Che cos'è un attacco con esca? Tipi e prevenzione

Blog

Scoprite cos'è un attacco baiting, come funziona, esempi reali e come prevenire questa comune minaccia alla sicurezza informatica.

di Ahona Rudra

Ultimo aggiornamento:
7 Tempo di lettura: 7 minuti
Che cos'è un attacco con esca? Tipi e prevenzione
Indice dei contenuti-

I punti chiave da prendere in considerazione

  1. I criminali informatici si affidano spesso a tecniche di social engineering per manipolare le persone e indurle a compromettere la loro sicurezza.
  2. Gli attacchi di adescamento sfruttano la curiosità o l'avidità per invogliare le vittime a compromettere i loro dispositivi.
  3. Educare i dipendenti sulle ultime tendenze del phishing è essenziale per prevenire gli attacchi con esca.
  4. L'uso di software antivirus e antimalware può aiutare a rilevare e bloccare le minacce prima che causino danni.
  5. Gli attacchi simulati possono essere utili per identificare i punti deboli e addestrare i dipendenti a riconoscere i comportamenti sospetti.

L'attacco baiting nella sicurezza informatica è una delle tecniche di social engineering più comuni e di successo utilizzate dai criminali informatici di tutto il mondo. A differenza di altre minacce informatiche che si basano in larga misura su exploit tecnici, il baiting sfrutta la curiosità e la fiducia umana. 

Capire cos'è il baiting, come funziona e come proteggersi da esso è fondamentale per mantenere una forte consapevolezza della sicurezza informatica e prevenire potenziali violazioni dei dati.

Che cos'è l'adescamento nella sicurezza informatica?

L'attacco con esca è una strategia utilizzata nell'ingegneria sociale in cui una persona viene sedotta da una promessa ingannevole che fa leva sulla sua curiosità o avidità. L'adescamento avviene quando un aggressore lascia una chiavetta USB con un payload dannoso nelle hall o nei parcheggi nella speranza che qualcuno la inserisca in un dispositivo per curiosità, e a quel punto il malware che contiene può essere distribuito.

In un attacco informatico con esca, l'aggressore può inviare alla casella di posta elettronica della vittima un messaggio di posta elettronica contenente un allegato con un file dannoso. Dopo aver aperto l'allegato, si installa sul computer e spia le attività dell'utente.

L'aggressore invia anche un'e-mail contenente un link a un sito web che ospita codice dannoso. Quando si fa clic su questo link, si può infettare il dispositivo con malware o ransomware.

Gli hacker utilizzano spesso attacchi di adescamento per rubare dati personali o denaro alle loro vittime. Questo attacco è diventato più comune poiché i criminali hanno trovato nuovi modi per ingannare le persone e farle diventare vittime della criminalità informatica.

Semplificate la sicurezza con PowerDMARC!

Prova di 15 giorniPrenota una demo

Tipi di attacchi con esche

Gli attacchi di tipo "baiting" possono assumere molte forme, sia nel mondo fisico che in quello digitale. Queste tattiche spesso prendono di mira i livelli umani e fisici dell'infrastruttura di un'organizzazione, evidenziando la necessità di una gestione completa della superficie di attacco per identificare tutti i potenziali punti di ingresso. I criminali informatici adattano le loro tattiche a seconda dell'obiettivo, rendendo essenziale comprendere i diversi modi in cui viene effettuato il baiting. 

Di seguito sono riportati i tipi più comuni di attacchi baiting, insieme ai loro meccanismi di funzionamento.

Adescamento fisico

Nel baiting fisico, gli aggressori utilizzano dispositivi hardware infetti come unità USB, CD o dispositivi di archiviazione esterni. Questi oggetti vengono spesso lasciati in luoghi strategici, come parcheggi, uffici, ascensori o altre aree pubbliche, dove è probabile che qualcuno li prenda. Quando le vittime collegano questi dispositivi ai loro computer, il software dannoso viene installato automaticamente, consentendo agli aggressori di accedere a file, reti o addirittura interi sistemi.

Adescamento digitale

L'adescamento digitale utilizza contenuti online camuffati da software gratuito, film, musica o giochi piratati. Questi download contengono codice maligno nascosto che si attiva una volta installato. Poiché questi file possono essere distribuiti a livello globale su Internet, il digital baiting rappresenta un rischio significativo. Le vittime spesso credono di accedere gratuitamente a qualcosa di prezioso, ma in realtà compromettono la sicurezza del loro dispositivo e i loro dati personali.

Omaggi e offerte online

Gli aggressori sfruttano anche la curiosità umana e il desiderio di affari creando false truffe di conferma dell'ordinepromozioni, coupon o sconti a tempo limitato. Queste tecniche di adescamento inducono le vittime a inviare dati personali, credenziali di accesso o persino informazioni di pagamento. In alcuni casi, le offerte includono link o allegati dannosi che inviano malware al dispositivo della vittima. Molte persone cadono in queste truffe perché sembrano provenire da marchi o siti web affidabili.

Cloud/Email baiting

Gli attacchi di cloud e email baiting sfruttano piattaforme di comunicazione affidabili per distribuire contenuti dannosi. Gli aggressori possono inviare link a file ospitati su piattaforme di condivisione in-the-cloud o allegati via e-mail che appaiono sicuri e legittimi. Una volta cliccati o scaricati, questi file possono infettare i sistemi o reindirizzare gli utenti verso link di phishing o a un messaggio di phishing messaggio di phishing progettato per rubare le credenziali. Poiché le e-mail e le piattaforme cloud sono comunemente utilizzate sia in ambito personale che professionale, questa forma di adescamento è particolarmente pericolosa.

Esempio di attacchi di ingegneria sociale con esca

Di seguito sono riportati alcuni esempi di ingegneria sociale a scopo di adescamento:

  • Un aggressore invia un'e-mail che sembra provenire da un'azienda legittima, chiedendo informazioni personali ai dipendenti, come il numero di previdenza sociale o la password.
  • Un'azienda pubblica le offerte di lavoro sul proprio sito web e poi chiede ai candidati di fornire i propri dati personali prima di potersi candidare.
  • Un hacker crea un sito web falso che sembra appartenere a un'azienda reale e poi chiede alle persone di inviare i dati della carta di credito per poter acquistare prodotti o ricevere servizi dal sito.

Esche e phishing

Il baiting e il phishing sono due tipi diversi di truffa. La differenza fondamentale è che l'adescamento coinvolge un'azienda o un'organizzazione reale, mentre il phishing viene utilizzato per fingere che il mittente dell'e-mail sia una persona conosciuta e fidata.

Adescamento utilizza un'azienda o un'organizzazione legittima come esca per indurre l'utente a fornire informazioni personali o a cliccare su un link. Può assumere la forma di e-mail di spam su prodotti o servizi, mailing diretto o persino telefonate di telemarketing. L'obiettivo è convincervi a fornire loro le informazioni che possono utilizzare per il furto d'identità.

Le truffe di phishing si presentano in genere tramite e-mail e spesso includono allegati o link che potrebbero infettare il vostro computer con software dannoso (malware). Possono anche chiedervi denaro o informazioni sul conto bancario fingendo di provenire da una banca o da un altro istituto finanziario.

Adescamento e pretesto

Mentre l 'adescamento si basa sulla curiosità e sulla promessa di qualcosa di allettante, il pretexting si basa su storie o scenari inventati che manipolano la vittima per indurla a condividere informazioni. In un attacco pretestuoso, il criminale informatico crea un'identità o una situazione falsa, ad esempio fingendosi un tecnico informatico, un dirigente d'azienda o persino un funzionario governativo, per creare fiducia ed estrarre dati sensibili.

Ad esempio, un aggressore potrebbe chiamare un dipendente sostenendo di aver bisogno delle credenziali di accesso per "risolvere un problema tecnico". A differenza dell'adescamento, che offre un'esca come un download gratuito o una chiavetta USB, il pretexting sfrutta la fiducia della vittima nell'autorità o nella legittimità. Entrambe sono forme di social engineering, ma il pretexting è più incentrato sull'inganno attraverso la narrazione, mentre l'adescamento si concentra sulla tentazione attraverso le ricompense.

Adescamento vs. Quid Pro Quo

L'adescamento e gli attacchi quid pro quo possono sembrare simili, poiché entrambi implicano l'offerta di qualcosa di valore. Tuttavia, la differenza sta nel modo in cui viene presentato lo scambio. In un attacco quid pro quo, l'aggressore offre esplicitamente un servizio o un vantaggio in cambio di informazioni o accesso. Ad esempio, un aggressore potrebbe spacciarsi per un'assistenza tecnica e offrire una "risoluzione gratuita dei problemi" se la vittima fornisce le credenziali di accesso.

L'adescamento, invece, non sempre comporta uno scambio esplicito. Spesso fa leva sulla curiosità o sull'avidità, come lasciare una chiavetta USB infettata da malware ed etichettata come "Riservata" in un luogo pubblico. Il do ut des è più transazionale e diretto, mentre l'adescamento è più sottile e fa credere alle vittime che stanno approfittando di un'opportunità piuttosto che essere ingannate.

Come prevenire il successo di un attacco con esche?

Per evitare che un attacco di baiting abbia successo occorre lavorare. L'unico modo è capire le motivazioni e gli obiettivi degli aggressori.

1. Educare i dipendenti

Il primo passo per prevenire un attacco baiting di successo è educare i dipendenti a proteggersi. Questo può essere fatto attraverso campagne di formazione e sensibilizzazione, ma è importante tenerli aggiornati sulle ultime tendenze e tattiche del phishing. Dovreste anche insegnare loro a riconoscere le potenziali minacce prima di cliccare su qualsiasi link o aprire qualsiasi allegato.

È facile che i dipendenti siano pigri e clicchino su qualsiasi link che vedono in un'e-mail, perché pensano che se qualcuno la invia, deve essere sicura. Tuttavia, questo non è sempre vero: i pirati informatici spesso inviano messaggi che sembrano provenire da fonti legittime, come l'indirizzo e-mail della vostra azienda o l'indirizzo di un altro dipendente (ad esempio qualcuno che lavora nelle risorse umane).

3. Educare se stessi per evitare gli attacchi di adescamento

Imparate a pensare in modo scettico a qualsiasi offerta troppo bella per essere vera, come ad esempio un'offerta di denaro o oggetti gratuiti. 

L'accordo probabilmente non è così buono come sembra. 

Se qualcuno vi chiede informazioni personali o finanziarie tramite e-mail o SMS, anche se afferma di provenire dalla vostra banca, non datele! Chiamate invece direttamente la vostra banca e chiedete se vi hanno inviato il messaggio con la richiesta di queste informazioni (e poi denunciate il truffatore).

4. Utilizzare software antivirus e antimalware

Sono disponibili molti buoni programmi antivirus, ma non tutti vi proteggeranno da un attacco con esca. È necessario assicurarsi di averne uno in grado di rilevare e bloccare le minacce più recenti prima che infettino il computer. Per gli utenti di Chromebook, trovare un antivirus affidabile per Chromebook è fondamentale per proteggersi da tali vulnerabilità. Se non ne avete installato uno, potete provare il software Malwarebytes Anti-Malware Premium, che fornisce una protezione in tempo reale contro il malware e altre minacce.

5. Non utilizzate dispositivi esterni prima di averne verificato la presenza di malware.

I dispositivi esterni, come le unità flash USB e i dischi rigidi esterni, possono contenere malware che possono infettare il computer quando sono collegati. Assicuratevi quindi che qualsiasi dispositivo esterno collegato al computer sia stato prima scansionato per verificare la presenza di virus.

6. Tenere attacchi simulati organizzati

Un altro modo per evitare che gli attacchi con esca abbiano successo è quello di organizzare attacchi simulati. Queste simulazioni aiutano a identificare i punti deboli nei sistemi e nelle procedure, consentendo di risolverli prima che diventino problemi reali. Inoltre, aiutano i dipendenti ad abituarsi a identificare i comportamenti sospetti, in modo che sappiano cosa cercare quando si verificano.

Conclusione

Gli attacchi baiting non sono nuovi, ma stanno diventando sempre più comuni e possono essere molto dannosi. Se gestite un'azienda, un blog o un forum, sappiate che è vostra responsabilità proteggere le vostre risorse online dalle infestazioni. È meglio stroncare questi problemi prima che si diffondano.

Per rafforzare le vostre difese contro il baiting e altri attacchi di social engineering, prendete in considerazione l'implementazione di soluzioni avanzate di sicurezza e autenticazione delle e-mail. PowerDMARC aiuta le aziende a proteggere i propri domini da phishing, spoofing e campagne malevole, applicando protocolli di autenticazione forti come DMARC, SPF e DKIM. Iniziate oggi stesso a salvaguardare la reputazione del vostro marchio prima che gli aggressori abbiano la possibilità di sfruttarla.

Domande frequenti (FAQ)

Cosa fare immediatamente se si sospetta di essere stati vittima di adescamento?

Disconnettete il dispositivo da Internet, eseguite una scansione antivirus o antimalware completa, cambiate le password e segnalate l'incidente al team IT o di sicurezza.

Quali sono i settori più frequentemente presi di mira dagli attacchi di baiting?

I settori che gestiscono dati sensibili, come la finanza, la sanità, la pubblica amministrazione e la tecnologia, sono i bersagli più comuni, anche se qualsiasi organizzazione può essere colpita.

Ultimi messaggi di Ahona Rudra (vedi tutti)
Ultimo aggiornamento:
Cos'è lo spoofing dell'ID chiamante? Consigli per il rilevamento e la sicurezzaCos'è lo spoofing dell'ID chiamanteFiltri antispam e modelli di invio delle e-mail: Cosa devono sapere gli esperti di marketing