Sappiamo tutti il tipo di aggressore che sfrutta la propria esperienza tecnica per infiltrarsi in sistemi informatici protetti e compromettere dati sensibili. Questa razza di malintenzionati fa sempre notizia, spingendoci a contrastare i loro exploit investendo in nuove tecnologie che rafforzeranno le nostre difese di rete.

Tuttavia, esiste un altro tipo di aggressore che utilizza tattiche diverse per aggirare i nostri strumenti e soluzioni. Sono chiamati “ingegneri sociali” perché sfruttano l’unica debolezza che si trova in ogni organizzazione: la psicologia umana. Utilizzando telefonate e altri media, questi aggressori inducono le persone a fornire l’accesso alle informazioni sensibili dell’organizzazione.

L’ingegneria sociale è un termine che racchiude un ampio spettro di attività dannose. Ai fini di questo articolo, concentriamoci sui cinque tipi di attacco più comuni che gli ingegneri sociali utilizzano per prendere di mira le loro vittime. Questi sono phishing, pretesto, esca, quid pro quo e tailgating.

Phishing

Il phishing è il tipo più comune di attacco di ingegneria sociale che si verifica oggi. Ma che cos’è esattamente? Ad alto livello, la maggior parte delle frodi di phishing si sforza di realizzare tre cose:

• Ottieni informazioni personali come nomi, indirizzi e numeri di previdenza sociale.
• Utilizza link abbreviati o fuorvianti che reindirizzano gli utenti a siti web sospetti che ospitano pagine di destinazione di phishing.
• Incorporare t hreats, paura e un senso di urgenza nel tentativo di manipolare l’utente in modo che risponda rapidamente.

Non esistono due email di phishing uguali. In realtà esistono almeno sei diverse sottocategorie di attacchi di phishing. Inoltre, sappiamo tutti che alcuni sono mal realizzati nella misura in cui i loro messaggi soffrono di errori di ortografia e grammatica. Anche così, queste e-mail di solito hanno lo stesso obiettivo di utilizzare siti Web o moduli falsi per rubare le credenziali di accesso dell’utente e altri dati personali.

Una recente campagna di phishing ha utilizzato un account di posta elettronica compromesso per inviare e-mail di attacco. Questi messaggi chiedevano ai destinatari di rivedere un documento proposto facendo clic su un URL incorporato. Dotato della protezione URL in fase di clic di Symantec, questo URL dannoso reindirizzava i destinatari a un account SharePoint compromesso che forniva un secondo URL dannoso incorporato in un documento di OneNote. Quell’URL, a sua volta, reindirizzava gli utenti a una pagina di phishing che si spacciava per un portale di accesso di Microsoft Office 365.

Pretexting

Il pretesto è un’altra forma di ingegneria sociale in cui gli aggressori si concentrano sulla creazione di un buon pretesto , o uno scenario inventato, che usano per cercare di rubare le informazioni personali delle loro vittime. In questi tipi di attacchi, il truffatore di solito afferma di aver bisogno di determinate informazioni dal bersaglio per confermare la propria identità. In realtà, rubano quei dati e li usano per commettere furti di identità o inscenare attacchi secondari.

Gli attacchi più avanzati a volte cercano di indurre i loro bersagli a fare qualcosa che abusa dei punti deboli digitali e / o fisici di un’organizzazione. Ad esempio, un utente malintenzionato potrebbe impersonare un revisore dei servizi IT esterno in modo che possa convincere il team di sicurezza fisica di un’azienda bersaglio a lasciarlo entrare nell’edificio.

Mentre gli attacchi di phishing utilizzano principalmente la paura e l’urgenza a proprio vantaggio, il pretesto gli attacchi si basano sulla creazione di un falso senso di fiducia con la vittima. Ciò richiede all’attaccante di costruire una storia credibile che lasci poco spazio a dubbi da parte del bersaglio.

Il pretesto può e assume varie forme. Anche così, molti attori delle minacce che abbracciano questo tipo di attacco decidono di mascherarsi da personale delle risorse umane o dipendenti nello sviluppo finanziario. Questi travestimenti consentono loro di prendere di mira dirigenti di livello C, come Verizon ha scoperto nel suo Data Breach Investigations Report (DBIR) del 2019.

Baiting

Baiting è per molti versi simile agli attacchi di phishing. Tuttavia, ciò che li distingue da altri tipi di ingegneria sociale è la promessa di un oggetto o di un bene che i malintenzionati usano per attirare le vittime. Gli esattori possono sfruttare l’offerta di download gratuiti di musica o film, ad esempio, per indurre gli utenti a consegnare le proprie credenziali di accesso.

Gli attacchi con esca non sono limitati agli schemi online. Gli aggressori possono anche concentrarsi sullo sfruttamento della curiosità umana tramite l’uso di supporti fisici.

Già nel luglio 2018, ad esempio, KrebsOnSecurity riferiva di una campagna di attacco contro le agenzie governative statali e locali negli Stati Uniti. L’operazione ha inviato buste con timbro postale cinese che includevano una lettera confusa insieme a un compact disc (CD). Il punto era stuzzicare la curiosità dei destinatari in modo che caricassero il CD e quindi infettassero inavvertitamente i loro computer con malware.

Quid Pro Quo

Simile alla promessa di attacchi quid pro quo un vantaggio in cambio di informazioni. Questo vantaggio di solito assume la forma di un servizio, mentre l’esca di solito assume la forma di un bene.

Uno dei tipi più comuni di attacchi quid pro quo emersi negli ultimi anni è quando i truffatori si spacciano per la US Social Security Administration (SSA). Questo falso personale SSA contatta individui casuali, li informa che c’è stato un problema informatico da parte loro e chiede a tali individui di confermare il loro numero di previdenza sociale, il tutto allo scopo di commettere furti di identità. In altri casi rilevati dalla Federal Trade Commission (FTC), i malintenzionati creano siti Web SSA falsi che affermano di poter aiutare gli utenti a richiedere nuove tessere di previdenza sociale, ma semplicemente rubare le loro informazioni personali.

da notare, tuttavia, che gli aggressori possono utilizzare offerte quid pro quo che sono molto meno sofisticate degli stratagemmi a tema SSA. Come hanno dimostrato gli attacchi precedenti, gli impiegati sono più che disposti a dare via le loro password per una penna economica o anche una tavoletta di cioccolato.

Tailgating

Il nostro tipo di attacco di ingegneria sociale finale di il giorno è noto come tailgating o “piggybacking”. In questi tipi di attacchi, qualcuno senza la corretta autenticazione segue un dipendente autenticato in un’area riservata. L’autore dell’attacco potrebbe impersonare un autista di consegne e attendere fuori da un edificio per iniziare. Quando un dipendente ottiene l’approvazione della sicurezza e apre la porta, l’attaccante chiede al dipendente di tenere la porta, ottenendo così l’accesso all’edificio.

Il tailgating non funziona in tutti i contesti aziendali come le grandi aziende i cui ingressi richiedono l’uso di una tessera magnetica. Tuttavia, nelle medie imprese , gli aggressori possono avviare conversazioni con i dipendenti e utilizzare questa dimostrazione di familiarità per superare la reception.

In effetti, Colin Greenless, consulente per la sicurezza presso Siemens Enterprise Communications, ha utilizzato queste tattiche per ottenere l’accesso a più piani e la sala dati di una società finanziaria quotata al FTSE. È stato persino in grado di aprire un negozio in una sala riunioni al terzo piano e lavorarvi per diversi giorni.

Consigli di ingegneria sociale

M attori alici che si impegnano in attacchi di ingegneria sociale sono preda della psicologia umana e della curiosità al fine di compromettere le informazioni dei loro obiettivi. Tenendo presente questo focus incentrato sull’uomo, spetta alle organizzazioni aiutare i propri dipendenti a contrastare questi tipi di attacchi.

Ecco alcuni suggerimenti che le organizzazioni possono incorporare nei loro programmi di formazione sulla consapevolezza della sicurezza che aiuteranno gli utenti per evitare schemi di ingegneria sociale:

• Non aprire messaggi di posta elettronica da fonti non attendibili. Contatta un amico o un familiare di persona o per telefono se ricevi un messaggio di posta elettronica sospetto da loro.
• Non dare alle offerte di estranei il beneficio del dubbio. Se sembrano troppo belli per essere veri, probabilmente lo sono.
• Blocca il tuo laptop ogni volta che sei lontano dalla tua workstation.
• Acquista un software antivirus. Nessuna soluzione AV può difendersi da ogni minaccia che cerca di mettere a repentaglio le informazioni degli utenti, ma può aiutare a proteggersi da alcuni.
• Leggi l’informativa sulla privacy della tua azienda per capire in quali circostanze puoi o dovresti consentire a un estraneo di entrare nel costruzione.