Cos'è l'ingegneria sociale? [MakeUseOf Explains]
È possibile installare il firewall più potente e costoso del settore. Come funziona un firewall? [MakeUseOf Explains] Come funziona un firewall? [MakeUseOf Explains] Ci sono tre software che, a mio parere, rendono la spina dorsale di una configurazione di sicurezza decente sul PC di casa. Questi sono l'anti-virus, il firewall e il gestore di password. Di questi, il ... Per saperne di più. È possibile istruire i dipendenti sulle procedure di sicurezza di base e sull'importanza di scegliere password sicure Come creare password complesse che si possano ricordare facilmente Come creare password complesse che è possibile ricordare facilmente Ulteriori informazioni. Puoi persino bloccare il server room, ma come proteggere un'azienda dalla minaccia degli attacchi di social engineering?
Da un punto di vista dell'ingegneria sociale, i dipendenti sono l'anello debole nella catena di misure di sicurezza Ottieni un makeover di sicurezza per il tuo sito WordPress con WebsiteDefender Ottieni un makeover di sicurezza per il tuo sito WordPress con WebsiteDefender Con la popolarità di Wordpress sempre crescente, i problemi di sicurezza non sono mai stati più rilevanti - Ma a parte il semplice aggiornamento, come può un principiante o un utente di livello medio stare al passo con le cose? Potresti ... Leggi di più sul posto. Gli esseri umani non sono solo suscettibili di errori umani di base, ma anche attacchi mirati da parte di individui che sperano di convincerli a rinunciare a informazioni sensibili. Oggi esploreremo alcune delle tecniche sociali utilizzate per ingannare e frodare.
Le basi dell'ingegneria sociale
L'ingegneria sociale è l'atto di manipolare una persona per ottenere accesso o dati sensibili predando la psicologia umana di base. La differenza tra gli attacchi di social engineering e, ad esempio, un hacker che tenta di accedere a un sito Web è la scelta degli strumenti utilizzati. Un hacker potrebbe cercare una debolezza nel software di sicurezza o una vulnerabilità sul server, mentre un ingegnere sociale utilizzerà tecniche sociali, costringendo la vittima a dare gratuitamente informazioni o accesso.
Queste tattiche non sono nulla di nuovo, e sono esistite fino a quando le persone hanno deciso che ingannare l'un l'altro era un modo accettabile per guadagnarsi da vivere. Ora che la società si è evoluta per fare affidamento sulla natura immediata di Internet e delle informazioni su richiesta, più persone che mai vengono esposte ad attacchi di ingegneria sociale su larga scala.
La maggior parte delle volte l'aggressore non si troverà faccia a faccia con la propria vittima, affidandosi invece a e-mail, messaggistica istantanea e telefonate per effettuare l'attacco. Esistono svariate tecniche che sono ampiamente considerate come attacchi di social engineering, quindi diamo un'occhiata a loro in modo più dettagliato.
Spiegate le tecniche di ingegneria sociale
Phishing
Di gran lunga una delle tecniche più conosciute grazie alla consapevolezza sollevata dai provider di posta elettronica come Google e Yahoo, il phishing è un esempio di ingegneria sociale piuttosto basilare e ampiamente utilizzato.
Più comunemente condotta via e-mail, questa tecnica è un tipo di frode che implica convincere la vittima che stai legittimamente richiedendo informazioni sensibili. Uno dei tipi più comuni di attacchi di phishing riguarda la richiesta di vittime “verificare” il loro conto bancario o le informazioni PayPal Come mantenere il tuo account Paypal sicuro dagli hacker Come mantenere il tuo account Paypal al sicuro dagli hacker Leggi di più per evitare che i loro account vengano sospesi. L'autore dell'attacco o il phisher acquisterà spesso un dominio progettato per imitare una risorsa ufficiale e le discrepanze nell'URL spesso allontanano il gioco.
Il phishing online sta diventando più facile da individuare e segnalare grazie alle tecniche di filtraggio utilizzate dai provider di posta elettronica. È inoltre buona norma non divulgare informazioni sensibili o finanziarie via e-mail - nessuna organizzazione legittima ti chiederà mai di farlo - e ricontrollare gli URL per legittimazione prima di inserire credenziali importanti.
Tecniche telefoniche o “Vishing”
La risposta vocale interattiva (IVR) o Vishing (voice phishing) comporta l'utilizzo di tecniche simili a quelle descritte sopra tramite un telefono o un'interfaccia VoIP. Esistono diverse tecniche di propagazione e sono:
- Chiamare direttamente la vittima usando un automatizzato “la tua carta di credito è stata rubata” o “è necessaria un'azione urgente” truffa, quindi richiesta “Verifica di sicurezza” per ripristinare il normale accesso all'account.
- Inviare via e-mail la vittima, istruendole a chiamare un numero di telefono e verificare le informazioni dell'account prima di concedere l'accesso.
- Utilizzando tecniche telefoniche interattive faux o l'interazione umana diretta per estrarre informazioni, ad es. “premi 1 per ... ” o “inserisci il numero della carta di credito dopo il segnale acustico”.
- Chiamare la vittima, convincerli di una minaccia alla sicurezza sul proprio computer e istruirli ad acquistare o installare software (spesso malware o software desktop remoto) per risolvere il problema.
Sono stato personalmente sul lato ricevente della truffa del software phone e, anche se non mi sono innamorato di nulla, non sarei sorpreso se qualcuno lo facesse grazie alle tattiche intimidatorie impiegate. Il mio incontro ha coinvolto a “Impiegato Microsoft” e alcuni virus che non esistevano. Puoi leggerlo tutto qui Cold Calling Computer Technicians: Non innamorarti di una truffa come questa [Scam Alert!] Tecnici informatici che chiamano a freddo: non cadere per una truffa come questa [Allarme truffa!] Probabilmente hai sentito il termine "non imbrogliare un truffatore", ma mi è sempre piaciuto "non truffare uno scrittore tecnologico" me stesso. Non sto dicendo che siamo infallibili, ma se la tua truffa riguarda Internet, un Windows ... Per saperne di più .
pasturazione
Questa particolare tecnica si basa su una delle più grandi debolezze dell'umanità: la curiosità. Se si lascia deliberatamente un supporto fisico, sia esso un dischetto (al giorno d'oggi improbabile), un supporto ottico o (più comunemente) una chiavetta USB, è probabile che venga scoperto, lo scammer si siede semplicemente e aspetta che qualcuno faccia uso del dispositivo.
Molti PC “autorun” Dispositivi USB, quindi quando malware come trojan o keylogger sono raggruppati sull'USB, è possibile che una macchina venga infettata senza che la vittima se ne accorga. I truffatori spesso vestono tali dispositivi con loghi o etichette ufficiali che potrebbero suscitare interesse nelle potenziali vittime.
pretexting
Questa tecnica implica convincere la vittima a rinunciare alle informazioni usando uno scenario inventato. Lo scenario è solitamente derivato dalle informazioni raccolte sulla vittima per convincerli che il truffatore è in realtà una figura autorevole o ufficiale.
A seconda delle informazioni che il truffatore sta cercando, il pretesto può comportare informazioni personali di base come l'indirizzo di casa o la data di nascita, informazioni più specifiche come gli importi delle transazioni su un conto bancario o addebiti su una fattura.
tailgating
Una delle poche tecniche qui elencate che coinvolge il truffatore coinvolto fisicamente nell'attacco, tailgating descrive la pratica di ottenere l'accesso a un'area riservata senza autorizzazione seguendo un altro dipendente (legittimo) nell'area. Per molti truffatori ciò elimina la necessità di acquisire carte di accesso o chiavi e presenta una potenziale grave violazione della sicurezza per la società coinvolta.
Questa particolare tattica predispone a una cortesia comune come l'atto di tenere una porta per qualcuno ed è diventato un tale problema che molti luoghi di lavoro hanno impiegato per affrontare il problema frontalmente con le comunicazioni sugli ingressi, come l'avviso usato da Apple nella foto sopra.
Altre tecniche
Ci sono alcune altre tecniche associate all'ingegneria sociale, come ad esempio qualcosa per qualcosa “quid pro quo” tecnica usata spesso contro gli impiegati. Il quid pro quo coinvolge un aggressore che si presenta come, ad esempio, un dipendente del supporto tecnico che risponde a una chiamata. L'attaccante continua “richiamare” fino a quando non trova qualcuno che ha un reale bisogno di supporto, lo offre ma allo stesso tempo estrae altre informazioni o indirizza la vittima a download di software dannosi.
Un'altra tecnica di ingegneria sociale è conosciuta come la “furto di diversione” e non è realmente associato a computer, Internet o phishing telefonico. Invece è una tecnica comune usata per convincere i corrieri legittimi a credere che una consegna debba essere ricevuta altrove.
Conclusione
Se sospetti che una persona stia cercando di ingannarti con una truffa di ingegneria sociale, devi informare le autorità e (se applicabile) il tuo datore di lavoro. Le tecniche non si limitano a ciò che è stato menzionato in questo articolo: nuove truffe e trucchi vengono escogitati in continuazione, quindi stai in guardia, fai domande e non fai vittime di un truffatore.
La migliore difesa contro questi attacchi è la conoscenza - quindi informa i tuoi amici e familiari che le persone possono e useranno queste tattiche contro di te.
Hai mai avuto problemi con gli ingegneri sociali? La tua azienda ha istruito la forza lavoro sui pericoli dell'ingegneria sociale? Aggiungi i tuoi pensieri e domande nei commenti, sotto.
Crediti immagine: Wolf in Sheep's Clothing (Shutterstock), NetQoS Symposium USB Stick (Michael Coté), Paper Shredder (Sh4rp_i)
Scopri di più su: phishing, truffe.