Gli aggressori informatici utilizzano l'ingegneria sociale, un tipo di attacco che prende di mira l'elemento umano, piuttosto che il sistema informatico e il suo software. L'aggressore cerca di ingannare una persona affinché compia un'azione che gli consenta di accedere al computer della vittima.
Uno dei tipi più comuni di attacco di questo tipo è l'attacco man-in-the-middle. Un attacco man-in-the-middle si verifica quando un aggressore impersona un'altra persona per ingannare le vittime facendogli credere che stanno parlando direttamente tra loro attraverso protocolli di normalizzazione come la risposta vocale interattiva, la posta elettronica, la messaggistica istantanea e le conferenze web.
L'hacking attraverso la manipolazione umana è più facile da eseguire rispetto all'hacking diretto da una fonte esterna. Questo articolo spiega perché gli attacchi SE sono in aumento e perché gli aggressori informatici utilizzano comunemente queste tattiche.
Perché i cyberattaccanti usano l'ingegneria sociale: Probabili cause e motivi
Gli attacchi di ingegneria sociale sono uno dei metodi più popolari ed efficaci utilizzati oggi dagli hacker. Questi attacchi sfruttano spesso le relazioni umane, come la fiducia e la familiarità dei dipendenti o la vicinanza fisica tra dipendenti e clienti.
a. L'elemento umano è l'anello debole della sicurezza tradizionale
Gli attacchi tendono a essere più efficaci quando si basano sull'interazione umana, il che significa che non c'è modo per la tecnologia di proteggerci da essi.
Tutto ciò di cui un aggressore ha bisogno è un po' di informazioni sulle abitudini o le preferenze del suo obiettivo e un po' di creatività nel modo in cui si presenta alla vittima.
In questo modo gli aggressori ottengono ciò che vogliono senza dover ricorrere a tecniche più complicate, come l'hacking della rete di un'organizzazione o l'intrusione nei sistemi aziendali.
b. Non c'è bisogno di tecniche di hacking avanzate
Gli attacchi di social engineering sfruttano la fiducia delle persone per ottenere l'accesso a un sistema o a una rete. Questi attacchi sono efficaci perché è facile per un aggressore ottenere l'accesso, piuttosto che utilizzare tecniche di hacking avanzate per entrare a forza bruta in una rete.
Quando un aggressore agisce in questo modo, di solito utilizza tecniche di manipolazione psicologica come il phishing, lo spear phishing e il pretexting.
Il phishing si verifica quando un aggressore invia messaggi di posta elettronica che sembrano legittimi, ma che sono progettati per ingannare gli utenti e indurli a fornire le loro informazioni personali, come password o dati della carta di credito.
Lo spear phishing è quando un aggressore utilizza gli stessi metodi del phishing, ma con tecniche più avanzate, come impersonare un'altra persona per indurvi a fornire le vostre informazioni.
Il termine "pretexting" si riferisce al caso in cui un aggressore utilizza dei pretesti per ottenere la fiducia delle proprie vittime prima di tentare di derubarle.
Una volta che gli aggressori hanno ottenuto l'accesso al vostro sistema o alla vostra rete, possono fare tutto ciò che vogliono al suo interno, compresa l'installazione di programmi, la modifica di file o persino la loro cancellazione, senza essere scoperti da un sistema di sicurezza o da un amministratore che potrebbe impedirglielo se sapesse cosa sta accadendo all'interno della sua rete!
c. L'immersione nei cassonetti è più facile della forzatura di una rete
Il Dumpster diving è l'atto di recuperare informazioni da materiali di scarto per effettuare attacchi di social engineering. La tecnica consiste nel cercare tra i rifiuti tesori come codici di accesso o password scritti su foglietti adesivi. L'immersione nei cassonetti facilita l'esecuzione di queste attività, perché consente all'hacker di accedere alla rete senza doverla effettivamente penetrare.
Le informazioni che i dumpster diver portano alla luce possono variare da quelle più banali, come un elenco telefonico o un calendario, a dati apparentemente innocenti come un organigramma. Ma queste informazioni apparentemente innocenti possono aiutare un aggressore a utilizzare tecniche di social engineering per accedere alla rete.
Inoltre, se un computer è stato smaltito, potrebbe essere un tesoro per gli aggressori informatici. È possibile recuperare le informazioni dai supporti di memorizzazione, comprese le unità che sono state cancellate o formattate in modo improprio. Le password memorizzate e i certificati di fiducia sono spesso conservati nel computer e sono vulnerabili agli attacchi.
L'apparecchiatura scartata potrebbe contenere dati sensibili sul modulo TPM (Trusted Platform Module). Questi dati sono importanti per un'organizzazione perché consentono di memorizzare in modo sicuro informazioni sensibili, come le chiavi crittografiche. Un ingegnere sociale potrebbe sfruttare gli ID hardware di cui un'organizzazione si fida per creare potenziali exploit contro i suoi utenti.
d. Sfrutta la paura, l'avidità e il senso di urgenza delle persone
Gli attacchi di social engineering sono facili da realizzare perché si basano sull'elemento umano. Il cyber-attaccante può usare il fascino, la persuasione o l'intimidazione per manipolare la percezione della persona o sfruttarne le emozioni per ottenere dettagli importanti sulla sua azienda.
Ad esempio, un cyber-attaccante potrebbe parlare con un dipendente scontento di un'azienda per ottenere informazioni nascoste, che possono poi essere utilizzate per entrare nella rete.
Il dipendente scontento può fornire informazioni sull'azienda a un aggressore se ritiene di essere trattato ingiustamente o maltrattato dal suo attuale datore di lavoro. Il dipendente scontento può anche fornire informazioni sull'azienda se non ha un altro lavoro e sarà presto disoccupato.
I metodi più avanzati di hacking prevedono l'intrusione in una rete utilizzando tecniche più avanzate come malware, keylogger e trojan. Queste tecniche avanzate richiedono molto più tempo e impegno di un semplice colloquio con un dipendente scontento per ottenere informazioni nascoste che possono essere utilizzate per penetrare in una rete.
I sei principi fondamentali dell'influenza
Le truffe di ingegneria sociale sfruttano sei specifiche vulnerabilità della psiche umana. Queste vulnerabilità sono state identificate dallo psicologo Robert Cialdini nel suo libro "Influenza: La psicologia della persuasione" e sono:
➜ Reciprocità - La reciprocità è il desiderio di ricambiare i favori in natura. Tendiamo a sentirci in debito con le persone che ci hanno aiutato; sentiamo che è nostra responsabilità aiutarle. Così, quando qualcuno ci chiede qualcosa (una password, l'accesso ai dati finanziari o qualsiasi altra cosa), siamo più propensi ad assecondarlo se ci ha già aiutato in passato.
➜ Impegno e coerenza - Tendiamo a fare le cose nel tempo piuttosto che una sola volta. È più probabile che accettiamo una richiesta se abbiamo già accettato una delle sue parti, o anche diverse. Se qualcuno ha già chiesto l'accesso ai vostri documenti finanziari in passato, forse chiederlo di nuovo non è poi un problema così grande!
➜ Prova sociale - È una tecnica di inganno che si basa sul fatto che tendiamo a seguire l'esempio delle persone che ci circondano (noto anche come "effetto bandwagon"). Ad esempio, i dipendenti potrebbero essere influenzati da un attore della minaccia che presenta prove false che un altro dipendente ha soddisfatto una richiesta.
➜ Simpatia - Ci piacciono le persone che sembrano comandare; quindi, un hacker potrebbe inviare un messaggio al vostro indirizzo e-mail che sembra provenire dal vostro capo o da un vostro amico, o anche da un esperto in un campo che vi interessa. Il messaggio potrebbe dire qualcosa del tipo: "Ehi! So che stai lavorando a questo progetto e abbiamo bisogno di aiuto. Possiamo vederci presto?". Di solito chiede il vostro aiuto e, accettando, state cedendo informazioni sensibili.
➜ L'autorità - Le persone generalmente si sottomettono alle figure di autorità perché le considerano quelle "giuste" da seguire e a cui obbedire. In questo modo, le tattiche di ingegneria sociale possono sfruttare la nostra tendenza a fidarci di coloro che sembrano autorevoli per ottenere ciò che vogliono da noi.
➜ La scarsità - La scarsità è un istinto umano radicato nel nostro cervello. È la sensazione di "ho bisogno di questo adesso" o "devo avere questo". Pertanto, quando le persone vengono truffate da ingegneri sociali, provano un senso di urgenza nel consegnare il proprio denaro o le proprie informazioni il prima possibile.
Personalità vulnerabili all'ingegneria sociale e perché?
Secondo la dott.ssa Margaret Cunningham, ricercatrice principale per il comportamento umano presso Forcepoint X-Labs - azienda che si occupa di cybersicurezza - la gradevolezza e l'estroversione sono i tratti della personalità più vulnerabili agli exploit di social engineering.
Le persone gradevoli tendono a essere fiduciose, amichevoli e disposte a seguire le indicazioni senza fare domande. Sono buoni candidati per gli attacchi di phishing perché sono più propensi a cliccare sui link o ad aprire gli allegati di e-mail che sembrano autentiche.
Gli estroversi sono anche più suscettibili agli attacchi di ingegneria sociale perché spesso preferiscono stare in mezzo agli altri e sono più propensi a fidarsi degli altri. È più probabile che siano sospettosi delle motivazioni degli altri rispetto alle persone introverse, il che potrebbe farli ingannare o manipolare da un ingegnere sociale.
Personalità resistenti all'ingegneria sociale e perché?
Le persone resistenti agli attacchi di ingegneria sociale tendono a essere coscienziose, introverse e con un'elevata autoefficacia.
Le persone coscienziose hanno maggiori probabilità di resistere alle truffe di ingegneria sociale concentrandosi sui propri bisogni e desideri. Inoltre, è meno probabile che si conformino alle richieste degli altri.
Gli introversi tendono a essere meno suscettibili alla manipolazione esterna perché si prendono del tempo per se stessi e amano la solitudine, il che significa che è meno probabile che siano influenzati da spunti sociali o da persone invadenti che cercano di influenzarli.
L'autoefficacia è importante perché ci aiuta a credere in noi stessi, in modo da avere più fiducia nella possibilità di resistere alle pressioni degli altri o alle influenze esterne.
Proteggete la vostra organizzazione dalle truffe di social engineering con PowerDMARC
L'ingegneria sociale è la pratica di manipolare dipendenti e clienti per indurli a divulgare informazioni sensibili che possono essere utilizzate per rubare o distruggere dati. In passato, queste informazioni venivano ottenute inviando e-mail che sembravano provenire da fonti legittime, come la banca o il datore di lavoro. Oggi è molto più facile falsificare gli indirizzi e-mail.
PowerDMARC aiuta a proteggersi da questo tipo di attacchi implementando protocolli di autenticazione delle email come SPF, DKIM e DMARC p=reject nel vostro ambiente per ridurre al minimo il rischio di spoofing del dominio diretto e di attacchi di phishing via e-mail.
Se siete interessati a proteggere voi stessi, la vostra azienda e i vostri clienti dagli attacchi di social engineering, iscrivetevi alla nostra prova gratuita del DMARC. prova gratuita di DMARC oggi stesso!
- Come trovare il miglior fornitore di soluzioni DMARC per la vostra azienda? - 25 aprile 2024
- PowerDMARC e Zendata stringono una partnership per migliorare la sicurezza dei domini - 25 aprile 2024
- PowerDMARC collabora con CNS per promuovere le pratiche di sicurezza delle e-mail in Medio Oriente - 24 aprile 2024