Messaggi

Che cos'è l'ingegneria sociale? È una forma di attacco informatico che prevede l'uso della manipolazione e dell'inganno per ottenere l'accesso a dati o informazioni. L'obiettivo dell'ingegneria sociale è quello di indurre le persone a divulgare informazioni sensibili, come password e dettagli di rete, facendo credere loro che stanno interagendo con qualcuno di cui si fidano. 

In alcuni casi, gli ingegneri sociali cercheranno anche di farvi scaricare sul vostro computer, senza che ve ne accorgiate, del malware, un software che può essere utilizzato per scopi dannosi.

Che cos'è l'ingegneria sociale: Definizione

L'ingegneria sociale consiste nel manipolare le persone affinché compiano azioni o divulghino informazioni riservate. Si tratta di una forma di hacking, ma invece di introdursi nei computer, gli ingegneri sociali cercano di accedervi inducendo i dipendenti a fornire informazioni o a scaricare malware.

Tecniche di ingegneria sociale: Come funziona l'ingegneria sociale?

  • Il social engineering può essere effettuato per telefono, via e-mail o tramite messaggi di testo. Un social engineer può chiamare un'azienda e chiedere l'accesso a un'area riservata, oppure può impersonare una persona per convincerla ad aprire un account di posta elettronica per suo conto.
  • Gli ingegneri sociali utilizzano diverse tattiche per raggiungere i loro obiettivi. Ad esempio, possono affermare di chiamare dall'help desk di un'azienda e richiedere l'accesso remoto per poter risolvere un problema sul computer o sulla rete. Oppure possono affermare di aver bisogno della vostra password o di altre informazioni personali, come le credenziali bancarie, per risolvere un problema con il vostro conto corrente.
  • In alcuni casi, i social engineer si fingono addirittura agenti delle forze dell'ordine e minacciano azioni legali se ci si rifiuta di soddisfare le loro richieste di informazioni. Sebbene sia importante che le aziende prendano sul serio queste minacce, ricordate che la polizia non chiamerà mai qualcuno per chiedergli la password al telefono!

Scopo dell'ingegneria sociale

L'ingegneria sociale è spesso utilizzata negli attacchi di phishing, ovvero messaggi di posta elettronica che sembrano provenire da una fonte attendibile ma che in realtà mirano a rubare le vostre informazioni personali. Le e-mail di solito contengono un allegato con un software dannoso (spesso chiamato malware) che, se aperto, infetterà il vostro computer.

L'obiettivo dell'ingegneria sociale è sempre lo stesso: ottenere l'accesso a qualcosa di prezioso senza dover lavorare per ottenerlo. 

1. Rubare informazioni sensibili

Gli ingegneri sociali possono quindi cercare di ingannare l'utente per indurlo a fornire la password e le credenziali di accesso (come il nome utente/l'indirizzo e-mail) in modo da poter accedere al suo account e-mail o al suo profilo sui social media, dove possono rubare informazioni personali come i numeri delle carte di credito e le informazioni sui conti bancari da transazioni precedenti. Potreste sapere come vendere su Instagram, ma siete sufficientemente preparati per proteggere la vostra piccola impresa e il vostro account dagli ingegneri sociali?

2. Furto d'identità

Potrebbero anche utilizzare queste informazioni per assumere l'identità della vittima e svolgere attività dannose spacciandosi per lei, se decidono di non distruggerle immediatamente.

Imparare perché i cyberattaccanti utilizzano comunemente l'ingegneria sociale.

Come identificare un attacco di ingegneria sociale?

1. Fidatevi del vostro istinto

Se ricevete e-mail o telefonate che sembrano sospette, non fornite alcuna informazione prima di aver verificato la vostra identità. Potete farlo chiamando direttamente la vostra azienda o contattando la persona che presumibilmente ha inviato l'e-mail o ha lasciato un messaggio in segreteria.

2. Non inviate i vostri dati personali

Se qualcuno chiede il vostro numero di previdenza sociale o altri dati privati, è segno che sta cercando di approfittare della vostra fiducia e di usarla in seguito contro di voi. Si consiglia di non fornire alcuna informazione se non è assolutamente necessario. 

3. Richieste insolite senza contesto

Gli ingegneri sociali di solito fanno grandi richieste senza fornire alcun contesto. Se qualcuno chiede denaro o altre risorse senza spiegare perché ne ha bisogno, probabilmente c'è qualcosa di sospetto. È meglio essere prudenti quando qualcuno fa una richiesta di questo tipo: non si sa mai che tipo di danno si potrebbe fare con l'accesso al vostro conto in banca!

Ecco alcuni modi per individuare gli attacchi di social engineering:

  • Ricevere un'e-mail da qualcuno che dichiara di provenire dal reparto IT e che chiede di reimpostare la password e di fornirla in un'e-mail o in un messaggio di testo.
  • Ricevere un'e-mail da qualcuno che dichiara di provenire dalla vostra banca e che vi chiede informazioni personali, come il numero di conto o il codice PIN.
  • Ricevere un'e-mail da qualcuno che dichiara di provenire dalla vostra banca e che vi chiede informazioni personali, come il numero di conto o il codice PIN.
  • Una persona che sostiene di appartenere all'ufficio risorse umane dell'azienda chiede informazioni sull'azienda.

Attacchi di social engineering via e-mail

E-mail di phishing - Sembrano provenire da una fonte legittima, ma in realtà cercano di indurvi ad aprire un allegato o a visitare un sito web dannoso.

Spear phishing - Spear phishing sono più mirati delle e-mail di phishing e utilizzano informazioni sull'utente per sembrare più credibili.

Frode dell'amministratore delegato Frode dell'amministratore delegato è un tipo di truffa di phishing che consiste nell'impersonare un amministratore delegato o un dirigente di alto livello per ottenere l'accesso a informazioni sensibili. Queste possono includere numeri di conti bancari, dettagli di bonifici o persino informazioni sulle buste paga dei dipendenti.

Imparare a conoscere altri tipi di ingegneria sociale attacchi.

Come prevenire l'ingegneria sociale?

Abbiamo alcuni consigli su come prevenire gli attacchi di social engineering e proteggersi da essi.

  1. Assicuratevi di avere installato un buon software antivirus sui vostri dispositivi e computer.
  2. Non aprite e-mail o allegati sospetti provenienti da persone che non fanno parte della vostra cerchia di fiducia (compresi quelli provenienti da persone che affermano di essere la vostra banca o la società della carta di credito).
  3. Non cliccate sui link contenuti nelle e-mail se non siete sicuri che siano sicuri, anche se provengono da qualcuno che conoscete! In caso di dubbio sulla legittimità di un'e-mail, contattate direttamente il mittente tramite telefono o SMS, invece di cercare informazioni online.
  4. Diffidate di telefonate o messaggi di testo non richiesti che offrono qualcosa di "troppo bello per essere vero" (ad esempio, premi gratuiti e altre offerte per la sottoscrizione di prove gratuite). 
  5. Utilizzare l'autenticazione a due fattori quando possibile: ciò significa che anche se qualcuno è in possesso della vostra password, avrà bisogno di un'altra informazione (come un codice a tempo unico) per accedere al vostro account.
  6. Impostare i protocolli di autenticazione delle e-mail come DMARC per proteggere i vostri canali e-mail da attacchi di phishing, social engineering e abuso di dominio.

Per riassumere

È importante proteggersi dall'ingegneria sociale perché può comportare la perdita di denaro e di altre informazioni personali, nonché la compromissione dei sistemi di sicurezza e la violazione dei dati. 

Per quanto il vostro team IT sia bravo a proteggere la vostra azienda dai cyberattacchi, non potrete mai eliminare completamente il rischio che qualcuno cerchi di entrare nel vostro sistema attraverso metodi di social engineering. Ecco perché è così importante formare i dipendenti sull'identificazione delle e-mail di phishing e di altri tipi di attacchi di ingegneria sociale.

Prima di tuffarci nei tipi di attacchi di ingegneria sociale di cui le vittime cadono preda quotidianamente, insieme ai prossimi attacchi che hanno preso d'assalto internet, cerchiamo di capire brevemente in cosa consiste l'ingegneria sociale. 

Per spiegarlo in termini profani, l'ingegneria sociale si riferisce a una tattica di dispiegamento di cyberattacchi in cui gli attori della minaccia usano la manipolazione psicologica per sfruttare le loro vittime e defraudarle.

Ingegneria sociale: Definizione ed esempi

Cos'è un attacco di ingegneria sociale?

Al contrario dei criminali informatici che entrano nel tuo computer o nel tuo sistema di posta elettronica, gli attacchi di ingegneria sociale sono orchestrati cercando di influenzare le opinioni di una vittima per manovrarla ed esporre informazioni sensibili. Gli analisti della sicurezza hanno confermato che più del 70% dei cyberattacchi che avvengono su internet su base annuale sono attacchi di ingegneria sociale.

Esempi di ingegneria sociale

Date un'occhiata all'esempio mostrato qui sotto:

 

Qui possiamo osservare una pubblicità online che attira la vittima con la promessa di guadagnare 1000 dollari all'ora. Questo annuncio contiene un link dannoso che può avviare l'installazione di un malware sul loro sistema. 

Questo tipo di attacco è comunemente conosciuto come Online Baiting o semplicemente Baiting, ed è una forma di attacco di ingegneria sociale. 

Di seguito un altro esempio:

Come mostrato sopra, gli attacchi di ingegneria sociale possono anche essere perpetrati utilizzando l'e-mail come mezzo potente. Un esempio comune di questo è un attacco di Phishing. Ci addentreremo in questi attacchi in modo più dettagliato nella prossima sezione.

Tipi di attacchi di ingegneria sociale

1. Vishing e Smishing

Supponiamo che oggi riceviate un SMS dalla vostra banca (presumibilmente) che vi chiede di verificare la vostra identità cliccando su un link, altrimenti il vostro conto sarà disattivato. Questo è un messaggio molto comune che viene spesso fatto circolare dai criminali informatici per ingannare le persone ignare. Una volta che clicchi sul link vieni reindirizzato a una pagina di spoofing che richiede le tue informazioni bancarie. State certi che se finirete per fornire i vostri dati bancari agli aggressori, essi prosciugheranno il vostro conto. 

Allo stesso modo, il Vishing o Voice phishing è avviato attraverso chiamate telefoniche invece di SMS.

2. Esca online / Baiting 

Ci imbattiamo in una serie di pubblicità online ogni singolo giorno mentre navighiamo sui siti web. Mentre la maggior parte di essi sono innocui e autentici, ci potrebbero essere alcune mele marce che si nascondono nel lotto. Questo può essere identificato facilmente individuando le pubblicità che sembrano troppo belle per essere vere. Di solito hanno affermazioni ridicole ed esche come colpire il jackpot o offrire un enorme sconto.

Ricordate che questa può essere una trappola (aka a esca). Se qualcosa sembra troppo bello per essere vero, probabilmente lo è. Quindi è meglio stare alla larga da annunci sospetti su internet, e resistere a cliccare su di essi.

3. Phishing

Gli attacchi di ingegneria sociale sono più spesso effettuati tramite e-mail, e sono chiamati Phishing. Gli attacchi di phishing hanno portato scompiglio su scala globale quasi da quando esiste la posta elettronica stessa. Dal 2020, a causa di un'impennata nelle comunicazioni via e-mail, anche il tasso di phishing è aumentato, frodando organizzazioni grandi e piccole, e facendo notizia ogni giorno. 

Gli attacchi di phishing possono essere categorizzati in Spear phishing, whaling, e frode CEO, riferendosi all'atto di impersonare specifici dipendenti all'interno di un'organizzazione, i decisori della società, e il CEO, rispettivamente.

4. Truffe romantiche

Il Federal Bureau of Investigation (FBI) definisce le truffe sentimentali su Internet come "truffe che si verificano quando un criminale adotta una falsa identità online per ottenere l'affetto e la fiducia della vittima. Il truffatore usa poi l'illusione di una relazione romantica o stretta per manipolare e/o derubare la vittima". 

Le truffe romantiche rientrano nei tipi di attacchi di ingegneria sociale poiché gli aggressori usano tattiche manipolative per formare una stretta relazione romantica con le loro vittime prima di agire sulla loro agenda principale: cioè truffarle. Nel 2021, le truffe romantiche hanno preso la posizione #1 come il cyberattacco più finanziariamente dannoso dell'anno, seguito da vicino dal ransomware.

5. Spoofing

Lo spoofing del dominio è una forma molto evoluta di attacco di ingegneria sociale. Questo avviene quando un attaccante falsifica un dominio aziendale legittimo per inviare e-mail ai clienti per conto dell'organizzazione che le invia. L'aggressore manipola le vittime facendogli credere che la suddetta e-mail provenga da una fonte autentica, cioè un'azienda sui cui servizi fanno affidamento. 

Gli attacchi di spoofing sono difficili da tracciare poiché le e-mail vengono inviate dal dominio di un'azienda. Tuttavia, ci sono modi per risolvere i problemi. Uno dei metodi popolari utilizzati e raccomandati dagli esperti del settore è quello di ridurre al minimo lo spoofing con l'aiuto di un DMARC configurazione.

6. Pretesto

Il pretesto può essere indicato come un predecessore di un attacco di ingegneria sociale. È quando un aggressore tesse una storia ipotetica per sostenere la sua richiesta di informazioni sensibili dell'azienda. Nella maggior parte dei casi il pretexting viene effettuato tramite telefonate, in cui un aggressore si spaccia per un cliente o un dipendente, chiedendo informazioni sensibili all'azienda.

Qual è un metodo comune usato nell'ingegneria sociale?

Il metodo più comune utilizzato nell'ingegneria sociale è il Phishing. Diamo un'occhiata ad alcune statistiche per capire meglio come il Phishing sia una minaccia globale crescente:

  • Il rapporto 2021 Cybersecurity Threat Trends di CISCO ha evidenziato che un enorme 90% delle violazioni di dati avviene a causa del phishing
  • IBM nel suo Rapporto sui costi di una violazione di dati del 2021 ha delegato il titolo di vettore di attacco più costoso dal punto di vista finanziario al phishing
  • Con ogni anno, il tasso di attacchi di phishing è stato trovato per aumentare del 400%, come riportato dall'FBI

Come proteggersi dagli attacchi di ingegneria sociale?

Protocolli e strumenti che puoi configurare: 

  • Implementa i protocolli di autenticazione delle email nella tua organizzazione come SPF, DKIM e DMARC. Inizia a creare un record DMARC gratuito oggi stesso con il nostro generatore di record DMARC.
  • Applicare la vostra politica DMARC a p=reject per ridurre al minimo lo spoofing del dominio diretto e gli attacchi di phishing via email
  • Assicurati che il tuo sistema informatico sia protetto con l'aiuto di un software antivirus

Misure personali che potete prendere:

  • Aumentare la consapevolezza nella vostra organizzazione contro i tipi comuni di attacchi di ingegneria sociale, i vettori di attacco e i segnali di avvertimento
  • Informati sui vettori e i tipi di attacco. Visita la nostra knowledge base, inserisci "phishing" nella barra di ricerca, premi invio e inizia a imparare oggi stesso!  
  • Non inviare mai informazioni confidenziali su siti esterni
  • Abilitare le applicazioni di identificazione del chiamante sul tuo dispositivo mobile
  • Ricorda sempre che la tua banca non ti chiederà mai di inviare le informazioni e la password del tuo conto via email, SMS o chiamata
  • Ricontrolla sempre l'indirizzo di posta Da e l'indirizzo del percorso di ritorno delle tue e-mail per assicurarti che corrispondano 
  • Non cliccare mai su allegati o link sospetti prima di essere sicuri al 100% dell'autenticità della loro fonte
  • Pensateci due volte prima di fidarvi delle persone con cui interagite online e che non conoscete nella vita reale
  • Non navigare su siti web che non sono protetti da una connessione HTTPS (ad esempio http://domain.com)