei risultati dei motori di ricerca. Quando gli utenti visitano questi siti, sono a rischio di furto di informazioni.
- Angler Phishing: questa forma sfrutta le piattaforme dei social media, dove gli aggressori creano falsi account di servizio clienti per interagire con le vittime, spesso conducendole a siti di phishing.
Dopo il Phishing, gli altri metodi di ingegneria sociale sono:
- Adescamento: Tenta le vittime con una falsa promessa di beni o servizi per rubare informazioni o installare malware.
- Tailgating/Piggybacking: Consiste nell'accesso non autorizzato ad aree riservate seguendo fisicamente una persona autorizzata o sfruttando digitalmente la sessione attiva di qualcun altro.
- Pretexting: Gli aggressori creano scenari per estrarre informazioni sensibili o ottenere l'accesso, spesso fingendosi qualcuno con autorità o che deve verificare l'identità.
- Quid Pro Quo: Offre un servizio o un beneficio in cambio di informazioni sensibili, sfruttando il desiderio della vittima di un buon affare o di una ricompensa.
- Scareware: Utilizza tattiche di paura per manipolare le vittime e indurle a installare malware o a rivelare informazioni riservate.
- Attacco Watering Hole: Si rivolge a gruppi specifici infettando i siti web che visitano di frequente, con conseguente furto di dati o installazione di malware.
- AttacchiTrojan: Malware camuffato da software legittimo, spesso diffuso attraverso allegati di posta elettronica provenienti da fonti apparentemente affidabili.
- Truffe dell'assistenza tecnica: Ingannano le vittime facendogli credere che il loro dispositivo sia compromesso e addebitano denaro per "riparazioni" non necessarie.
- Chiamate truffa: Si tratta di telefonate (comprese le robocall) per truffare le vittime, spesso spacciandosi per organizzazioni o autorità legittime.
La comprensione di questi metodi di phishing e di altre tattiche di social engineering è fondamentale per proteggersi da queste minacce diffuse e in continua evoluzione.
Esempi di attacchi di ingegneria sociale
Ecco alcuni esempi reali di social engineering di cui abbiamo parlato su Malwarebytes Labs . In ogni esempio, i truffatori dell'ingegneria sociale cercano il bersaglio giusto e l'innesco emotivo giusto. A volte la combinazione di obiettivo e innesco può essere iper-specifica (come nel caso di un attacco di spear phishing). Altre volte, i truffatori possono rivolgersi a un gruppo molto più ampio.
La truffa della sessualità: In questo primo esempio, i truffatori gettano una rete ampia. L'obiettivo? Chiunque guardi film porno. La vittima viene informata via e-mail che la sua webcam è stata presumibilmente violata e utilizzata per registrare la visione di video per adulti. Il truffatore sostiene anche di aver violato l'account di posta elettronica del destinatario, usando come prova una vecchia password. Se la vittima non paga tramite Bitcoin, il truffatore minaccia di diffondere il video a tutti i contatti della vittima. In generale, il truffatore non ha un video di voi e la vostra vecchia password proviene da una violazione dei dati precedentemente divulgata.
La truffa dei nonni: Questa truffa è in atto da anni e prende di mira chiunque abbia una famiglia in vita, di solito gli anziani. I genitori o i nonni ricevono una chiamata o un messaggio di testo dal truffatore, che si spaccia per un avvocato o per le forze dell'ordine. Il truffatore sostiene che il parente della vittima è stato arrestato o ferito e ha bisogno di denaro per coprire la cauzione, le spese legali o le spese ospedaliere. Nel caso della versione SMS della truffa, la semplice risposta finisce per costare alla vittima del denaro.
La truffa del Social Security Number: In questa truffa le cose iniziano a restringersi, poiché si applica solo ai cittadini statunitensi. La vittima riceve una telefonata automatica preregistrata che afferma di provenire dalla Social Security Administration. Il messaggio afferma che l'SSN della vittima è stato "sospeso" a causa di "tracce sospette di informazioni". Non importa che il vostro SSN non possa essere sospeso, se la vittima cade nello stratagemma e risponde alla chiamata, le verrà chiesto di pagare una multa per sistemare le cose.
La truffa di John Wick 3: Ecco un buon esempio di spear phishing. In questo caso i truffatori cercano un obiettivo molto specifico: un fan di John Wick che ama i fumetti, ma preferisce leggerli su Amazon Kindle. Durante la ricerca dei fumetti di John Wick, all'obiettivo viene offerto gratuitamente il sito download per il terzo film di John Wick, che all'epoca della truffa non era ancora uscito nelle sale. Seguire il link incorporato nella descrizione del film porta la vittima in una tana di coniglio di siti di streaming illegale di film pirata.
Truffe legate al coronavirus: I truffatori hanno preso nota della scarsità di informazioni sul virus, soprattutto nei primi giorni e mesi dell'epidemia. Mentre i funzionari sanitari faticavano a capire il virus e come si diffondeva da persona a persona, i truffatori hanno riempito gli spazi vuoti con siti web fasulli ed e-mail di spam.
Abbiamo riferito di e-mail di spam mascherate da informazioni sui virus provenienti dall'Organizzazione Mondiale della Sanità. Le e-mail contenevano in realtà allegati pieni di malware. In un altro esempio, Labs ha riferito di un sito di monitoraggio COVID-19 che mostrava le infezioni in tutto il mondo in tempo reale. Dietro le quinte, il sito caricava sui computer delle vittime un trojan ruba-informazioni.
Articoli correlati
Domande frequenti
Qual è la differenza tra ingegneria sociale e ingegneria sociale inversa?
Nell'ingegneria sociale, gli aggressori si avvicinano agli obiettivi per manipolarli e convincerli a condividere informazioni. Nell'ingegneria sociale inversa, le vittime entrano inconsapevolmente in contatto con gli aggressori ingannevoli.