Prima di tuffarci nei tipi di attacchi di ingegneria sociale di cui le vittime cadono preda quotidianamente, insieme ai prossimi attacchi che hanno preso d'assalto internet, cerchiamo di capire brevemente in cosa consiste l'ingegneria sociale.

Per spiegarlo in termini profani, l'ingegneria sociale si riferisce a una tattica di dispiegamento di cyberattacchi in cui gli attori della minaccia usano la manipolazione psicologica per sfruttare le loro vittime e defraudarle.

Ingegneria sociale: Definizione ed esempi

Cos'è un attacco di ingegneria sociale?

Al contrario dei criminali informatici che entrano nel tuo computer o nel tuo sistema di posta elettronica, gli attacchi di ingegneria sociale sono orchestrati cercando di influenzare le opinioni di una vittima per manovrarla ed esporre informazioni sensibili. Gli analisti della sicurezza hanno confermato che più del 70% dei cyberattacchi che avvengono su internet su base annuale sono attacchi di ingegneria sociale.

Esempi di ingegneria sociale

Date un'occhiata all'esempio mostrato qui sotto:

Qui possiamo osservare una pubblicità online che attira la vittima con la promessa di guadagnare 1000 dollari all'ora. Questo annuncio contiene un link dannoso che può avviare l'installazione di un malware sul loro sistema.

Questo tipo di attacco è comunemente conosciuto come Online Baiting o semplicemente Baiting, ed è una forma di attacco di ingegneria sociale.

Di seguito un altro esempio:

Come mostrato sopra, gli attacchi di ingegneria sociale possono anche essere perpetrati utilizzando l'e-mail come mezzo potente. Un esempio comune di questo è un attacco di Phishing. Ci addentreremo in questi attacchi in modo più dettagliato nella prossima sezione.

Tipi di attacchi di ingegneria sociale

1. Vishing e Smishing

Supponiamo che oggi riceviate un SMS dalla vostra banca (presumibilmente) che vi chiede di verificare la vostra identità cliccando su un link, altrimenti il vostro conto sarà disattivato. Questo è un messaggio molto comune che viene spesso fatto circolare dai criminali informatici per ingannare le persone ignare. Una volta che clicchi sul link vieni reindirizzato a una pagina di spoofing che richiede le tue informazioni bancarie. State certi che se finirete per fornire i vostri dati bancari agli aggressori, essi prosciugheranno il vostro conto.

Allo stesso modo, il Vishing o Voice phishing è avviato attraverso chiamate telefoniche invece di SMS.

2. Esca online / Baiting

Ci imbattiamo in una serie di pubblicità online ogni singolo giorno mentre navighiamo sui siti web. Mentre la maggior parte di essi sono innocui e autentici, ci potrebbero essere alcune mele marce che si nascondono nel lotto. Questo può essere identificato facilmente individuando le pubblicità che sembrano troppo belle per essere vere. Di solito hanno affermazioni ridicole ed esche come colpire il jackpot o offrire un enorme sconto.

Ricordate che questa può essere una trappola (aka a esca). Se qualcosa sembra troppo bello per essere vero, probabilmente lo è. Quindi è meglio stare alla larga da annunci sospetti su internet, e resistere a cliccare su di essi.

3. Phishing

Gli attacchi di ingegneria sociale sono più spesso effettuati tramite e-mail, e sono chiamati Phishing. Gli attacchi di phishing hanno portato scompiglio su scala globale quasi da quando esiste la posta elettronica stessa. Dal 2020, a causa di un'impennata nelle comunicazioni via e-mail, anche il tasso di phishing è aumentato, frodando organizzazioni grandi e piccole, e facendo notizia ogni giorno.

Gli attacchi di phishing possono essere categorizzati in Spear phishing, whaling, e frode CEO, riferendosi all'atto di impersonare specifici dipendenti all'interno di un'organizzazione, i decisori della società, e il CEO, rispettivamente.

4. Truffe romantiche

Il Federal Bureau of Investigation (FBI) definisce le truffe sentimentali su Internet come "truffe che si verificano quando un criminale adotta una falsa identità online per ottenere l'affetto e la fiducia della vittima. Il truffatore usa poi l'illusione di una relazione romantica o stretta per manipolare e/o derubare la vittima".

Le truffe romantiche rientrano nei tipi di attacchi di ingegneria sociale poiché gli aggressori usano tattiche manipolative per formare una stretta relazione romantica con le loro vittime prima di agire sulla loro agenda principale: cioè truffarle. Nel 2021, le truffe romantiche hanno preso la posizione #1 come il cyberattacco più finanziariamente dannoso dell'anno, seguito da vicino dal ransomware.

5. Spoofing

Lo spoofing del dominio è una forma molto evoluta di attacco di ingegneria sociale. Questo avviene quando un attaccante falsifica un dominio aziendale legittimo per inviare e-mail ai clienti per conto dell'organizzazione che le invia. L'aggressore manipola le vittime facendogli credere che la suddetta e-mail provenga da una fonte autentica, cioè un'azienda sui cui servizi fanno affidamento.

Gli attacchi di spoofing sono difficili da tracciare poiché le e-mail vengono inviate dal dominio di un'azienda. Tuttavia, ci sono modi per risolvere i problemi. Uno dei metodi popolari utilizzati e raccomandati dagli esperti del settore è quello di ridurre al minimo lo spoofing con l'aiuto di un DMARC configurazione.

6. Pretesto

Il pretesto può essere indicato come un predecessore di un attacco di ingegneria sociale. È quando un aggressore tesse una storia ipotetica per sostenere la sua richiesta di informazioni sensibili dell'azienda. Nella maggior parte dei casi il pretexting viene effettuato tramite telefonate, in cui un aggressore si spaccia per un cliente o un dipendente, chiedendo informazioni sensibili all'azienda.

Qual è un metodo comune usato nell'ingegneria sociale?

Il metodo più comune utilizzato nell'ingegneria sociale è il Phishing. Diamo un'occhiata ad alcune statistiche per capire meglio come il Phishing sia una minaccia globale crescente:

Il rapporto 2021 Cybersecurity Threat Trends di CISCO ha evidenziato che un enorme 90% delle violazioni di dati avviene a causa del phishing
IBM nel suo Rapporto sui costi di una violazione di dati del 2021 ha delegato il titolo di vettore di attacco più costoso dal punto di vista finanziario al phishing
Con ogni anno, il tasso di attacchi di phishing è stato trovato per aumentare del 400%, come riportato dall'FBI

Come proteggersi dagli attacchi di ingegneria sociale?

Protocolli e strumenti che puoi configurare:

Implementa i protocolli di autenticazione delle email nella tua organizzazione come SPF, DKIM e DMARC. Inizia a creare un record DMARC gratuito oggi stesso con il nostro generatore di record DMARC.
Applicare la vostra politica DMARC a p=reject per ridurre al minimo lo spoofing del dominio diretto e gli attacchi di phishing via email
Assicurati che il tuo sistema informatico sia protetto con l'aiuto di un software antivirus

Misure personali che potete prendere:

Aumentare la consapevolezza nella vostra organizzazione contro i tipi comuni di attacchi di ingegneria sociale, i vettori di attacco e i segnali di avvertimento
Informati sui vettori e i tipi di attacco. Visita la nostra knowledge base, inserisci "phishing" nella barra di ricerca, premi invio e inizia a imparare oggi stesso!
Non inviare mai informazioni confidenziali su siti esterni
Abilitare le applicazioni di identificazione del chiamante sul tuo dispositivo mobile
Ricorda sempre che la tua banca non ti chiederà mai di inviare le informazioni e la password del tuo conto via email, SMS o chiamata
Ricontrolla sempre l'indirizzo di posta Da e l'indirizzo del percorso di ritorno delle tue e-mail per assicurarti che corrispondano
Non cliccare mai su allegati o link sospetti prima di essere sicuri al 100% dell'autenticità della loro fonte
Pensateci due volte prima di fidarvi delle persone con cui interagite online e che non conoscete nella vita reale
Non navigare su siti web che non sono protetti da una connessione HTTPS (ad esempio http://domain.com)