{"id":12536,"date":"2021-02-10T07:00:00","date_gmt":"2021-02-10T06:00:00","guid":{"rendered":"https:\/\/www.cyberfero.com\/?p=12536"},"modified":"2021-02-09T20:04:33","modified_gmt":"2021-02-09T19:04:33","slug":"ingegneria-sociale-come-hacker-truffano-vittime","status":"publish","type":"post","link":"https:\/\/www.cyberfero.com\/it\/ingegneria-sociale-come-hacker-truffano-vittime\/","title":{"rendered":"Ingegneria sociale: come gli hacker truffano le loro vittime"},"content":{"rendered":"\n

<\/path><\/svg><\/span><\/span>Estimated reading time: <\/span>10<\/span> minuti<\/span><\/p>\n\n\n\n

Ingegneria sociale \u00e8 il termine usato per una vasta gamma di attivit\u00e0 dannose compiute attraverso le interazioni umane.<\/strong> Utilizza la manipolazione psicologica<\/em> per indurre gli utenti a commettere errori di sicurezza o a fornire informazioni sensibili. In seguito, con quelle informazioni, l’hacker \u00e8 in grado di portare a termine con successo attacchi mirati, come il furto di dati, un ransomware<\/a> o un’interruzione di servizi. <\/p>\n\n\n\n

Gli attacchi di ingegneria sociale avvengono solitamente in pi\u00f9 fasi<\/strong>. L’esecutore prima indaga sulla vittima designata per raccogliere le informazioni di base necessarie<\/em>, come i potenziali punti di ingresso e i protocolli di sicurezza deboli, necessari per procedere con l’attacco. Poi, l’attaccante si muove per guadagnare la fiducia della vittima e fornire stimoli per azioni successive che violano le pratiche di sicurezza, come rivelare informazioni sensibili o concedere l’accesso a risorse critiche.<\/p>\n\n\n\n

Ci\u00f2 che rende il social engineering particolarmente pericoloso \u00e8 che si basa sull’errore umano, piuttosto che sulle vulnerabilit\u00e0 del software e dei sistemi operativi<\/strong>. Gli errori commessi dagli utenti legittimi sono molto meno prevedibili, il che li rende pi\u00f9 difficili da identificare e contrastare rispetto a un’intrusione basata sul malware.<\/p>\n\n\n\n

\"ingegneria<\/a><\/figure>\n\n\n\n

\u00c8 da notare che il target di un ingegnere sociale non \u00e8 per forza una rete o un software<\/strong>. Riuscire ad entrare in un edificio eludendo la sicurezza, per poi installare un dispositivo o rubare dei documenti, sono azioni che rientrano comunque sotto questa tipologia di attacchi.<\/p>\n\n\n\n

Le tecniche dell’ingegneria sociale<\/h2>\n\n\n\n

Gli attacchi di ingegneria sociale si presentano in molte forme diverse e possono essere eseguiti ovunque sia coinvolta l’interazione umana<\/strong>. I seguenti sono cinque metodi pi\u00f9 comuni di attacchi di ingegneria sociale digitale<\/em>.<\/p>\n\n\n\n

Baiting (dall’inglese bait<\/em>, “esca”)<\/h3>\n\n\n\n

Come suggerisce il nome, gli attacchi di baiting utilizzano una falsa promessa (un esca<\/em>, appunto) per stuzzicare l’avidit\u00e0 o la curiosit\u00e0 della vittima. Attirano gli utenti in una trappola che ruba le loro informazioni personali o installa sui loro sistemi un malware.<\/p>\n\n\n\n

La forma pi\u00f9 infame di baiting utilizza supporti fisici per disperdere il malware<\/strong>. Per esempio, gli aggressori lasciano l’esca (tipicamente chiavette infette) in aree appariscenti dove le potenziali vittime sono certe di vederle (ad esempio, bagni, ascensori, il parcheggio di un’azienda presa di mira). L’esca ha un aspetto legittimo<\/em>, come un’etichetta che indica il contenuto, come la lista degli stipendi dell’azienda. L’indizio che rivela cosa dovrebbe contenere pu\u00f2 cambiare, ovviamente, ma ha la prerogativa di essere potenzialmente molto interessante<\/strong>.<\/p>\n\n\n\n

Le vittime raccolgono l’esca per curiosit\u00e0<\/em> e la inseriscono in un computer di lavoro o di casa, con conseguente installazione automatica di malware sul sistema.<\/strong><\/p>\n\n\n\n

Le truffe di adescamento non devono necessariamente essere eseguite nel mondo fisico. Le forme di baiting online consistono in annunci allettanti che portano a siti dannosi<\/strong> o che incoraggiano gli utenti a scaricare un’applicazione infetta da malware. Qui si sfocia nelle tecniche di phishing<\/a>, che vedremo tra poco.<\/p>\n\n\n\n

Note di difesa<\/strong>: per difendersi da questi attacchi di ingegneria sociale, oltre che prestare la massima attenzione a cosa si collega al proprio computer, non guasta avere un sistema di antivirus e anti-malware efficiente. Per l’azienda, un sistema SIEM di nuova generazione<\/a> e UEBA<\/a> aiutano nell’individuare comportamenti sospetti degli utenti e riducono moltissimo il rischio di infezione malware.<\/p>\n\n\n\n

\"ingegneria<\/a><\/figure>\n\n\n\n

Scareware (dall’inglese to scare<\/em>, “spaventare”)<\/h3>\n\n\n\n

Lo scareware consiste nel bombardare le vittime con falsi allarmi e minacce fittizie<\/strong>. Gli utenti sono ingannati a pensare che il loro sistema sia infettato da un malware, spingendoli a installare un software che non ha alcun beneficio reale (se non per l’esecutore) o \u00e8 esso stesso un malware. Lo scareware viene anche chiamato software di inganno<\/strong> (deception software<\/em>), rogue scanner software<\/em> e fraudware<\/em>.<\/p>\n\n\n\n

Un esempio comune di scareware \u00e8 il banner popup dall’aspetto legittimo che appare nel tuo browser mentre navighi sul web<\/strong>, mostrando un testo come “Il tuo computer potrebbe essere infettato da programmi spyware dannosi<\/em>“. In altri casi il popup si offre di installare lo strumento (spesso infetto da malware) al posto vostro, o vi indirizza a un sito dannoso dove il vostro computer viene infettato. <\/p>\n\n\n\n

Lo scareware \u00e8 anche distribuito tramite email di spam<\/strong> che distribuisce avvisi fasulli, o fa offerte agli utenti per comprare servizi inutili\/nocivi. L’ingegneria sociale \u00e8 spesso molto fantasiosa e riesce a trovare modi sempre nuovi per ingannare. \u00c8 necessario essere sempre all’erta.<\/p>\n\n\n\n

Note di difesa<\/strong>: Nel caso si sospetti che il messaggio ricevuto sia davvero legittimo, la cosa migliore \u00e8 cerca una soluzione attivamente<\/em>, senza cio\u00e8 usare i link suggeriti dal messaggio stesso. Per esempio, si \u00e8 ricevuto un messaggio da un servizio che annuncia che il nostro account \u00e8 stato compromesso. In caso di dubbio, si pu\u00f2 contattare l’assistenza<\/strong> del servizio direttamente dal loro sito per chiedere chiarimenti. Evitare a tutti i costi di usare i link suggeriti dal messaggio sospetto<\/strong>.<\/p>\n\n\n\n

\"ingegneria<\/a><\/figure>\n\n\n\n

Pretexting (dall’inglese to pretend<\/em>, “fingere”)<\/h3>\n\n\n\n

In questo attacco di ingegneria sociale, un attaccante ottiene informazioni attraverso una serie di menzogne abilmente costruite<\/strong>. La truffa \u00e8 spesso avviata da un esecutore che finge di aver bisogno di informazioni sensibili da una vittima in modo da eseguire un compito critico.<\/p>\n\n\n\n

L’aggressore di solito inizia stabilendo la fiducia con la sua vittima impersonando colleghi, polizia, funzionari bancari e fiscali, o altre persone che hanno il diritto di conoscere l’autorit\u00e0<\/strong>. L’hacker pone domande che sono apparentemente necessarie per confermare l’identit\u00e0 della vittima, attraverso le quali raccoglie importanti dati personali.<\/p>\n\n\n\n

\"ingegneria<\/figure>
\n

Molti tipi di informazioni vengono raccolte utilizzando questa tecnica, come numeri di carta d’identit\u00e0, indirizzi personali e numeri di telefono, registri telefonici, date di ferie del personale, registri bancari e persino informazioni di sicurezza relative a un impianto fisico.<\/p>\n\n\n\n

Ogni informazione, per quanto possa sembrare innocua, potrebbe successivamente essere usata per un secondo attacco.<\/strong> Anche il nome di una guardia giurata assunta dall’azienda potrebbe essere gi\u00e0 sufficiente per instaurare fiducia e chiedere uno strappo alla regola quando si domanda il codice di accesso alle porte automatiche.<\/p>\n<\/div><\/div>\n\n\n\n

Phishing (dall’inglese to fish<\/em>, “pescare”)<\/h3>\n\n\n\n

Essendo uno dei pi\u00f9 popolari tipi di attacco di ingegneria sociale, le truffe di phishing sono campagne di e-mail e messaggi di testo che mirano a creare un senso di urgenza<\/em>, curiosit\u00e0<\/em> o paura<\/em> nelle vittime<\/strong>. Poi le spinge a rivelare informazioni sensibili, a cliccare su link a siti web dannosi o ad aprire allegati che contengono malware.<\/p>\n\n\n\n

Un esempio \u00e8 un’e-mail inviata agli utenti di un servizio online che li avvisa di una violazione della politica che richiede un’azione immediata da parte loro, come un cambio di password obbligatorio. Include un link a un sito web, quasi identico<\/em> nell’aspetto alla sua versione legittima, che invita l’utente a inserire le sue credenziali attuali e la nuova password<\/strong>. Dopo aver inviato il modulo, le informazioni vengono inviate all’attaccante.<\/p>\n\n\n\n

Dato che i messaggi identici, o quasi identici, vengono inviati a tutti gli utenti nelle campagne di phishing, individuarli e bloccarli \u00e8 molto pi\u00f9 facile per i server di posta che hanno accesso alle piattaforme di condivisione delle minacce.<\/p>\n\n\n\n

Nota di difesa<\/strong>: Se \u00e8 vero che in alcuni casi ci siamo abituati a non dare peso a questo tipo di messaggi, \u00e8 anche vero che gli ingegneri sociali si sono fatti sempre pi\u00f9 furbi. Non \u00e8 il caso di abbassare la guardia. Invece \u00e8 molto utile diffidare sempre di messaggi che richiedono inserimento di credenziali. <\/p>\n\n\n\n

Questi attacchi fanno leva sul fatto che \u00e8 facile imbrogliare alcuni utenti, vuoi per distrazione o ingenuit\u00e0. La difesa migliore \u00e8 la formazione dei dipendenti tramite un servizio di phishing etico<\/a> e successivi training mirati.<\/strong><\/p>\n\n\n\n

\"ingegneria<\/a><\/figure>\n\n\n\n

Spear phishing (dall’inglese spear<\/em>, “lancia”)<\/h3>\n\n\n\n

Questa \u00e8 una versione pi\u00f9 mirata<\/em> del phishing in cui un aggressore sceglie specifici individui o imprese<\/strong>. Quindi adattano i loro messaggi in base alle caratteristiche, alle posizioni lavorative e ai contatti delle loro vittime per rendere il loro attacco meno evidente. Lo spear phishing richiede molto pi\u00f9 sforzo da parte dell’autore e pu\u00f2 richiedere settimane e mesi per essere portato a termine. Sono molto pi\u00f9 difficili da rilevare e hanno migliori tassi di successo se fatti con abilit\u00e0.<\/p>\n\n\n\n

Uno scenario di spear phishing potrebbe coinvolgere un attaccante che, impersonando il consulente IT di un’organizzazione, invia un’e-mail a uno o pi\u00f9 dipendenti. \u00c8 formulata e firmata esattamente come il consulente fa normalmente, ingannando cos\u00ec i destinatari a pensare che sia un messaggio autentico. Il messaggio richiede ai destinatari di cambiare la loro password e fornisce loro un link che li reindirizza a una pagina dannosa dove l’attaccante ora cattura le loro credenziali.<\/p>\n\n\n\n

\"Hacker<\/a><\/figure>\n\n\n\n

Come difendersi dagli attacchi di ingegneria sociale<\/h2>\n\n\n\n

Gli ingegneri sociali manipolano i sentimenti umani, come la curiosit\u00e0 o la paura, per portare avanti gli schemi e attirare le vittime nelle loro trappole. <\/strong>Pertanto, \u00e8 essenziale essere prudenti ogni volta che vi sentite allarmati da un’e-mail, attratti da un’offerta visualizzata su un sito web, o quando vi imbattete in media digitali vaganti in giro. Essere all’erta pu\u00f2 aiutarvi a proteggervi dalla maggior parte degli attacchi di ingegneria sociale che avvengono online.<\/p>\n\n\n\n

Inoltre, i seguenti consigli possono aiutare a migliorare la tua vigilanza in relazione agli attacchi di ingegneria sociale.<\/p>\n\n\n\n