ingegneria sociale email Giacomo Lanzi

Ingegneria sociale: come gli hacker truffano le loro vittime

Estimated reading time: 10 minutes

Ingegneria sociale è il termine usato per una vasta gamma di attività dannose compiute attraverso le interazioni umane. Utilizza la manipolazione psicologica per indurre gli utenti a commettere errori di sicurezza o a fornire informazioni sensibili. In seguito, con quelle informazioni, l’hacker è in grado di portare a termine con successo attacchi mirati, come il furto di dati, un ransomware o un’interruzione di servizi.

Gli attacchi di ingegneria sociale avvengono solitamente in più fasi. L’esecutore prima indaga sulla vittima designata per raccogliere le informazioni di base necessarie, come i potenziali punti di ingresso e i protocolli di sicurezza deboli, necessari per procedere con l’attacco. Poi, l’attaccante si muove per guadagnare la fiducia della vittima e fornire stimoli per azioni successive che violano le pratiche di sicurezza, come rivelare informazioni sensibili o concedere l’accesso a risorse critiche.

Ciò che rende il social engineering particolarmente pericoloso è che si basa sull’errore umano, piuttosto che sulle vulnerabilità del software e dei sistemi operativi. Gli errori commessi dagli utenti legittimi sono molto meno prevedibili, il che li rende più difficili da identificare e contrastare rispetto a un’intrusione basata sul malware.

ingegneria sociale hacker con 2 pc

È da notare che il target di un ingegnere sociale non è per forza una rete o un software. Riuscire ad entrare in un edificio eludendo la sicurezza, per poi installare un dispositivo o rubare dei documenti, sono azioni che rientrano comunque sotto questa tipologia di attacchi.

Le tecniche dell’ingegneria sociale

Gli attacchi di ingegneria sociale si presentano in molte forme diverse e possono essere eseguiti ovunque sia coinvolta l’interazione umana. I seguenti sono cinque metodi più comuni di attacchi di ingegneria sociale digitale.

Baiting (dall’inglese bait, “esca”)

Come suggerisce il nome, gli attacchi di baiting utilizzano una falsa promessa (un esca, appunto) per stuzzicare l’avidità o la curiosità della vittima. Attirano gli utenti in una trappola che ruba le loro informazioni personali o installa sui loro sistemi un malware.

La forma più infame di baiting utilizza supporti fisici per disperdere il malware. Per esempio, gli aggressori lasciano l’esca (tipicamente chiavette infette) in aree appariscenti dove le potenziali vittime sono certe di vederle (ad esempio, bagni, ascensori, il parcheggio di un’azienda presa di mira). L’esca ha un aspetto legittimo, come un’etichetta che indica il contenuto, come la lista degli stipendi dell’azienda. L’indizio che rivela cosa dovrebbe contenere può cambiare, ovviamente, ma ha la prerogativa di essere potenzialmente molto interessante.

Le vittime raccolgono l’esca per curiosità e la inseriscono in un computer di lavoro o di casa, con conseguente installazione automatica di malware sul sistema.

Le truffe di adescamento non devono necessariamente essere eseguite nel mondo fisico. Le forme di baiting online consistono in annunci allettanti che portano a siti dannosi o che incoraggiano gli utenti a scaricare un’applicazione infetta da malware. Qui si sfocia nelle tecniche di phishing, che vedremo tra poco.

Note di difesa: per difendersi da questi attacchi di ingegneria sociale, oltre che prestare la massima attenzione a cosa si collega al proprio computer, non guasta avere un sistema di antivirus e anti-malware efficiente. Per l’azienda, un sistema SIEM di nuova generazione e UEBA aiutano nell’individuare comportamenti sospetti degli utenti e riducono moltissimo il rischio di infezione malware.

ingegneria sociale laptop

Scareware (dall’inglese to scare, “spaventare”)

Lo scareware consiste nel bombardare le vittime con falsi allarmi e minacce fittizie. Gli utenti sono ingannati a pensare che il loro sistema sia infettato da un malware, spingendoli a installare un software che non ha alcun beneficio reale (se non per l’esecutore) o è esso stesso un malware. Lo scareware viene anche chiamato software di inganno (deception software), rogue scanner software e fraudware.

Un esempio comune di scareware è il banner popup dall’aspetto legittimo che appare nel tuo browser mentre navighi sul web, mostrando un testo come “Il tuo computer potrebbe essere infettato da programmi spyware dannosi“. In altri casi il popup si offre di installare lo strumento (spesso infetto da malware) al posto vostro, o vi indirizza a un sito dannoso dove il vostro computer viene infettato.

Lo scareware è anche distribuito tramite email di spam che distribuisce avvisi fasulli, o fa offerte agli utenti per comprare servizi inutili/nocivi. L’ingegneria sociale è spesso molto fantasiosa e riesce a trovare modi sempre nuovi per ingannare. È necessario essere sempre all’erta.

Note di difesa: Nel caso si sospetti che il messaggio ricevuto sia davvero legittimo, la cosa migliore è cerca una soluzione attivamente, senza cioè usare i link suggeriti dal messaggio stesso. Per esempio, si è ricevuto un messaggio da un servizio che annuncia che il nostro account è stato compromesso. In caso di dubbio, si può contattare l’assistenza del servizio direttamente dal loro sito per chiedere chiarimenti. Evitare a tutti i costi di usare i link suggeriti dal messaggio sospetto.

ingegneria sociale multischermo

Pretexting (dall’inglese to pretend, “fingere”)

In questo attacco di ingegneria sociale, un attaccante ottiene informazioni attraverso una serie di menzogne abilmente costruite. La truffa è spesso avviata da un esecutore che finge di aver bisogno di informazioni sensibili da una vittima in modo da eseguire un compito critico.

L’aggressore di solito inizia stabilendo la fiducia con la sua vittima impersonando colleghi, polizia, funzionari bancari e fiscali, o altre persone che hanno il diritto di conoscere l’autorità. L’hacker pone domande che sono apparentemente necessarie per confermare l’identità della vittima, attraverso le quali raccoglie importanti dati personali.

ingegneria sociale dall'alto

Molti tipi di informazioni vengono raccolte utilizzando questa tecnica, come numeri di carta d’identità, indirizzi personali e numeri di telefono, registri telefonici, date di ferie del personale, registri bancari e persino informazioni di sicurezza relative a un impianto fisico.

Ogni informazione, per quanto possa sembrare innocua, potrebbe successivamente essere usata per un secondo attacco. Anche il nome di una guardia giurata assunta dall’azienda potrebbe essere già sufficiente per instaurare fiducia e chiedere uno strappo alla regola quando si domanda il codice di accesso alle porte automatiche.

Phishing (dall’inglese to fish, “pescare”)

Essendo uno dei più popolari tipi di attacco di ingegneria sociale, le truffe di phishing sono campagne di e-mail e messaggi di testo che mirano a creare un senso di urgenza, curiosità o paura nelle vittime. Poi le spinge a rivelare informazioni sensibili, a cliccare su link a siti web dannosi o ad aprire allegati che contengono malware.

Un esempio è un’e-mail inviata agli utenti di un servizio online che li avvisa di una violazione della politica che richiede un’azione immediata da parte loro, come un cambio di password obbligatorio. Include un link a un sito web, quasi identico nell’aspetto alla sua versione legittima, che invita l’utente a inserire le sue credenziali attuali e la nuova password. Dopo aver inviato il modulo, le informazioni vengono inviate all’attaccante.

Dato che i messaggi identici, o quasi identici, vengono inviati a tutti gli utenti nelle campagne di phishing, individuarli e bloccarli è molto più facile per i server di posta che hanno accesso alle piattaforme di condivisione delle minacce.

Nota di difesa: Se è vero che in alcuni casi ci siamo abituati a non dare peso a questo tipo di messaggi, è anche vero che gli ingegneri sociali si sono fatti sempre più furbi. Non è il caso di abbassare la guardia. Invece è molto utile diffidare sempre di messaggi che richiedono inserimento di credenziali.

Questi attacchi fanno leva sul fatto che è facile imbrogliare alcuni utenti, vuoi per distrazione o ingenuità. La difesa migliore è la formazione dei dipendenti tramite un servizio di phishing etico e successivi training mirati.

ingegneria sociale hacker

Spear phishing (dall’inglese spear, “lancia”)

Questa è una versione più mirata del phishing in cui un aggressore sceglie specifici individui o imprese. Quindi adattano i loro messaggi in base alle caratteristiche, alle posizioni lavorative e ai contatti delle loro vittime per rendere il loro attacco meno evidente. Lo spear phishing richiede molto più sforzo da parte dell’autore e può richiedere settimane e mesi per essere portato a termine. Sono molto più difficili da rilevare e hanno migliori tassi di successo se fatti con abilità.

Uno scenario di spear phishing potrebbe coinvolgere un attaccante che, impersonando il consulente IT di un’organizzazione, invia un’e-mail a uno o più dipendenti. È formulata e firmata esattamente come il consulente fa normalmente, ingannando così i destinatari a pensare che sia un messaggio autentico. Il messaggio richiede ai destinatari di cambiare la loro password e fornisce loro un link che li reindirizza a una pagina dannosa dove l’attaccante ora cattura le loro credenziali.

Hacker con grafica

Come difendersi dagli attacchi di ingegneria sociale

Gli ingegneri sociali manipolano i sentimenti umani, come la curiosità o la paura, per portare avanti gli schemi e attirare le vittime nelle loro trappole. Pertanto, è essenziale essere prudenti ogni volta che vi sentite allarmati da un’e-mail, attratti da un’offerta visualizzata su un sito web, o quando vi imbattete in media digitali vaganti in giro. Essere all’erta può aiutarvi a proteggervi dalla maggior parte degli attacchi di ingegneria sociale che avvengono online.

Inoltre, i seguenti consigli possono aiutare a migliorare la tua vigilanza in relazione agli attacchi di ingegneria sociale.

  • Non aprire e-mail e allegati da fonti sospette. Se non si conosce il mittente in questione, non è necessario rispondere a un’e-mail. Anche se li conosci e sei sospettoso del loro messaggio, fai un controllo incrociato e conferma le notizie da altre fonti, come per telefono o direttamente dal sito di un fornitore di servizi. Anche un’e-mail che sembra provenire da una fonte affidabile potrebbe essere stata avviata da un aggressore.
  • Usare l’autenticazione multi-fattore. Uno dei pezzi più preziosi di informazioni che gli aggressori cercano sono le credenziali dell’utente. Usando l’autenticazione a 2 fattori aiuti a garantire la protezione del tuo account in caso di compromissione del sistema. Esistono applicazioni gratuite per ogni tipo di dispositivo mobile che ti permettono di implementare questo tipo di autenticazione.
  • Diffidare delle offerte allettanti. Se un’offerta sembra troppo allettante, pensaci due volte prima di accettarla come reale. Usa Google per verificare l’argomento e determinare rapidamente se hai a che fare con un’offerta legittima o con una trappola.
  • Aggiornare il software antivirus/antimalware. Assicurati che gli aggiornamenti automatici siano attivati. Controlla periodicamente che gli aggiornamenti siano stati applicati e scansiona il tuo sistema per possibili infezioni.

Se l’azienda dispone di un reparto IT, questi consigli dovrebbero essere le misure standard di sicurezza.

Ufficio

Servizi di sicurezza per aziende

Quando si pensa ai dati che la propria azienda custodisce e gestisce, non si è mai troppo prudenti nella difesa. L’ingegneria sociale fa leva sul fatto che un dipendente si hackera più facilmente di un computer, cosa che molto spesso risulta veritiera.

Oltre alle misure di protezione informatica elencate qui sopra, è bene che i dipendenti siano tutti consapevoli dei rischi e delle potenziali minacce.

SOD propone una serie di servizi che vanno proprio in questa direzione. Il primo e forse più importante è quello di phishing etico in cui proviamo ad attaccare l’azienda con tecniche di phishing. Scopriamo quali sono i punti deboli e organizziamo training interni per fornire gli strumenti adeguati al personale.

Abbiamo anche i classici Vulnerability Assessment e Penetration Test per testare i sistemi di sicurezza informatica. A questo servizio sono applicabili degli addon per coprire un maggior numero di aree. È disponibile un addon specifico per l’analisi delle app e la revisione del codice, ma anche uno in cui proviamo a violare l’azienda con attacchi fisici. Testeremo la sicurezza fisica dell’azienda, la possibilità di entrare negli edifici, l’accesso alle centraline di rete e altro.

Infine, per mantenere controllate le reti, il servizio SOCaaS permette di monitorare tutta la rete, individuare azioni sospette (con analisi del comportamento tramite intelligenza artificiale), installazioni non autorizzate, tentativi di violazioni e molto altro.

La sicurezza dei dati in azienda è davvero importante, contattaci per sapere come possiamo aiutarti!

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading:

RSS Full Disclosure

  • Backdoor.Win32.Zombam.gen / Information Disclosure Giugno 15, 2021
    Posted by malvuln on Jun 15Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/ff6516c881dee555b0cd253408b64404_D.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Zombam.gen Vulnerability: Information Disclosure Description: Zombam malware listens on TCP port 80 and deploys an unsecured HTML Web UI for basic remote administration capability. Third-party attackers who can reach an infected...
  • Backdoor.Win32.VB.pld / Unauthenticated Remote Command Execution Giugno 15, 2021
    Posted by malvuln on Jun 15Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/6ff35087d789f7aca6c0e3396984894e_B.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.VB.pld Vulnerability: Unauthenticated Remote Command Execution Description: The malware listens on TCP port 4000. Third-party attackers who can reach infected systems can connect to port 4000 and run commands made available […]
  • Backdoor.Win32.VB.pld / Insecure Transit Giugno 15, 2021
    Posted by malvuln on Jun 15Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/6ff35087d789f7aca6c0e3396984894e.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.VB.pld Vulnerability: Insecure Transit Description: The malware listens on TCP port 4000 and has a chat feature "Hnadle-X Pro V1.0 Text Chat". Messages are passed in unencrypted plaintext across the network. […]
  • popo2, kernel/tun driver bufferoverflow. Giugno 15, 2021
    Posted by KJ Jung on Jun 15Linux kernel 5.4 version. latest. __tun_chr_ioctl function of ~/drivers/net/tun.c has a stack buffer overflow vulnerability. it get's arg, ifreq_len, and copy the arg(argp) to ifr(ifreq struct) and this steps are no bounds-checking. if cmd == TUNSETIFF or TUNSETQUEUE or and so on condition then it's enter copy_from_user function area.
  • Onapsis Security Advisory 2021-0014: Missing authorization check in SAP Solution Manager LM-SERVICE Component SP 11 PL 2 Giugno 14, 2021
    Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0014: Missing authorization check in SAP Solution Manager LM-SERVICE Component SP 11 PL 2 ## Impact on Business Due to a missing authorization check in SAP Solution Manager LM-SERVICE component a remote authenticated attacker could be able to execute privileged actions in the […]
  • Onapsis Security Advisory 2021-0013: [CVE-2020-26829] - Missing Authentication Check In SAP NetWeaver AS JAVA P2P Cluster communication Giugno 14, 2021
    Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0013: [CVE-2020-26829] - Missing Authentication Check In SAP NetWeaver AS JAVA P2P Cluster communication ## Impact on Business A malicious unauthenticated user could abuse the lack of authentication check on SAP Java P2P cluster communication, in order to connect to the respective TCP […]
  • Onapsis Security Advisory 2021-0012: SAP Manufacturing Integration and Intelligence lack of server side validations leads to RCE Giugno 14, 2021
    Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0012: SAP Manufacturing Integration and Intelligence lack of server side validations leads to RCE ## Impact on Business By abusing a Code Injection in SAP MII, an authenticated user with SAP XMII Developer privileges could execute code (including OS commands) on the server. […]
  • Onapsis Security Advisory 2021-0011 Missing authorization check in SolMan End-User Experience Monitoring Giugno 14, 2021
    Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0011: Missing authorization check in SolMan End-User Experience Monitoring ## Impact on Business Any authenticated user of the Solution Manager is able to craft/upload and execute EEM scripts on the SMDAgents affecting its Integrity, Confidentiality and Availability. ## Advisory Information - Public Release […]
  • Onapsis Security Advisory 2021-0010: File exfiltration and DoS in SolMan End-User Experience Monitoring Giugno 14, 2021
    Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0010: File exfiltration and DoS in SolMan End-User Experience Monitoring ## Impact on Business The End-User Experience Monitoring (EEM) application, part of the SAP Solution Manager, is vulnerable to path traversal. As a consequence, an unauthorized attacker would be able to read sensitive […]
  • Onapsis Security Advisory 2021-0009: Hard-coded Credentials in CA Introscope Enterprise Manager Giugno 14, 2021
    Posted by Onapsis Research via Fulldisclosure on Jun 14# Onapsis Security Advisory 2021-0009: Hard-coded Credentials in CA Introscope Enterprise Manager ## Impact on Business Unauthenticated attackers can bypass the authentication if the default passwords for Admin and Guest have not been changed by the administrator. This may impact the confidentiality of the service. ## Advisory […]

Customers

Newsletter