Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Ingegneria sociale: come gli attaccanti organizzano le cyber truffe?
- GIOVEDÌ 14 NOVEMBRE 2019

Anche se il collegamento tra psicologia e hacker può sembrare impossibile, questa è purtroppo la realtà: la stessa metodologia usata per le truffe nella vita reale è usata negli attacchi online. Indurre una potenziale vittima a “cedere” di propria iniziativa informazioni riservate e sensibili è lo scopo dell’ingegnere sociale. Perchè “faticare” per hackerare un sistema quando può bastare indurre la vittima, con l’inganno, a rivelare tutto ciò che è utile all’attaccante? Per ottenere queste informazioni “l’ingegnere” deve saper mentire, fingersi un’altra persona, solo così potrà avere ciò che vuole.

Come si prepara un attacco di ingegneria sociale?
L’attacco si sviluppa in più fasi. La prima fase, che può essere anche molto lunga in termini di tempo, serve all’attaccante per raccogliere tutte le informazioni utili sulla sua vittima, tra le quali il numero di telefono, l’indirizzo email ecc. La seconda fase prevede la verifica dell’attendibilità delle informazioni ottenute, talvolta anche mediante l’uso di telefonate alla vittima stessa. Lo studio della vittima da attaccare permette all’cyber attaccante di non destare sospetti e adattarsi alla situazione in cui deve operare, richiamando alla vittima informazioni familiari o conosciute. A questo punto l’attaccante appronta il mezzo di attacco: una email, un sito web, una telefonata, un sms/messaggio in chat, ecc., i mezzi utilizzabili, da questo punto di vista, sono decine. 

Le tecniche psicologiche
Nell’ingegneria sociale vengono utilizzate molte tecniche psicologiche, alcune delle più comuni sono:
  • il senso di colpa: la vittima sentendosi in colpa cercherà di risolvere la situazione con qualsiasi mezzo;
  • l’avidità: alla vittima vengono presentate offerte imperdibili per l’acquisto di un oggetto particolare che sembra essere facilmente accessibile. Un altro classico sono i falsi avvisi di vittoria di concorsi/lotterie in seguito ai quali l’attaccante richiede dati al fine di “inviare il premio”;
  • l’ignoranza: l’invio di un messaggio contenente termini ricercati e molto tecnici, può portare la vittima a fare quello che è chiesto nel testo senza preoccuparsi del vero significato del messaggio. Un esempio comune sono le cosiddette truffe dell’assistenza tecnica;
  • il panico: l’induzione di una sensazione di panico/urgenza per risolvere o affrontare un gravissimo problema, in realtà inesistente. Far perdere concentrazione e lucidità alla vittima, la rende più disposta ad affidarsi ad un “esperto” e a eseguire istruzioni urgenti e immediate; 
  • il desiderio: porta le potenziali vittime a navigare su siti Internet “appetibili”. Soprattutto su gli utenti di genere maschile è facile far presa con contenuti di tipo pornografico.
Avere consapevolezza di queste tecniche potrebbe aiutare la vittima a riconoscere un attacco truffaldino di ingegneria sociale: ad esempio a individuare una email contraffata o una telefonata “fake”. 

Vari metodi di attacco
I principali strumenti di attacco usati nell’ingegneria sociale sono il telefono e le email, con i quali è possibile usare l’approccio e il linguaggio giusti per circuire la vittima. Possono essere usati anche siti o pagine web con cui, grazie l’utilizzo di form, app o script, l’attaccante può ottenere dati riservati come password e credenziali di accesso varie.  L’ingegneria sociale è ampiamente usata nei seguenti tipi di attacchi: 
  • il phising: l’attaccante invia alla vittima scelta (o a gruppi) una mail impersonando un ente o un'azienda (la banca, il corriere...) o una persona, usando loghi e riferimenti contraffatti, con l’invito a scaricare degli allegati (che contengo un malware) o a cliccare su un link (indirizzato a un sito fake);
  • il vishing: qui il mezzo sono invece le telefonate, durante le quali, con la scusa di un’offerta o la prestazione di un intervento tecnico, l’attaccante cerca di ottenere le informazioni riservate e/o indurre la vittima a eseguire delle operazioni mirate alla realizzazione della truffa. Un esempio classico: riceviamo una telefonata da una persona che si spaccia per dipendente della nostra banca. Questa ci solleva alcuni problemi di sicurezza e chiede le credenziali di accesso all’home banking per verifiche su alcune transazioni irregolari che sarebbero state riscontrate. Se la vittima cede queste informazioni, ritenendo reale e legittima la telefonata, il conto verrà svuotato di lì a poco; 
  • il baiting (in inglese esca): sfrutta la curiosità della vittima di conoscere il contenuto di supporti informatici opportunamente “dimenticati”, come CD, DVD, chiavette USB o hard disk, e contenenti malware (per approfondire >> La chiavetta USB è un’arma! Quando i dispositivi USB diventano vettori di attacco);
  • il pretexting: esempi tipici di questa tecnica criminale che, creando un falso contesto, portano la vittima a compiere determinate azioni, sono la truffa del falso CEO e le campagne sextortion.

Cosa possiamo fare per difenderci
Nel primo semestre 2019, il 63% degli attacchi totali è stato portato a segno usando tecniche semplici e a basso costo: tra questi l’ingegneria sociale ha avuto un aumento del +104% rispetto allo stesso periodo del 2018. Possiamo però riconoscere queste truffe in tempo ed evitarle usando qualche accortezza.

Di seguito presentiamo alcune buone pratiche che possono essere valide sia per le aziende che per i privati:
  • non fidarsi di mail che richiedono dati riservati o che promettono offerte imperdibili;
  • non installare app di cui non possiamo verificare la fonte e, soprattutto, valutare quali permessi concedere;
  • prestare molta attenzione agli URL ai quali si viene indirizzati;
  • utilizzare responsabilmente i social network, evitando di condividere in rete informazioni sensibili o riservate;
  • richiedere sempre un riconoscimento ufficiale prima di fornire ogni consenso o eseguire qualsiasi azione;
  • in azienda, seguire le policy di sicurezza per i dati e gli endpoint.


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 29 NOVEMBRE 2019
Attenzione! Il lucchetto verde e l'HTTPS non sono più sufficienti per indicare un sito web sicuro
Negli ultimi tempi i Quick Heal Security Labs hanno registrato un sorprendete aumento degli attacchi di phishing: sono attacchi nei quali gli ignari utenti vengono attira...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login