-
Tattiche di ingegneria sociale e come i criminali informatici manipolano la psicologia umana.
-
12 agosto 2024
-
L’ingegneria sociale è un metodo di attacco che sfrutta le debolezze umane piuttosto che quelle tecnologiche. Invece di cercare di penetrare nel sistema, i criminali informatici manipolano le persone inducendole a fornire volontariamente le informazioni che cercano. Attraverso la manipolazione psicologica , gli aggressori inducono le vittime a compiere azioni che compromettono la sicurezza di dati o sistemi.
Phishing
LuiphishingÈ una delle tattiche di ingegneria sociale più comuni ed efficaci. Implica l'invio di e-mail fraudolente che sembrano provenire da fonti attendibili, come banche o piattaforme di social media. L'obiettivo è indurre la vittima a fornire informazioni sensibili, come password o numeri di carta di credito. Queste e-mail di solito includono un collegamento a un sito Web falso, progettato per sembrare legittimo, in cui la vittima inserisce le proprie informazioni personali.
Le varianti di phishing, come il spear phishinge il whaling, mirano a vittime specifiche, utilizzando informazioni personali o aziendali per rendere l'attacco più convincente. In caso di spear phishing, si concentra su individui o dipendenti di un'azienda, mentre il whalingsi rivolge ai dirigenti di alto livello.
Pretexting: crea una storia avvincente
Lui pretextingè una tattica in cui l'aggressore crea un falso scenario, o "pretesto", per indurre la vittima a rivelare informazioni sensibili. Ciò può includere impersonare un collega, un tecnico di supporto o persino una figura autoritaria, come un agente di polizia. La chiave per pretextingè che la storia presentata dall'aggressore deve essere sufficientemente credibile in modo che la vittima non diventi sospettosa.
Ad esempio, un criminale informatico potrebbe chiamare un dipendente, fingendo di appartenere al reparto IT, e richiedere l’accesso al suo account per risolvere un problema tecnico. Presentandosi con un atteggiamento di autorità e urgenza, l'aggressore induce la vittima ad abbassare la guardia e a collaborare.
Baiting: Cattura la vittima con una trappola allettante
Luibaitingè una tattica in cui l'aggressore utilizza una falsa ricompensa o incentivo per attirare la vittima. Un esempio comune è lasciare unità USB infette in luoghi pubblici, come parcheggi o bar, in attesa che qualcuno le prenda e le colleghi al proprio computer. Una volta stabilita la connessione, il software dannoso viene installato automaticamente sul sistema della vittima.
Un altro modo di baitingPotrebbe comportare download gratuiti di software, musica o film. I criminali informatici offrono questi file su siti Web non ufficiali, ma il file scaricato contiene malware che compromette la sicurezza del dispositivo della vittima. L'idea è che la tentazione di ottenere qualcosa "gratuitamente" offusca il giudizio della persona, inducendola a ignorare i possibili rischi.
Quid pro quo: Uno scambio fraudolento
Lui quid pro quo, che significa "qualcosa per qualcosa", è una tattica con cui l'aggressore offre un servizio o un vantaggio in cambio di informazioni o accesso. Un esempio comune è quando un criminale informatico si finge tecnico di supporto e si offre di risolvere un problema tecnico in cambio di credenziali di accesso.
Questo tipo di attacco è particolarmente efficace negli ambienti di lavoro in cui i dipendenti sono abituati a ricevere assistenza tecnica. Il criminale informatico può promettere di risolvere un problema tecnico urgente e la vittima, desiderosa di aiuto, fornisce le informazioni richieste senza mettere in dubbio la legittimità dell’offerta.
Impersonazione: fingere di essere qualcun altro
L'impersonificazione è una tecnica di ingegneria sociale in cui l'aggressore finge di essere un'altra persona, solitamente qualcuno di cui la vittima si fida. Ciò può includere impersonare un collega, un capo o persino un fornitore. Gli attacchi di impersonificazione sono particolarmente efficaci negli ambienti aziendali, dove i dipendenti spesso obbediscono agli ordini dei superiori senza fare domande.
In alcuni casi, gli aggressori indagano sulle loro vittime per ottenere dettagli specifici che rendano le loro azioni più credibili. Utilizzando informazioni disponibili pubblicamente come i profili dei social media, l’aggressore può personalizzare il proprio approccio e far sembrare legittima la propria richiesta. Ad esempio, potresti inviare un'e-mail fingendoti amministratore delegato di un'azienda, richiedendo un bonifico bancario urgente su un conto controllato dall'aggressore.
Evitare di cadere nella trappola
La protezione dalle tattiche di ingegneria sociale richiede una combinazione di conoscenza, cautela e scetticismo. È fondamentale educare i dipendenti e il pubblico in generale sui metodi utilizzati dai criminali informatici. Le organizzazioni dovrebbero implementare programmi di sensibilizzazione alla sicurezza che includano simulazioni di attacchi di ingegneria sociale in modo che i dipendenti possano riconoscere e rispondere adeguatamente a questi tentativi.
Inoltre, è importante verificare sempre l'identità di chiunque richieda informazioni riservate o accesso ai sistemi. Le politiche di sicurezza dovrebbero includere procedure per la verifica delle richieste, come contattare direttamente la persona che presumibilmente ha effettuato la richiesta utilizzando le informazioni di contatto ufficiali e non attraverso le informazioni fornite nel messaggio ricevuto.
Pertanto, l’ingegneria sociale rimane una delle minacce più insidiose nel panorama della sicurezza informatica. Comprendendo le tattiche utilizzate dagli aggressori e adottando misure proattive, possiamo ridurre significativamente il rischio di cadere nelle loro trappole.
Comentarios:
Sin comentarios