Negli attacchi di social engineering, un aggressore cerca di ottenere l'accesso a dati o servizi stringendo rapporti con persone di cui può sfruttare la fiducia. La prima linea di difesa consiste nel rimanere all'erta. L'aggressore potrebbe attirarvi in una conversazione che si trasforma in un interrogatorio. Tuttavia, il modo migliore per proteggersi dall'ingegneria sociale è sapere di chi ci si può fidare ed essere degni di fiducia. Dovete identificare chiunque possa accedere al vostro account o possa influenzarlo e assicurarvi che abbia un buon motivo per farlo.
Che cos'è un attacco di ingegneria sociale?
L'attacco di ingegneria sociale è una forma di hacking in cui un aggressore cerca di ottenere accesso o informazioni sfruttando la fiducia. È un attacco molto efficace perché fa leva sul desiderio di aiutare le persone, sulla curiosità e sull'ingenuità. Un ingegnere sociale può rendervi complici inconsapevoli utilizzando una manipolazione di alto livello per ottenere ciò che l'attaccante vuole. È una forma di hacking, ma invece di introdursi nei computer, gli ingegneri sociali cercano di accedervi inducendo i dipendenti a fornire informazioni o a scaricare malware.
Tecniche di ingegneria sociale
Gli attacchi di social engineering possono essere effettuati per telefono, via e-mail o tramite messaggi di testo. Un social engineer può chiamare un'azienda e chiedere l'accesso a un'area riservata, oppure può impersonare una persona per convincerla ad aprire un account di posta elettronica per suo conto.
Gli ingegneri sociali utilizzano diverse tattiche per raggiungere i loro obiettivi. Ad esempio, possono affermare di chiamare dall'help desk di un'azienda e richiedere l'accesso remoto per poter risolvere un problema sul computer o sulla rete. Oppure possono affermare di aver bisogno della vostra password o di altre informazioni personali, come le credenziali bancarie, per risolvere un problema con il vostro conto corrente.
In alcuni casi, i social engineer si fingono addirittura agenti delle forze dell'ordine e minacciano azioni legali se vi rifiutate di soddisfare le loro richieste di informazioni. Sebbene sia importante che le aziende prendano sul serio queste minacce, ricordate che la polizia non chiamerà mai qualcuno per chiedergli la password al telefono!
Scopo dell'ingegneria sociale
L'ingegneria sociale è spesso utilizzata negli attacchi di phishing, ovvero messaggi di posta elettronica che sembrano provenire da una fonte attendibile ma che in realtà mirano a rubare le vostre informazioni personali. Le e-mail di solito contengono un allegato con un software dannoso (spesso chiamato malware) che, se aperto, infetterà il vostro computer.
L'obiettivo dell'ingegneria sociale è sempre lo stesso: ottenere l'accesso a qualcosa di prezioso senza dover lavorare per ottenerlo.
1. Rubare informazioni sensibili
I social engineer possono quindi cercare di ingannare l'utente per indurlo a fornire la password e le credenziali di accesso (come il nome utente/l'indirizzo e-mail) in modo da poter accedere al suo account e-mail o al suo profilo sui social media, dove possono rubare informazioni personali come i numeri delle carte di credito e le informazioni sui conti bancari da transazioni precedenti.
2. Furto d'identità
Potrebbero anche utilizzare queste informazioni per assumere l'identità della vittima e svolgere attività dannose spacciandosi per lei, se decidono di non distruggerle immediatamente.
Esempio di attacco di social engineering
L'uso di inganni e trucchi per ottenere un vantaggio risale a molto prima della diffusione dei personal computer e del world wide web. Ma possiamo guardare più indietro nella storia per vedere alcuni dei casi più eclatanti di attacco di ingegneria sociale.
Nell'incidente più recente, avvenuto nel febbraio 2020, un phishing utilizzando una fattura di ristrutturazione fasulla ha truffato Barbara Corcoran di "Shark Tank" della ABC.Shark Tank" di quasi 400.000 dollari.
Se siete vittime di attacchi di social engineering, è essenziale sapere come proteggersi dalle vittime. Scoprite i segnali di allarme di una potenziale minaccia e come proteggervi.
Come identificare un attacco di ingegneria sociale?
1. Fidatevi del vostro istinto
Se ricevete e-mail o telefonate che sembrano sospette, non fornite alcuna informazione prima di aver verificato la vostra identità. Potete farlo chiamando direttamente la vostra azienda o contattando la persona che presumibilmente ha inviato l'e-mail o ha lasciato un messaggio in segreteria.
2. Non inviate i vostri dati personali
Se qualcuno chiede il vostro numero di previdenza sociale o altri dati privati, è segno che sta cercando di approfittare della vostra fiducia e di usarla in seguito contro di voi. Si consiglia di non fornire alcuna informazione se non è necessario.
3. Richieste insolite senza contesto
Gli ingegneri sociali di solito fanno grandi richieste senza fornire alcun contesto. Se qualcuno chiede denaro o altre risorse senza spiegare perché ne ha bisogno, probabilmente c'è qualcosa di sospetto. È meglio essere prudenti quando qualcuno fa una richiesta di questo tipo: non si sa mai che tipo di danno si potrebbe fare con l'accesso al vostro conto in banca!
Ecco alcuni modi per individuare gli attacchi di social engineering:
- Ricevere un'e-mail da qualcuno che dichiara di provenire dal reparto IT e che chiede di reimpostare la password e di fornirla in un'e-mail o in un messaggio di testo.
- Ricevere un'e-mail da qualcuno che dichiara di provenire dalla vostra banca e che vi chiede informazioni personali, come il numero di conto o il codice PIN.
- Ricevere un'e-mail da qualcuno che dichiara di provenire dalla vostra banca e che vi chiede informazioni personali, come il numero di conto o il codice PIN.
- Una persona che sostiene di appartenere all'ufficio risorse umane dell'azienda chiede informazioni sull'azienda.
Tipi di attacchi di ingegneria sociale
Vittimizzare le persone attraverso attacchi di social engineering è un ottimo modo per perpetrare frodi. Può avvenire in diversi modi.
Ottenere l'accesso: Gli hacker possono accedere al vostro conto bancario richiedendo un credito a nome di un'altra persona. Questa frode spesso comporta una telefonata o un'e-mail inviata ad amici e familiari, ai quali viene chiesto di effettuare un bonifico bancario per rimborsare rapidamente l'hacker per il tributo che ha imposto alla vita della vittima.
Rubare informazioni personali: Un altro modo comune in cui le persone vengono indotte a consegnare i propri dati personali è quello di credere di aver vinto un premio o un concorso a cui non hanno mai partecipato ma a cui si sono iscritti. E quando ricevono telefonate per assicurarsi che riceveranno il premio una volta forniti i propri dati, le vittime cadono nella trappola dell'aggressore.
Phishing: in questo attacco, gli aggressori inviano e-mail che sembrano provenire da aziende o organizzazioni legittime, ma contengono link o allegati dannosi. Si tratta inoltre di uno degli attacchi di social engineering più comuni al mondo.
Pretexting: Un altro attacco massiccio di social engineering consiste nel creare una falsa identità o uno scenario per ottenere l'accesso a informazioni personali. Uno degli esempi più evidenti di social engineering è quello in cui gli aggressori ottengono l'accesso alla manipolazione delle persone attraverso gli SMS.
Shoulder Surfing: È un attacco in cui l'aggressore guarda alle spalle di qualcuno per accedere a informazioni riservate. A volte l'aggressore non è altro che un vostro caro o un amico che vi ricatterà una volta ottenute le informazioni che ha sempre desiderato. È quindi essenziale tenere d'occhio queste persone e non fornire mai tutti i dettagli personali.
Pedinamento: Il tailgating si verifica quando un aggressore segue qualcuno autorizzato a entrare in un edificio o in un'area protetta senza essere effettivamente autorizzato. Non è così comune come altri attacchi di social engineering, ma è comunque pericoloso e può lasciare tracce dannose.
5 modi per proteggersi dagli attacchi di ingegneria sociale
Qui abbiamo raccolto alcuni utili consigli o idee che aiutano a proteggersi dagli attacchi sociali o a prevenire gli attacchi di social engineering:
1. Mittenti sconosciuti (e-mail o messaggi di testo)
Prestate molta attenzione all'indirizzo e-mail del mittente e al contenuto del messaggio. È essenziale sapere che non è necessario cliccare sui link di documenti sospetti.
2. Smettere di condividere le informazioni personali
Pensate prima di condividere informazioni personali, come password e numeri di carta di credito. Nessuna azienda o persona legittima dovrebbe mai chiedere questo tipo di informazioni sensibili. Utilizzate sempre password forti e cambiatele regolarmente. Evitate di usare le stesse password per più account e vi eviterete di essere vittime di attacchi di social engineering.
3. Livelli di sicurezza
Utilizzate l'autenticazione a due fattori quando possibile. Può aggiungere un ulteriore livello di sicurezza richiedendo agli utenti di inserire un codice inviato al loro telefono cellulare e il loro nome utente e password. Impostate sempre i codici di autenticazione con la vostra e-mail e il vostro numero di telefono, in modo che se qualcuno dovesse accedere a uno dei due sistemi, non sarebbe in grado di utilizzare direttamente il vostro account.
4. Software antivirus
Installare un sistema antimalware e antivirus su tutti i vostri dispositivi. Mantenete questi programmi aggiornati in modo che possano proteggervi dalle minacce più recenti. Tuttavia, l'installazione di un antivirus sui vostri dispositivi può costituire un ottimo scudo contro gli attacchi di social engineering.
5. Tenere sempre presente i rischi
Sarebbe utile considerare sempre i rischi. Assicuratevi che qualsiasi richiesta di informazioni sia accurata effettuando un doppio e triplo controllo. Tenete d'occhio le notizie sulla sicurezza informatica quando siete stati colpiti da una recente violazione.
Conclusione
Per proteggersi dagli attacchi di social engineering, è necessario imparare a usare delle precauzioni contro di essi. Poiché vi abbiamo già fornito alcuni metodi standard di attacchi di ingegneria sociale, utilizzati da sempre nel mondo, assicuratevi di iniziare subito a mettere in pratica le precauzioni. Gli attacchi di ingegneria sociale possono danneggiare in pochi secondi la vita professionale di una persona. Proteggete sempre i vostri dispositivi, le password e gli altri accessi con due codici di verifica di autenticazione per un livello di protezione esterno.
Prima di fare qualsiasi altra cosa, rivolgetevi a un professionista IT di fiducia o a un esperto di sicurezza come PowerDMARC. Questi possono aiutarvi a capire i rischi degli attacchi di social engineering e come ridurli al minimo.
- Come trovare il miglior fornitore di soluzioni DMARC per la vostra azienda? - 25 aprile 2024
- PowerDMARC e Zendata stringono una partnership per migliorare la sicurezza dei domini - 25 aprile 2024
- PowerDMARC collabora con CNS per promuovere le pratiche di sicurezza delle e-mail in Medio Oriente - 24 aprile 2024