Messaggi

Come ci si può proteggere dall'ingegneria sociale?

La prima linea di difesa è stare all'erta. Negli attacchi di social engineering, l'aggressore potrebbe attirare l'utente in una conversazione che si trasforma in un interrogatorio. Tuttavia, il modo migliore per proteggersi dall'ingegneria sociale è sapere di chi ci si può fidare ed essere degni di fiducia. È necessario identificare chiunque possa accedere al vostro account o possa influenzarlo e assicurarsi che abbia un buon motivo per farlo. 

La lettura continua vi aiuterà a sapere qual è un metodo comunemente usato nell'ingegneria sociale e come proteggersi dagli attacchi informatici in futuro. in futuro!

Che cos'è un attacco di ingegneria sociale?

Negli attacchi di ingegneria sociale, un aggressore cerca di ottenere l'accesso a dati o servizi stringendo relazioni con persone di cui può sfruttare la fiducia.

Gli attacchi di ingegneria sociale sono una forma di hacking in cui un aggressore cerca di ottenere accesso o informazioni sfruttando la fiducia. È un attacco molto efficace perché fa leva sul desiderio di aiutare le persone, sulla curiosità e sull'ingenuità. Un ingegnere sociale può rendervi complici inconsapevoli utilizzando una manipolazione di alto livello per ottenere ciò che l'attaccante vuole. 

L'uso di inganni e trucchi per ottenere un vantaggio risale a molto prima della diffusione dei personal computer e del world wide web. Ma possiamo guardare più indietro nella storia per vedere alcuni dei casi più eclatanti di attacco di ingegneria sociale.

Nell'incidente più recente, avvenuto nel febbraio 2020, un phishing utilizzando una fattura di ristrutturazione fasulla ha truffato Barbara Corcoran di "Shark Tank" della ABC.Shark Tank" di quasi 400.000 dollari.

Se siete vittime di attacchi di social engineering, è essenziale sapere come proteggersi dalle vittime. Scoprite i segnali di allarme di una potenziale minaccia e come proteggervi.

Leggete anche: Che cos'è l'ingegneria sociale?

Qual è un metodo comunemente utilizzato nell'ingegneria sociale?

Un metodo comunemente utilizzato dagli ingegneri sociali negli attacchi di social engineering è quello di spacciarsi per l'assistenza IT. Questo può avvenire chiamando un'azienda e chiedendo di parlare con il reparto IT o inviando un'e-mail all'azienda dicendo di chiamare dal reparto IT.

Una volta ottenuto l'accesso, il chiamante o il mittente può fingere di appartenere a un altro dipartimento o richiedere informazioni che l'azienda non rilascerebbe normalmente. L'ingegnere sociale, inoltre, spesso raccoglie il maggior numero di informazioni possibili sul suo obiettivo prima di entrare in contatto con lui.

5 modi per proteggersi dagli attacchi di ingegneria sociale

Qui abbiamo raccolto alcuni utili consigli o idee che aiutano a proteggersi dagli attacchi sociali o a prevenire gli attacchi di social engineering:

Mittenti sconosciuti (e-mail o messaggi di testo)

Prestate molta attenzione all'indirizzo e-mail del mittente e al contenuto del messaggio. È essenziale sapere che non è necessario cliccare sui link di documenti sospetti. 

Smettete di condividere le informazioni personali

Pensate prima di condividere informazioni personali, come password e numeri di carta di credito. Nessuna azienda o persona legittima dovrebbe mai chiedere questo tipo di informazioni sensibili. Utilizzate sempre password forti e cambiatele regolarmente. Evitate di usare le stesse password per più account e vi eviterete di essere vittime di attacchi di social engineering.

Livelli di sicurezza

Utilizzate l'autenticazione a due fattori quando possibile. Può aggiungere un ulteriore livello di sicurezza richiedendo agli utenti di inserire un codice inviato al loro telefono cellulare e il loro nome utente e password. Impostate sempre i codici di autenticazione con la vostra e-mail e il vostro numero di telefono, in modo che se qualcuno dovesse accedere a uno dei due sistemi, non sarebbe in grado di utilizzare direttamente il vostro account.

Software antivirus

Installare un sistema antimalware e antivirus su tutti i vostri dispositivi. Mantenete questi programmi aggiornati in modo che possano proteggervi dalle minacce più recenti. Tuttavia, l'installazione di un antivirus sui vostri dispositivi può costituire un ottimo scudo contro gli attacchi di social engineering.

Tenere sempre presente i rischi

Dovete sempre considerare i rischi. Assicuratevi che qualsiasi richiesta di informazioni sia accurata effettuando un doppio e triplo controllo. Tenete d'occhio le notizie sulla sicurezza informatica quando siete stati colpiti da una recente violazione. 

Quali sono gli esempi di ingegneria sociale?

Vittimizzare le persone attraverso attacchi di social engineering è un ottimo modo per perpetrare frodi. Può avvenire in diversi modi. Ecco alcuni esempi di ingegneria sociale:

Ottenere l'accesso

Gli hacker possono accedere al vostro conto bancario richiedendo un credito a nome di un'altra persona. Questa frode spesso comporta una telefonata o un'e-mail inviata ad amici e familiari, ai quali viene chiesto di effettuare un bonifico bancario per rimborsare rapidamente l'hacker per il tributo che ha imposto alla vita della vittima. 

Rubare informazioni personali

Un altro modo comune in cui le persone vengono indotte a consegnare i propri dati personali è quello di credere di aver vinto un premio o un concorso a cui non hanno mai partecipato ma a cui si sono iscritti. E quando ricevono telefonate per assicurarsi che riceveranno il premio una volta forniti i propri dati, è qui che le vittime cadono nella trappola dell'aggressore. 

Phishing

In questo attacco, gli aggressori inviano e-mail che sembrano provenire da aziende o organizzazioni legittime, ma contengono link o allegati dannosi. Inoltre, questo è uno degli attacchi di social engineering più comuni al mondo. 

Pretestuosità

Un altro attacco massiccio di social engineering consiste nel creare una falsa identità o uno scenario per ottenere l'accesso a informazioni personali. Uno degli esempi più evidenti di ingegneria sociale è quello in cui gli aggressori ottengono l'accesso alla manipolazione delle persone attraverso gli SMS.

Surf di spalla

Si tratta di un attacco in cui l'aggressore guarda alle spalle di qualcuno per avere accesso a informazioni riservate. A volte l'aggressore non è altro che un amico o una persona cara che vi ricatterà una volta ottenute le informazioni che ha sempre desiderato. È quindi essenziale tenere d'occhio queste persone e non fornire mai tutti i dettagli personali. 

Tailgating

Il tailgating si verifica quando un aggressore segue qualcuno autorizzato a entrare in un edificio o in un'area protetta senza essere effettivamente autorizzato. Non è così comune come altri attacchi di social engineering, ma è comunque pericoloso e può lasciare tracce dannose.

Conclusione

Per proteggersi dagli attacchi di social engineering, è necessario imparare a usare delle precauzioni contro di essi. Poiché vi abbiamo già fornito alcuni metodi standard di attacchi di ingegneria sociale, utilizzati da sempre nel mondo, assicuratevi di iniziare subito a mettere in pratica le precauzioni. Gli attacchi di ingegneria sociale possono danneggiare in pochi secondi la vita professionale di una persona. Proteggete sempre i vostri dispositivi, le password e gli altri accessi con due codici di verifica di autenticazione per un livello di protezione esterno.

Prima di fare qualsiasi altra cosa, rivolgetevi a un professionista IT di fiducia o a un esperto di sicurezza come PowerDMARC. Questi possono aiutarvi a capire i rischi degli attacchi di social engineering e come ridurli al minimo.

/da

Tipi di attacchi di ingegneria sociale nel 2022

Prima di tuffarci nei tipi di attacchi di ingegneria sociale di cui le vittime cadono preda quotidianamente, insieme ai prossimi attacchi che hanno preso d'assalto internet, cerchiamo di capire brevemente in cosa consiste l'ingegneria sociale. 

Per spiegarlo in termini profani, l'ingegneria sociale si riferisce a una tattica di dispiegamento di cyberattacchi in cui gli attori della minaccia usano la manipolazione psicologica per sfruttare le loro vittime e defraudarle.

Ingegneria sociale: Definizione ed esempi

Cos'è un attacco di ingegneria sociale?

Al contrario dei criminali informatici che entrano nel tuo computer o nel tuo sistema di posta elettronica, gli attacchi di ingegneria sociale sono orchestrati cercando di influenzare le opinioni di una vittima per manovrarla ed esporre informazioni sensibili. Gli analisti della sicurezza hanno confermato che più del 70% dei cyberattacchi che avvengono su internet su base annuale sono attacchi di ingegneria sociale.

Esempi di ingegneria sociale

Date un'occhiata all'esempio mostrato qui sotto:

 

Qui possiamo osservare una pubblicità online che attira la vittima con la promessa di guadagnare 1000 dollari all'ora. Questo annuncio contiene un link dannoso che può avviare l'installazione di un malware sul loro sistema. 

Questo tipo di attacco è comunemente conosciuto come Online Baiting o semplicemente Baiting, ed è una forma di attacco di ingegneria sociale. 

Di seguito un altro esempio:

Come mostrato sopra, gli attacchi di ingegneria sociale possono anche essere perpetrati utilizzando l'e-mail come mezzo potente. Un esempio comune di questo è un attacco di Phishing. Ci addentreremo in questi attacchi in modo più dettagliato nella prossima sezione.

Tipi di attacchi di ingegneria sociale

1. Vishing e Smishing

Supponiamo che oggi riceviate un SMS dalla vostra banca (presumibilmente) che vi chiede di verificare la vostra identità cliccando su un link, altrimenti il vostro conto sarà disattivato. Questo è un messaggio molto comune che viene spesso fatto circolare dai criminali informatici per ingannare le persone ignare. Una volta che clicchi sul link vieni reindirizzato a una pagina di spoofing che richiede le tue informazioni bancarie. State certi che se finirete per fornire i vostri dati bancari agli aggressori, essi prosciugheranno il vostro conto. 

Allo stesso modo, il Vishing o Voice phishing è avviato attraverso chiamate telefoniche invece di SMS.

2. Esca online / Baiting 

Ci imbattiamo in una serie di pubblicità online ogni singolo giorno mentre navighiamo sui siti web. Mentre la maggior parte di essi sono innocui e autentici, ci potrebbero essere alcune mele marce che si nascondono nel lotto. Questo può essere identificato facilmente individuando le pubblicità che sembrano troppo belle per essere vere. Di solito hanno affermazioni ridicole ed esche come colpire il jackpot o offrire un enorme sconto.

Ricordate che questa può essere una trappola (aka a esca). Se qualcosa sembra troppo bello per essere vero, probabilmente lo è. Quindi è meglio stare alla larga da annunci sospetti su internet, e resistere a cliccare su di essi.

3. Phishing

Gli attacchi di ingegneria sociale sono più spesso effettuati tramite e-mail, e sono chiamati Phishing. Gli attacchi di phishing hanno portato scompiglio su scala globale quasi da quando esiste la posta elettronica stessa. Dal 2020, a causa di un'impennata nelle comunicazioni via e-mail, anche il tasso di phishing è aumentato, frodando organizzazioni grandi e piccole, e facendo notizia ogni giorno. 

Gli attacchi di phishing possono essere categorizzati in Spear phishing, whaling, e frode CEO, riferendosi all'atto di impersonare specifici dipendenti all'interno di un'organizzazione, i decisori della società, e il CEO, rispettivamente.

4. Truffe romantiche

Il Federal Bureau of Investigation (FBI) definisce le truffe sentimentali su Internet come "truffe che si verificano quando un criminale adotta una falsa identità online per ottenere l'affetto e la fiducia della vittima. Il truffatore usa poi l'illusione di una relazione romantica o stretta per manipolare e/o derubare la vittima". 

Le truffe romantiche rientrano nei tipi di attacchi di ingegneria sociale poiché gli aggressori usano tattiche manipolative per formare una stretta relazione romantica con le loro vittime prima di agire sulla loro agenda principale: cioè truffarle. Nel 2021, le truffe romantiche hanno preso la posizione #1 come il cyberattacco più finanziariamente dannoso dell'anno, seguito da vicino dal ransomware.

5. Spoofing

Lo spoofing del dominio è una forma molto evoluta di attacco di ingegneria sociale. Questo avviene quando un attaccante falsifica un dominio aziendale legittimo per inviare e-mail ai clienti per conto dell'organizzazione che le invia. L'aggressore manipola le vittime facendogli credere che la suddetta e-mail provenga da una fonte autentica, cioè un'azienda sui cui servizi fanno affidamento. 

Gli attacchi di spoofing sono difficili da tracciare poiché le e-mail vengono inviate dal dominio di un'azienda. Tuttavia, ci sono modi per risolvere i problemi. Uno dei metodi popolari utilizzati e raccomandati dagli esperti del settore è quello di ridurre al minimo lo spoofing con l'aiuto di un DMARC configurazione.

6. Pretesto

Il pretesto può essere indicato come un predecessore di un attacco di ingegneria sociale. È quando un aggressore tesse una storia ipotetica per sostenere la sua richiesta di informazioni sensibili dell'azienda. Nella maggior parte dei casi il pretexting viene effettuato tramite telefonate, in cui un aggressore si spaccia per un cliente o un dipendente, chiedendo informazioni sensibili all'azienda.

Qual è un metodo comune usato nell'ingegneria sociale?

Il metodo più comune utilizzato nell'ingegneria sociale è il Phishing. Diamo un'occhiata ad alcune statistiche per capire meglio come il Phishing sia una minaccia globale crescente:

  • Il rapporto 2021 Cybersecurity Threat Trends di CISCO ha evidenziato che un enorme 90% delle violazioni di dati avviene a causa del phishing
  • IBM nel suo Rapporto sui costi di una violazione di dati del 2021 ha delegato il titolo di vettore di attacco più costoso dal punto di vista finanziario al phishing
  • Con ogni anno, il tasso di attacchi di phishing è stato trovato per aumentare del 400%, come riportato dall'FBI

Come proteggersi dagli attacchi di ingegneria sociale?

Protocolli e strumenti che puoi configurare: 

  • Implementa i protocolli di autenticazione delle email nella tua organizzazione come SPF, DKIM e DMARC. Inizia a creare un record DMARC gratuito oggi stesso con il nostro generatore di record DMARC.
  • Applicare la vostra politica DMARC a p=reject per ridurre al minimo lo spoofing del dominio diretto e gli attacchi di phishing via email
  • Assicurati che il tuo sistema informatico sia protetto con l'aiuto di un software antivirus

Misure personali che potete prendere:

  • Aumentare la consapevolezza nella vostra organizzazione contro i tipi comuni di attacchi di ingegneria sociale, i vettori di attacco e i segnali di avvertimento
  • Informati sui vettori e i tipi di attacco. Visita la nostra knowledge base, inserisci "phishing" nella barra di ricerca, premi invio e inizia a imparare oggi stesso!  
  • Non inviare mai informazioni confidenziali su siti esterni
  • Abilitare le applicazioni di identificazione del chiamante sul tuo dispositivo mobile
  • Ricorda sempre che la tua banca non ti chiederà mai di inviare le informazioni e la password del tuo conto via email, SMS o chiamata
  • Ricontrolla sempre l'indirizzo di posta Da e l'indirizzo del percorso di ritorno delle tue e-mail per assicurarti che corrispondano 
  • Non cliccare mai su allegati o link sospetti prima di essere sicuri al 100% dell'autenticità della loro fonte
  • Pensateci due volte prima di fidarvi delle persone con cui interagite online e che non conoscete nella vita reale
  • Non navigare su siti web che non sono protetti da una connessione HTTPS (ad esempio http://domain.com)

/da