Che cos'è il social engineering? - Pentha
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
NOTIZIARIO DIPENDENTI PAGINA 18
Che cos'è il social engineering?
Il social engineering può essere definito come un attacco
psicologico che sfrutta il comportamento umano o i nostri
pregiudizi cognitivi. In genere consiste nell'ingannare le persone
Quando la psicologia e
spingendole a divulgare inconsapevolmente informazioni sensibili
la tecnologia si
che possono essere utilizzate per scopi corrotti o criminali. Gli
intrecciano
hacker adottano tecniche di social engineering per impossessarsi
di informazioni personali che possono poi sfruttare per il furto di
identità o per frodi o crimini di altro tipo.
In un'epoca in cui le persone stanno diventando sempre più
abili a svolgere attività online, il social engineering richiede una
certa dose di astuzia. Spesso si tratta di un piano articolato in più
fasi che consiste nel conquistare prima di tutto la fiducia della
vittima per poi accedere alle informazioni da acquisire.
A differenza degli attacchi alla sicurezza informatica, che
sfruttano le strutture del software e del codice informatico, gli
attacchi di social engineering si affidano al fatto che gli esseri
umani commettono errori e sono manipolabili. Il social engineering
spesso prende di mira informazioni sensibili quali credenziali di
accesso, codice fiscale, dati bancari o altre informazioni personali.
Come funziona esattamente il social engineering?
Le truffe di social engineering possono avvenire durante un
incontro di persona e una conversazione telefonica, ma spesso
accadono online. In effetti, il social engineering è alla base di
numerosi tipi di attacchi informatici, perché è più facile acquisire
informazioni in modalità online.
Nel mondo fisico, siamo in grado di valutare le nostre
interazioni con le persone in base alle informazioni che riceviamo
attraverso i nostri sensi. Osservando il modo di fare di una persona e
ascoltando il tono della sua voce, riusciamo a intuire se nasconde
qualcosa di sospetto.
Quando invece siamo online, spesso interagiamo con
aziende senza volto che elaborano i nostri pagamenti e inviano i
nostri messaggi. Di conseguenza, dobbiamo fare affidamento su
una grafica o un marchio familiare e su una sequenza riconoscibile
di clic e conferme per avere l'idea che tutto sembri normale.
Le tattiche di social engineering hanno in genere un carattere
ciclico:
1. Per prima cosa, un hacker raccoglie informazioni di base,
svolgendo un'azione nota anche come profilatura, e sceglie un
punto di accesso.
2. Successivamente, si mette in contatto e stabilisce una relazione.
3. A questo punto, l'hacker viene percepito come una fonte
attendibile e può quindi sfruttare il suo bersaglio.
4. Una volta acquisite le informazioni riservate, l'hacker si
disimpegna e scompare.
Pentha servizi Integrati per le imprese PAG. 18NOTIZIARIO DIPENDENTI PAGINA 19
Per completare il ciclo, gli autori degli attacchi adottano in
genere tecniche di social engineering, ad esempio coinvolgendo e
amplificando le emozioni della loro vittima. Quando sei in preda a
forti emozioni, hai minori probabilità di ragionare logicamente e
maggiori probabilità di subire manipolazioni.
Esaminiamo un classico esempio di social engineering. Un
utente malintenzionato riesce a mettere le mani su un elenco di
giocatori d'azzardo online. È facile presupporre che queste persone
reagiscano a un messaggio in grado di suscitare curiosità,
eccitazione, urgenza o paura. L'utente malintenzionato assume
l'identità di una società di scommesse, imitandone il tipo di
carattere, il logo e i colori della grafica. Invia un messaggio in cui si
congratula con le vittime e le invita ad accettare il loro premio,
valido solo per un tempo limitato, che possono riscuotere inviando
alcune informazioni personali.
Purtroppo, il premio non è per loro, ma per l'autore
dell'attacco: informazioni personali sensibili che può rivendere sul
Dark Web o utilizzare per accedere ad account personali.
Perché gli attacchi di social engineering online sono così
pericolosi?
Gli attacchi di social engineering possono essere molto
pericolosi sia per i singoli individui che per le aziende, perché in
entrambi i casi è possibile sottrarre alle vittime ingenti quantità di
denaro.
Nel 2019, Toyota Boshoku Corporation, un fornitore di ricambi
auto per Toyota, ha perso 37 milioni di dollari a causa di un attacco
di social engineering. Gli autori dell'attacco hanno preso di mira i
dipendenti del reparto amministrativo fingendo di essere loro
superiori. Gli hacker hanno inviato email da account aziendali falsi,
ma credibili, in cui richiedevano un cambio di conto. In questo
modo, sono riusciti a ingannare i contabili inducendoli a trasferire
ingenti somme di denaro in conti controllati da hacker conniventi.
Per la maggior parte delle persone, perdere una qualsiasi
somma di denaro può essere un colpo terribile. Ma se le tue
informazioni personali vengono compromesse, corri un pericolo
ancora più grande. Se un utente malintenzionato acquisisce le tue
credenziali di accesso, il tuo codice fiscale o i tuoi dati bancari,
può conservare queste informazioni per uso proprio o venderle sul
Dark Web, dove altri possono acquistarle e sfruttarle, con
conseguenti furti di identità o ulteriori danni futuri.
Come individuare un attacco di social engineering
Per individuare un tentativo di attacco di social engineering
online, è utile conoscere le diverse tecniche utilizzate dagli
aggressori per influenzare le loro vittime.
Le persone sono suscettibili all'autorità e sono più propense a
obbedire a richieste provenienti da una fonte rispettabile. Per
questo motivo i criminali informatici spesso impersonano aziende o
istituzioni note, come l'Agenzia delle Entrate. Esamina sempre con
Pentha servizi Integrati per le imprese PAG. 19NOTIZIARIO DIPENDENTI PAGINA 20
attenzione le email il cui mittente dichiara di essere un'autorità
pubblica o un'altra fonte autorevole. Anche se i dipendenti
dell'Agenzia delle Entrate conoscono le tue informazioni personali,
come nome, indirizzo e codice fiscale, non ti chiederebbero mai di
inviare loro queste informazioni in un'email.
Una tattica più subdola fa leva sulla simpatia. In quanto esseri
umani, siamo più propensi a fidarci delle persone che troviamo
attraenti e piacevoli, e questo può fare miracoli nelle vendite peer-
to-peer. Società di marketing multilivello, come Mary Kay e Avon,
hanno costruito vasti imperi adottando questa tattica. Un utente
malintenzionato può assumere l'identità di una persona attraente
sui social media e utilizzare un complimento come scusa per
stabilire un contatto. Quando la vittima si sente lusingata, è
maggiormente disposta a soddisfare la richiesta del
malintenzionato, che si tratti di una donazione a un "ente benefico"
o di una truffa di altro tipo.
La consapevolezza di come possiamo essere influenzati dagli
altri ci consente riconoscere più facilmente i segnali d'allarme del
social engineering. Anche le richieste di determinati tipi di
informazioni, come i dati di accesso, le informazioni bancarie o il
tuo indirizzo, dovrebbero sempre destare qualche dubbio. Metti da
parte qualsiasi tipo di emozione e osserva con attenzione chi sta
chiedendo i tuoi dati: potresti evitare di subire una truffa.
Troppo bello per essere vero
Una classica mossa di social engineering consiste nell'offrire
qualcosa di molto allettante che induca la vittima a rivelare alcune
informazioni o compiere qualche azione. Questa tattica può essere
utilizzata anche per finalità legittime, come quando un'azienda
offre ai clienti un buono regalo da 10 euro a titolo di ricompensa
per la recensione di un prodotto.
Gli hacker sfruttano la nostra familiarità con queste offerte
legittime e spingono le cose ancora più avanti, offrendo 100 euro
per completare un sondaggio che richiede semplicemente la
creazione di credenziali di accesso. In questo caso, gli hacker
sperano che tu riutilizzi altre credenziali di accesso, che possono
quindi sfruttare per accedere al tuo conto bancario online o ad
altri account di particolare valore.
Rifletti un attimo. Un premio di 100 euro per rispondere a un
sondaggio sembra un'offerta troppo bella per essere vera.
Naturalmente, una volta completato il sondaggio, i 100 euro si
riveleranno un semplice stratagemma per farti condividere dati di
accesso con una fonte poco affidabile. Quando ricevi offerte
allettanti, prenditi sempre del tempo per informarti prima di
compiere qualsiasi azione. E ricorda che, se qualcosa sembra
troppo bello per essere vero... spesso lo è davvero.
I tipi più comuni di attacchi di social engineering online
I truffatori dotati di creatività hanno ideato svariati tipi di
attacchi di social engineering, utilizzando diverse tecniche e punti
Pentha servizi Integrati per le imprese PAG. 20NOTIZIARIO DIPENDENTI PAGINA 21
di ingresso per ottenere l'accesso alle informazioni desiderate.
Purtroppo queste tecniche di truffa sono fin troppo comuni, ma la
conoscenza di varie tattiche di social engineering nel mondo reale
ti aiuterà a riconoscere un tentativo di attacco, nel caso dovessi
affrontarne uno.
Email di spam: Potresti credere che lo spam sia
semplicemente una scheda nella casella di posta, ma non tutte le
email di spam vengono filtrate con successo ed escluse dalla tua
vista. Le email di spam ben progettate possono sfuggire ai filtri del
server email e finire nella tua casella di posta, dove possono
assumere l'aspetto di un messaggio credibile.
Di solito, le email di social engineering cercano di invogliarti a
fare clic su collegamenti a siti Web fasulli, scaricare allegati dannosi
o rispondere inviando proprio le informazioni sensibili che il mittente
sta cercando di acquisire. Un approfondimento sulla sicurezza
dell'email può aiutarti a individuare la differenza tra email di spam
subdole e fonti attendibili.
Adescamento: Proprio come quando si mette il formaggio in
una trappola per topi, un utente malintenzionato può gettare
un'esca di social engineering lasciando in vista qualcosa di
allettante per il suo bersaglio. A volte si tratta di un oggetto fisico,
come un'unità flash USB abbandonata in un luogo pubblico ed
etichettata come "riservata" per stimolare la curiosità di chi la trova.
Una volta inserita e aperta l'unità flash nel computer della vittima, il
malware si infiltra e infetta il dispositivo host e gli eventuali server
collegati.
L'adescamento può avvenire anche online, come nel caso
del download di un film usato come esca. Una volta scaricato e
aperto il file del film, il malware nascosto riesce ad accedere al
computer.
Pishing: Il phishing è probabilmente la tattica più comune di
social engineering e avviene quando un utente malintenzionato
assume l'identità di un'azienda o di un'organizzazione legittima e
prende di mira una vittima tramite email, chat o annunci online.
L'email o il messaggio indirizza in genere la vittima verso una
pagina di destinazione fasulla, in cui è riprodotta perfettamente la
grafica aziendale. Nella pagina viene chiesto di verificare le
credenziali di accesso o di cambiare una password a causa di
attività sospette.
Se la vittima acconsente alla richiesta, l'utente
malintenzionato si impossessa di questi dati di accesso e può
utilizzarli per cercare di accedere anche ad altri siti Web, a
seconda della frequenza con cui la vittima utilizza password diverse
per i vari siti.
Il catfishing è un'altra strategia di social engineering che fa
parte della categoria di phishing. Consiste nell'assumere l'identità di
una persona desiderabile su un sito di incontri o su una piattaforma
di social media e quindi nel corteggiare le potenziali vittime.
Pentha servizi Integrati per le imprese PAG. 21NOTIZIARIO DIPENDENTI PAGINA 22
Le forti emozioni sono alla base di ogni relazione sentimentale,
ma possono offuscare l'intuito e nascondere i segnali di
avvertimento. Una volta presa all'amo la vittima, l'adescatore
escogiterà uno scenario per sottrarle denaro.
Pretexting: Gli attacchi di social engineering basati su
pretexting presuppongono la l'invenzione di uno scenario, o
pretesto, per colpire la vittima. Di solito, l'hacker assume l'identità di
una persona autorevole che può richiedere informazioni. Un
attacco efficace di pretexting richiede un impegno preliminare di
ricerca e preparazione da parte dell'hacker, che deve essere in
grado di rispondere con precisione alle domande della vittima e
risultare credibile.
Un esempio comune di pretexting è dato da un hacker che
finge di essere un tecnico del reparto IT di un'azienda. L'hacker
contatta un dipendente all'interno dell'azienda, si identifica come
tecnico e richiede l'accesso remoto al computer della vittima o le
sue credenziali di accesso per aggiornare un programma software.
A seconda di chi ha preso di mira, l'hacker potrebbe riuscire
ad accedere ai registri finanziari o ai dati dei dipendenti della
società. Può quindi tenere in ostaggio queste informazioni
mediante ransomware o utilizzarle per compiere il passo successivo
del suo piano.
Vishing: Il vishing è basato sullo stesso concetto del phishing,
ma avviene al telefono. In altre parole, si tratta di phishing vocale.
In un attacco di vishing, il numero di telefono utilizzato viene spesso
bloccato o mascherato come numero di un help desk o di un
centro di assistenza. A volte viene utilizzata una tecnologia che
altera la voce per cercare di imitare una determinata persona.
L'autore di un attacco di vishing in genere cerca di
manipolare la vittima spingendola a rivelare i suoi dati di accesso
oppure tenta di accedere al suo computer. Gli autori degli
attacchi di questo tipo spesso si presentano come operatori del
servizio clienti o del supporto tecnico e dichiarano di aver
chiamato per installare un aggiornamento o correggere un bug
per cui la vittima deve concedere l'accesso o reimpostare le
proprie credenziali di accesso.
Nel 2019, si è diffusa una popolare truffa di vishing in cui gli
hacker mascheravano il proprio ID chiamante facendo finta di
chiamare da Apple. La chiamata era automatizzata e avvertiva le
vittime di una violazione della sicurezza di Apple, indicando di
chiamare un altro numero prima di fare qualsiasi cosa sul proprio
telefono.
Quando le vittime chiamavano il numero indicato,
ricevevano un messaggio di benvenuto automatico che imitava il
centro di supporto clienti Apple, con tanto di tempo di attesa
stimato. Non appena le vittime riuscivano a contattare qualcuno,
gli hacker tentavano di ottenere le credenziali del loro ID Apple.
Pentha servizi Integrati per le imprese PAG. 22NOTIZIARIO DIPENDENTI PAGINA 23
Gli autori di questi attacchi sfruttavano l'ampia diffusione dei
prodotti Apple, l'autorità del marchio Apple e il sentimento di
apprensione e urgenza in caso di violazione della sicurezza, ben
consapevoli che le persone avrebbero risposto e agito di
conseguenza. Da allora Apple avverte i propri clienti che non
effettuerà mai chiamate non richieste e che non dovrebbero mai
rispondere a chiamate che sembrano provenire dalla società.
Quid pro quo: "Quid pro quo" in latino significa "qualcosa in
cambio di qualcos'altro". Gli autori di un attacco di social
engineering basato sul meccanismo quid pro quo sono ben felici di
offrirti qualcosa, sperando di ottenere in cambio le tue credenziali
o l'accesso al tuo computer.
In questo tipo di attacchi, viene generalmente offerto un
aiuto, che si tratti di assistenza tecnica, accesso a un documento
particolare o soluzione di un problema che non sapevi nemmeno
di avere.
Dopo il secondo incidente aereo del Boeing 737 Max nel
2019, gli hacker hanno fatto leva sulle emozioni e sulla paura delle
persone per inviare email da account che si spacciavano per
l'azienda metalmeccanica ISGEC. Gli hacker affermavano di aver
avuto accesso a un documento trapelato sul Dark Web in cui
erano riportati gli incidenti prima che accadessero, oltre a futuri
incidenti che dovevano ancora avvenire.
Gli hacker esortavano quindi le persone ad aprire il
documento e, per il bene delle loro famiglie e dei loro cari, a
verificare che nessuno dei loro conoscenti avesse in programma di
prendere uno dei voli elencati. Naturalmente, si trattava di un falso,
e il download del file infettava il computer della vittima con
malware che permetteva agli hacker di accedere ai dati
desiderati.
Chi è più esposto al rischio di un attacco di social
engineering?
In realtà, tutti noi siamo vulnerabili agli attacchi di social
engineering. Siamo tutti esseri umani, con emozioni che possono
essere scosse e turbate, e noi tutti reagiamo in un certo modo di
fronte alla bellezza e all'autorità, lasciandoci tentare da
sollecitazioni urgenti e prospettive di ricompensa.
Non dovremmo considerare queste qualità come debolezze.
Dopo tutto, le abbiamo sviluppate per motivi evolutivi. Dovremmo
invece comprendere come gli altri possono manipolarle e allenarci
a individuare i segnali di avvertimento. Gli attacchi di social
engineering prendono spesso di mira gli anziani, perché non
sempre hanno familiarità con la moderna tecnologia e hanno
meno probabilità di notare qualcosa di sospetto.
Suggerimenti per evitare di cadere vittima del social
engineering
• Segnala ed elimina le email sospette;
Pentha servizi Integrati per le imprese PAG. 23NOTIZIARIO DIPENDENTI PAGINA 24
• Informati sulle fonti e sui siti web;
• Installa un antivirus affidabile;
• Utilizza una connessione Wi-Fi privata o una VPN, quando
possibile;
• Implementa l’autenticazione e più fattori;
• Utilizza sempre password complesse
Fonte: avg.com
Pentha servizi Integrati per le imprese PAG. 24Puoi anche leggere
