Home Prodotti Sicurezza Social engineering, come capire le tecniche di attacco

Social engineering, come capire le tecniche di attacco

Si parla quotidianamente di minacce informatiche utilizzando i nomi di ransomware o cryptolocker, mentre il ruolo del social engineering, pare uscito dai radar.

Invece il social engineering nel cybercrime è un’attività ancora più comune, praticata e personalizzata, perché punta su abilità cognitive per trarre in inganno la vittima, sfruttando i canali social e le email.

Vale la pena ribadirne la fenomenologia e le tecniche di applicazione.

Un attacco di social engineering è caratterizzato da quattro fasi.

  1. raccolta informazioni: si raccolgono più informazioni possibili sul target da attaccare, spesso anche quelle che possono sembrare inutili, perché la conversazione abbia un tono familiare.
  2. creazione della relazione: si cerca di guadagnare la fiducia della vittima, creando una relazione diretta con lui.
  3. manipolazione: si sferra l’attacco sfruttando la fiducia e le difese basse della vittima.
  4. esecuzione: il social engineer ruba le informazioni sensibili e consolida il suo attacco. I professionisti del settore riescono anche a cancellare le loro tracce.

Un esempio sono gli attacchi BEC (Business Email Compromise), in cui un cybercriminale si finge un collega, un fornitore, un dirigente d’azienda o addirittura un esponente delle Forze dell’Ordine che ha bisogno di ricevere informazioni personali di qualcuno. Una volta ottenute, potrà utilizzarle a suo vantaggio successivamente per progettare attacchi similari.

Riuscire a comprendere che gli attaccanti non sono realmente la persona che dicono di essere non è così facile, perché usano domini molto simili a quelli reali, detti anche lookalike domain, o addirittura credenziali reali acquisite in precedenza, ad esempio attraverso Phishing o Brute Force, o comprate sul Dark Web.

Social engineering, le cinque tecniche utilizzate

Riguardo le tecniche utilizzate diamo di seguito alcuni esempi di strategie che sfruttano il social engineering per carpire dati o indurre la vittima a compiere azioni non lecite, come bonifici verso conti sconosciuti.

  • phishing: è probabilmente la tipologia di attacco più diffuso e conosciuto, ma comprende anche le varianti di Smishing (via SMS) e Vishing (via telefono). Con questa tecnica il cyber criminale cerca di ottenere informazioni confidenziali.
  • intercettazione: è il punto di partenza utilizzato dai criminali per carpire le informazioni utili all’attacco: vengono intercettate chiamate, email, chat.
  • tailgating: con queste modalità il cyber criminale mira ad entrare in un luogo protetto facendo finta di essere un tecnico, di aver dimenticato il badge o le chiavi, oppure sfrutta un rapporto di fiducia con la vittima per farsi prestare il PC, il telefono, il tablet e comprometterlo.
  • baiting: si mette un’esca (una chiavetta USB o un CD, a volte anche con un portafoglio) con a bordo un malware vicino all’ingresso dell’azienda target e, sfruttando la curiosità della vittima, si aspetta che qualcuno la raccolga, la porti all’interno dell’azienda, bypassando le difese perimetrali, e guardi cosa contiene, eseguendo involontariamente il codice malevolo.
  • pretexting: viene creato un falso pretesto per indurre l’utente a fare qualcosa, impersonando qualcun altro, come ad esempio il CEO o ad esempio nelle campagne di Sextortion.

Come ci si difende

Elisabetta Dessi, Cyber Sales Specialist di Axitea

Secondo Elisabetta Dessi, Cyber Sales Specialist di Axitea, per difendersi è bene adottare delle contromisure sia comportamentali che tecnologiche, come controllare attentamente le comunicazioni e gli URL ai quali ci si connette, fare riferimento a tecnici specializzati in caso di dubbi, adottare sistemi di difesa aggiornati, non usare dispositivi di cui non si conosce l’origine e affidarsi ad aziende e personale specializzato che possa suggerire le soluzioni migliori per proteggersi ed educare il personale ad avere un comportamento corretto nell’uso delle tecnologie aziendali.

 

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche

css.php