domenica 16 gennaio 2022

Ingegneria sociale - social engineering

 

L'ingegneria sociale (dall'inglese social engineering), nel campo della sicurezza informatica, è lo studio del comportamento di una persona al fine di carpire informazioni utili. Essa è utilizzata soprattutto dagli hacker (più in particolare dai cracker) per scoprire password, violare sistemi informatici e ottenere dati personali importanti di un individuo.

 content/it-it/images/repository/isc/2020/how-social-engineering-attacks-work.jpg

Tipi di attacco di ingegneria sociale

fonte: https://www.kaspersky.it/resource-center/threats/how-to-avoid-social-engineering-attacks

Gli attacchi possono essere molto diversi. È importante capire la definizione di ingegneria sociale, oltre al modo in cui opera. Una volta chiaro il suo modus operandi, sarà molto più facile individuarne gli attacchi.

Baiting

Il baiting (letteralmente "lanciare un'esca") si basa sull'uso di una trappola, come una chiavetta USB piena di malware. Una persona curiosa di vedere cosa c'è sulla chiavetta, la inserisce nel computer infettando il sistema. Esiste addirittura una chiave USB capace di distruggere i computer caricandosi con energia dell'unità USB e poi rilasciandola come feroce scarica di potenza sul dispositivo in cui è stata inserita. (Questa chiavetta USB costa solo 54 $).

Pretexting

Questo attacco, come suggerisce il nome, sfrutta un pretesto per ottenere l'attenzione e convincere la vittima a fornire le informazioni. Ad esempio, un sondaggio su Internet potrebbe iniziare con domande che sembrano innocenti, per poi giungere a chiedere informazioni bancarie. Oppurè, una persona che si presenta alla vostra porta sostenendo di stare conducendo una verifica interna di sistema, ma in realtà è un truffatore intenzionato a rubare le vostre informazioni più preziose.

Phishing

Gli attacchi phishing sfruttano un'e-mail o un messaggio di testo, apparentemente provenienti da una fonte fidata, che richiedono informazioni. Un classico sono le mail che sembrano provenire da una banca, che chiede ai propri clienti di "confermare" le informazioni di sicurezza, dirottandoli così su un falso sito dove le credenziali di accesso verranno registrate. Lo "spear phishing" prende di mira una singola persona all'interno di una azienda, inviando una mail che pare provenire da un dirigente di alto livello, che richiede informazioni confidenziali.

Come evitare gli attacchi di ingegneria sociale

Gli attacchi di ingegneria sociale sono particolarmente difficili da contrastare perché sono appositamente ideati per far leva sui tratti naturali delle persone: la curiosità, il rispetto per l'autorità, il desiderio di aiutare un amico. Ma abbiamo alcuni consigli per riuscire a individuare gli attacchi di ingegneria sociale...

Verificate la fonte

Prendetevi un momento per riflettere sul mittente della comunicazione; non fidatevi ciecamente. Una chiavetta USB appare sulla vostra scrivania e non sapete cosa ci sia dentro? Una telefonata piove dal cielo informandovi che avete ereditato 5 milioni di euro? Un'e-mail dall'amministratore delegato chiede una montagna di informazioni a un singolo dipendente? Tutti questi scenari suonano altamente improbabili e andrebbero gestiti di conseguenza.

Verificare la fonte non è difficile. Nel caso di una mail, ad esempio, basta controllare che l'intestazione sia la stessa delle mail precedenti dallo stesso mittente. Controllate dove conducono i link, gli hyperlink fasulli sono facili da individuare semplicemente muovendo il cursore del mouse sopra di essi (ma non fate clic!) Controllate la grammatica: le banche hanno reparti interi dedicati alla stesura delle comunicazioni con i clienti, un'e-mail che contiene errori evidenti è probabilmente falsa.

In caso di dubbio, andate sul sito ufficiale e mettetevi in contatto con un dipendente che potrà confermarvi se l'e-mail/il messaggio sia vero o falso.

Per ulteriori informazioni leggete qui:

https://www.kaspersky.it/resource-center/threats/how-to-avoid-social-engineering-attacks

Nessun commento:

Posta un commento