Sei tecniche di ingegneria sociale apprezzate dai truffatori

Le tattiche di ingegneria sociale utilizzate dai truffatori implicano lo sfruttamento di caratteristiche umane come curiosità, impazienza, credulità, dipendenza dalla tecnologia e burnout. Perry Carpenter, chief evangelist e security officer di KnowBe4, condivide tattiche comuni di hacking di ingegneria sociale e modi per limitare i rischi che rappresentano.

L’ingegneria sociale è una delle più diffuse vettori di attacco utilizzato dai truffatori per manipolare le persone per far loro eseguire un’azione non sicura, come scaricare un allegato, fare clic su un URL o divulgare informazioni personali o sensibili. La crescita dell’ingegneria sociale è stata notevole: solo nel 2021 le minacce di ingegneria sociale sono aumentate 270% mentre una stima $ 6,9 miliardi sono stati rubati utilizzando truffe di ingegneria sociale.

Tecniche popolari di ingegneria sociale

Gli attori delle minacce sono attenti osservatori del comportamento umano. Sanno che le persone sono abbastanza prevedibili e possiedono debolezze intrinseche (come fiducia cieca, creduloneria, curiosità e pregiudizi) che possono essere sfruttate per truffe e hack. Diamo un’occhiata ad alcune popolari tecniche di ingegneria sociale utilizzate da truffatori e criminali informatici:

  1. Phishing e smishing: Il phishing è uno dei trucchi più noti nel libro di ingegneria sociale. In genere assume la forma di un’e-mail dall’aspetto legittimo, un messaggio di social media o un testo ricevuto sul telefono (ovvero smishing). Il messaggio di solito contiene una richiesta, che richiede al destinatario di eseguire un’azione come rispondere all’e-mail, scaricare un allegato o visitare un sito Web. Le tattiche di phishing includono numerose varianti che gli aggressori modificano in base a problemi di tendenza e al profilo personale del bersaglio. Nel 2021, circa 83% delle organizzazioni ha subito un attacco di phishing riuscito in cui le vittime hanno fatto clic su un collegamento errato, scaricato malware, fornito credenziali o eseguito un bonifico bancario.
  2. Vishing: il vishing è un tipo di phishing basato sulla voce in cui i truffatori contattano le persone tramite il telefono. Gli aggressori usano spesso una narrativa avvincente per contattare le persone, fingendo che provengano dal supporto tecnico o dalla banca, informando l’utente di una transazione sospetta. L’obiettivo principale del vishing è ottenere informazioni sensibili dal target. Dovresti anche stare attentovishing ibrido”, in cui gli aggressori combinano il vishing con altre tattiche di ingegneria sociale per rendere la rappresentazione più convincente.
  3. Compromissione e-mail aziendale (nota anche come frode del CEO): BEC è una sorta di attacco di phishing altamente mirato che di solito viene eseguito attraverso la rappresentazione di un alto dirigente. Gli aggressori hackerano o falsificano gli account e-mail del personale C-suite e richiedono ai dipendenti di effettuare bonifici verso account fraudolenti. A parte il denaro, gli aggressori richiedono persino i salari dei dipendenti e i moduli di dichiarazione dei redditi. BEC è una delle forme più costose di criminalità informatica, il netting 43 miliardi di dollari ai cyber criminali lo scorso anno.
  4. Truffe romantiche (aka trappole di miele): Le truffe romantiche sono un tipo di frode in cui un criminale falsifica la propria identità online (su siti di incontri e social media popolari) per conquistare l’affetto e la fiducia della vittima. I truffatori creano l’illusione di costruire una relazione romantica o intima per manipolare o estrarre informazioni dalla vittima. Una volta che la vittima inizia a fidarsi dell’aggressore, offrirà consigli sugli investimenti o dirà che ha bisogno di fondi di emergenza da trasferire urgentemente. Secondo l’FBI, gli americani hanno perso 1 miliardo di dollari alle truffe romantiche l’anno scorso.
  5. Attacchi abbeveratoi: I criminali informatici a volte prendono di mira siti Web noti e applicazioni mobili comunemente visitati dalla vittima o dalle persone associate all’obiettivo. Infetteranno questi siti Web e applicazioni con codice dannoso con l’unico scopo di compromettere l’utente. Quando il Covid-19 era al suo apice, gli hacker hanno lanciato un attacco abbeveratoio usando un popolare “App per i dati dal vivo sul coronavirus.” Una volta che gli utenti hanno scaricato e installato l’app, gli aggressori possono guardare attraverso la fotocamera di uno smartphone, ascoltare tramite un microfono e accedere ai messaggi di testo. Gli attacchi watering-hole sono comuni anche nelle operazioni di spionaggio informatico e altri sponsorizzato dallo stato campagne.
  6. Deepfake: oggi chiunque può scaricare un’app per cellulare, scambiare il proprio viso con una celebrità, de-age o inserirsi in una foto o in un video. I deepfake utilizzano forme avanzate della stessa tecnologia, anche se per intenzioni dannose. Utilizzando i deepfake, gli aggressori possono facilmente manipolare video, scambiare volti, cambiare espressioni o sintetizzare il parlato per diffamare individui e aziende, diffondere disinformazione o commettere truffe. Nel 2020 i truffatori hanno utilizzato tecnologia della voce profonda per truffare un impiegato di banca ed eseguire bonifici per un valore di 35 milioni di dollari.

Vedi altro: La guerra non dichiarata: quanto sono accurate le minacce?

Come ridurre i rischi dell’ingegneria sociale

Migliorare l’istinto di sicurezza informatica dei dipendenti e rafforzare la cultura generale della sicurezza informatica dell’organizzazione è la chiave per mitigare i rischi di ingegneria sociale. Ecco alcune best practice che possono aiutare:

  • Condurre sessioni di formazione sulla sensibilizzazione alla sicurezza per garantire che i dipendenti comprendano la propria responsabilità e responsabilità con la sicurezza informatica.
  • Esegui simulazioni di phishing per offrire ai lavoratori un’esperienza “pratica” e far loro comprendere la natura di questi attacchi da esempi del mondo reale.
  • Insegna ai dipendenti a essere vigili e a non fidarsi di nulla al valore nominale. Chiedere loro di attenersi alle politiche e alle migliori pratiche aziendali di sicurezza informatica (buoni gestori di password, navigazione sicura, uso dei social media, ecc.).
  • Assicurati che il tuo senior management sia attivamente coinvolto nella creazione della cultura della sicurezza perché la cultura si infiltra dall’alto verso il basso.

Quando si tratta di ingegneria sociale, gli utenti non sono solo il vettore di attacco principale, ma sono anche la soluzione principale. Formare bene le persone a riconoscere, respingere e segnalare truffe di ingegneria sociale perché questo può fare molto per proteggere l’organizzazione da attacchi informatici, frodi e violazioni dei dati.

Come stai affrontando i rischi dell’ingegneria sociale? Condividi con noi su Facci sapere su Facebook, Twittere LinkedIn.

Fonte immagine: Shutterstock

ALTRO SULL’INGEGNERIA SOCIALE

Leave a Comment

Your email address will not be published. Required fields are marked *