L'ingegneria sociale è l'uso di tattiche manipolative da parte di truffatori per convincere individui o organizzazioni a rinunciare volontariamente a preziose informazioni private
Le aziende moderne devono affrontare una serie di minacce alla sicurezza informatica, dagli attacchi DDoS e dai tentativi di hacking a virus e ransomware. Tuttavia, secondo i risultati pubblicati nel Trustwave Global Security Report del 2019, il social engineering è di gran lunga il metodo dominante per i criminali informatici che desiderano accedere ai tuoi dati.
In effetti, il rapporto ha rilevato che il 46% di tutte le violazioni negli ambienti aziendali può essere attribuito a attacchi di social engineering di successo, e questo sale al 60% in ambienti cloud e point-of-sale. Di conseguenza, imparare a prevenire gli attacchi di ingegneria sociale deve essere una priorità assoluta per tutte le aziende e gli individui.
[Image Source]
In parole povere, il social engineering è l'uso di tattiche manipolative da parte di truffatori e altre parti maligne, al fine di convincere le persone o le organizzazioni a rinunciare volontariamente a preziose informazioni private come nomi utente e password. In questo articolo, esaminiamo più da vicino questo fenomeno e spieghiamo perché la formazione alla consapevolezza dell'ingegneria sociale può essere così preziosa.
L'ascesa del phishing di lancia
Ormai, molte persone hanno familiarità con i pericoli associati alle e-mail di phishing, ma, man mano che la consapevolezza generale sui metodi utilizzati è cresciuta, i criminali informatici sono diventati più sofisticati e metodici nel loro approccio. Un buon esempio di ciò è l'ascesa di una tecnica nota come spear phishing, che si rivolge a individui specifici.
Come sottolinea un post sul blog di Digital Guardian, lo spear-phishing differisce dai tentativi di phishing più convenzionali, perché gli aggressori adattano il loro raggio d'azione alle singole persone, che hanno scelto di colpire in modo specifico. Raggiungono questo obiettivo utilizzando le informazioni personali acquisite dalle piattaforme di social media e altre fonti per fare riferimento a nomi, ruoli lavorativi, posizioni fisiche, presunti amici in comune e altre informazioni che potrebbero aiutarli a guadagnare fiducia.
L'aggressore potrebbe rappresentare un amico, un collega di lavoro o un partner commerciale e invierà un messaggio apparentemente innocente, spesso con un collegamento a una pagina dannosa o con una richiesta di informazioni che possono essere successivamente utilizzate per scopi dannosi. Adottando questo metodo, gli aggressori possono concentrarsi su obiettivi di alto valore, come le persone con accesso elevato o le persone con un certo grado di autorità finanziaria, piuttosto che adottare un approccio più casuale e sparato.
Uno dei pericoli più urgenti associati al phishing di lancia è la sua capacità di aggirare il software di rilevamento del phishing e altri metodi di protezione che potrebbero funzionare per lo screening di tentativi di phishing più ovvi. Tenendo presente ciò, i principali servizi di supporto IT e le attività di formazione efficaci coinvolgono l'insegnamento dei dipendenti sui trucchi utilizzati.
Email e siti Web compromessi
Uno dei metodi di social engineering di cui le persone sono forse meno consapevoli è l'aumento degli account e-mail e dei siti Web compromessi. Questo è un problema crescente, a causa del numero di violazioni dei dati di massa che si sono verificate, portando a rendere disponibili le credenziali di accesso e persino vendute sul Dark Web ad altri criminali informatici.
Con le e-mail, lo schema generale prevede che gli aggressori possano accedere a un account e-mail e quindi inviare messaggi apparentemente innocui alle persone nell'elenco dei contatti di tale account. In realtà, i messaggi di solito sono phishing per informazioni personali o indirizzano il destinatario verso un collegamento che infetta il proprio dispositivo con malware.
Scarica la nostra risorsa aziendale – modello di business case
Questo modello collaudato ti aiuterà a creare e costruire il caso per gli investimenti da parte del senior management.
Accedi al modello del caso aziendale
"Se il tuo amico ti ha inviato un'e-mail con l'oggetto," Dai un'occhiata a questo sito che ho trovato, è assolutamente fantastico ", potresti non pensarci due volte prima di aprirlo", spiega un articolo di Norton. "Conquistando l'account e-mail di qualcuno, un truffatore può far credere a quelli dell'elenco contatti che stanno ricevendo e-mail da qualcuno che conoscono."
Con i siti Web, gli aggressori in genere ottengono le credenziali di accesso di un sito affidabile e quindi lo infettano con malware o lo utilizzano per richiedere informazioni personali alle persone, utilizzando i moduli Web. Quando un link viene incluso in un'e-mail o pubblicato sui social media, sembra completamente innocuo e potrebbe persino essere un sito Web visitato in precedenza dalla vittima.
[Image Source]
Il valore della sensibilizzazione
Con la crescente prevalenza di attacchi informatici e violazioni dei dati di ogni tipo, è fondamentale che le piccole e medie imprese investano nei giusti servizi di supporto IT. In relazione all'ingegneria sociale, tuttavia, poiché si tratta di una forma sofisticata di attacco, i migliori metodi devono essere basati sulla crescente consapevolezza e sull'adozione di misure proattive sensate.
Ad esempio, la tua squadra può essere messa al corrente dell'ascesa del phishing di lancia e dire come gli aggressori ottengono il tipo di informazioni preziose che lo rendono una minaccia. I dipendenti possono quindi prendere provvedimenti per limitare la quantità di informazioni personali che sono pubblicamente visibili sulle piattaforme dei social media e pensare due volte a fare clic su determinati collegamenti.
La maggior parte dei programmi di formazione per la sensibilizzazione sul social engineering evidenzierà anche altre migliori pratiche, come l'autenticazione a due fattori, la digitazione manuale degli URL anziché fare clic sui collegamenti e-mail e l'immissione delle credenziali di accesso su siti attendibili, che dispongono dei protocolli di crittografia corretti, al fine di minimizzare il danno che può essere fatto.
L'ultima parola
Gli attacchi informatici non sono una novità, ma i criminali e le altre parti maligne adattano continuamente i loro metodi, al fine di eludere il software di protezione e catturare le persone. Uno degli esempi più ovvi di questo è stata la crescita degli aggressori che utilizzano tecniche metodiche di ingegneria sociale, al posto di un approccio più sparatutto.
Ciò rappresenta una minaccia per le imprese e gli individui perché gli attacchi di phishing e i collegamenti dannosi possono diventare molto più difficili da identificare. È pertanto indispensabile investire in formazione che aumenti la consapevolezza dei team.
Fifosys offre formazione sulla consapevolezza della cibersicurezza alle PMI a Londra e nel sud-est dell'Inghilterra. Inoltre, può aiutarti a identificare e correggere eventuali vulnerabilità nelle tue reti e sistemi informatici. Questa combinazione può quindi offrire a te e ai tuoi dipendenti le migliori possibilità di protezione da attacchi di ingegneria sociale di ogni tipo.
