Axitea » Approfondimenti » Social Engineering: il nuovo Cyber nemico

Vuoi rimanere aggiornato con le ultime notizie? Iscriviti alla nostra newsletter

Autore

Redazione Axitea

Si parla tanto di attacchi Ransomware, Cryptolocker, Phishing, ma forse non si parla abbastanza dei cosiddetti Ingegneri Sociali che sono dei veri e propri maestri dell’inganno abili ad adescare e truffare il malcapitato che entra in contatto con loro.

Il Social Engineering nel Cyber Crime risulta ancora più subdolo di quello utilizzato per attività pubblicitarie, di ricerca o marketing, perché punta a mescolare la capacità di trarre in inganno la vittima grazie ad abilità cognitive, con i mezzi informatici a disposizione, soprattutto i sistemi Social e di messaggistica.

L’attacco è caratterizzato da fasi ben definite:

  • Raccolta informazioni: si raccolgono più informazioni possibili sul target da attaccare, spesso anche quelle che possono sembrare inutili, perché la conversazione abbia un tono familiare e si definisca la strategia di attacco.
  • Creazione della relazione: si cerca di guadagnare la fiducia della vittima, creando una relazione diretta con lui o attraverso sue conoscenze.
  • Manipolazione: si sferra l’attacco sfruttando il fatto che il target, fidandosi, ha abbassato le difese ed è psicologicamente manipolabile.
  • Esecuzione: il Social Engineer prende quello che serve e consolida il suo attacco. Se è abbastanza bravo cancella anche le tracce di quanto avvenuto.

Un esempio molto diffuso in questo periodo di attacchi che sfruttano il Social Engineering sono i BEC (Business Email Compromise), in cui un cyber criminale si spaccia per qualcuno con cui fai affari, un fornitore, un dirigente d’azienda o addirittura un esponente delle Forze dell’Ordine che ha bisogno di ricevere informazioni personali di qualcuno per poi utilizzarli in attacchi similari successivamente.

Riuscire a capire che gli attaccanti non sono realmente la persona che impersonano non è così facile, perché usano domini molto simili a quelli reali, detti anche lookalike domain, o addirittura credenziali reali acquisite tramite attacchi precedenti, ad esempio Phishing o Brute Force, o comprate nel Dark Web.

Quali sono le tecniche utilizzate dai Social Engineer?

Di seguito alcuni esempi di attachi che sfruttano l’ingegneria sociale per carpire dati o indurre la vittima a compiere azioni non lecite, come bonifici verso conti non conosciuti.

  • Phishing: è probabilmente l’attacco più diffuso e conosciuto, ma comprende anche le varianti di Smishing (via SMS) e Vishing (via telefono). Con questa tecnica il cyber criminale cerca di ottenere informazioni confidenziali con dei pretesti e l’uso di strumenti tecnologici e tramite Social Engineering.
  • Intercettazione: è il punto di partenza utilizzato dagli Ingegneri Sociali per carpire le informazioni utili all’attacco: vengono intercettate chiamate, chiacchierate, chat.
  • Tailgating: con queste modalità il cyber criminale mira ad entrare in un luogo protetto facendo finta di essere un tecnico o di aver dimenticato il badge o le chiavi, oppure sfrutta un rapporto di fiducia con la vittima per farsi prestare il PC, il telefono, il tablet e comprometterlo.
  • Baiting: si mette un’esca (una chiavetta USB o un CD, a volte anche con un portafoglio) con a bordo un malware vicino all’ingresso dell’azienda target e, sfruttando la curiosità innata di noi umani, si aspetta che qualcuno la raccolga, la porti all’interno dell’azienda, bypassando le difese perimetrali, e guardi cosa contiene, eseguendo involontariamente il codice malevolo.
  • Pretexting: viene creato un falso pretesto per indurre l’utente a fare qualcosa, impersonando qualcun altro, come ad esempio il CEO o ad esempio nelle campagne di Sextortion.

Per difendersi è bene adottare delle best practices sia comportamentali che tecnologiche, come controllare attentamente le comunicazioni e gli URL ai quali ci si connette, fare riferimento a tecnici specializzati in caso di dubbi, adottare sistemi di difesa adatti e aggiornati, non usare dispositivi di cui non si conosce l’origine e affidarsi ad aziende e personale specializzato che possa suggerire le soluzioni migliori per proteggersi ed educare il personale ad avere un comportamento corretto nell’uso delle tecnologie aziendali.

Iscriviti alla nostra newsletter per rimanere sempre aggiornato su Axitea e sul mondo della sicurezza!

Scroll to Top
Torna su