Comprendere l’attuale panorama delle minacce di ingegneria sociale

55

Siamo entusiasti di riportare Transform 2022 di persona il 19 luglio e virtualmente dal 20 al 28 luglio. Unisciti ai leader dell’IA e dei dati per discussioni approfondite ed entusiasmanti opportunità di networking. Registrati oggi!

L’anello più debole della catena della sicurezza non sono i nostri processi o la nostra tecnologia: siamo noi. Da una parte c’è l’errore umano. Un gran numero di incidenti di sicurezza (40%, secondo stime prudenti) sono causati dal comportamento umano, come il clic su un collegamento di phishing. D’altra parte, c’è il ruolo dell’ingegneria sociale nell’innescare questo errore umano.

L’ingegneria sociale è un termine utilizzato per un’ampia gamma di attività dannose realizzate attraverso interazioni umane. Utilizza la manipolazione psicologica per sfruttare le nostre vulnerabilità emotive e indurre gli utenti a commettere errori di sicurezza o a divulgare informazioni sensibili. Spesso si tratta di opportunità urgenti e richieste urgenti per trasmettere un senso di panico nella vittima.

La tattica di ingegneria sociale più comune: il phishing

La forma più dominante di attacchi di ingegneria sociale sono gli attacchi di phishing. Il phishing è una forma di frode in cui un utente malintenzionato finge di essere una persona o un’azienda nota al bersaglio e invia loro un messaggio chiedendo l’accesso a un sistema sicuro nella speranza di sfruttare tale accesso a scopo di lucro. L’esempio più famoso di questo tipo di attacco è la truffa “419”, nota anche come truffa “Nigerian Prince”, che pretende di essere un messaggio di un principe nigeriano, che richiede il tuo aiuto per ottenere una grossa somma di denaro dal loro nazione. È una delle più antiche truffe in circolazione, risalente al 1800 quando era conosciuto come “Il prigioniero spagnolo”.

Mentre la versione moderna, la truffa “419”, ha colpito per la prima volta gli account di posta elettronica negli anni ’90, il mondo del phishing si è ampliato nel corso dei decenni per includere metodi come lo spam phishing, un attacco generalizzato rivolto a più utenti. Questo tipo di attacco “spray-and-pray” si basa sulla quantità piuttosto che sulla qualità, poiché deve solo ingannare una frazione degli utenti che ricevono il messaggio.

Spear-phishing

Al contrario, i messaggi di spear phishing sono attacchi mirati e personalizzati rivolti a un individuo specifico. Questi attacchi sono in genere progettati per sembrare provenire da qualcuno di cui l’utente si fida già, con l’obiettivo di indurre il bersaglio a fare clic su un collegamento dannoso nel messaggio. Una volta che ciò accade, il bersaglio rivela inconsapevolmente informazioni sensibili, installa programmi dannosi (malware) sulla propria rete o esegue la prima fase di una minaccia persistente avanzata (APT), per citare alcune delle possibili conseguenze.

Whale-phishing o caccia alle balene

La caccia alle balene è una forma di spear phishing rivolta a obiettivi di alto profilo e di alto valore come celebrità, dirigenti aziendali, membri del consiglio e funzionari governativi.

Pescatore di phishing

L’angler phishing è un termine più recente per gli attacchi tipicamente istigati dal bersaglio. L’attacco inizia con un cliente che si lamenta sui social media dei servizi di un’azienda o di un istituto finanziario. I criminali informatici trollano gli account di grandi aziende, cercando questo tipo di messaggi. Una volta trovato uno, inviano al cliente un messaggio di phishing utilizzando account di social media aziendali fasulli.

desiderando

Il Vishing, noto anche come phishing vocale, utilizza la tecnologia telefonica o VoIP (protocollo Voice over Internet). Questo tipo di attacco sta diventando sempre più popolare con casi in aumento di un incredibile 550% solo negli ultimi 12 mesi. Nel marzo 2022, il numero di attacchi vishing subiti dalle organizzazioni ha raggiunto il livello più alto mai registrato, superando il precedente record stabilito nel settembre 2021.

Le tattiche di vishing sono più comunemente usate contro gli anziani. Gli aggressori possono, ad esempio, affermare di essere un membro della famiglia che ha bisogno di un trasferimento di denaro immediato per uscire dai guai, o un ente di beneficenza che cerca donazioni dopo un disastro naturale.

Adescamento e scareware

Oltre alle numerose categorie e sottocategorie di phishing, esistono altre forme di ingegneria sociale come quella basata sulla pubblicità e fisica. Prendi, ad esempio, l’esca, per cui una falsa promessa come un annuncio online per un gioco gratuito o un software fortemente scontato viene utilizzata per indurre la vittima a rivelare informazioni personali e finanziarie sensibili o infettare il suo sistema con malware o ransomware.

Gli attacchi scareware, nel frattempo, utilizzano annunci pop-up per spaventare un utente facendogli credere che il suo sistema sia infetto da un virus informatico e che debba acquistare il software antivirus offerto per proteggersi. Invece, il software stesso è dannoso, infettando il sistema dell’utente con gli stessi virus che stavano cercando di prevenire.

Tailgating e spalla surf

Forme di attacchi fisici di ingegneria sociale, incluso il tailgating: un tentativo di ottenere l’accesso fisico non autorizzato a spazi protetti nei locali dell’azienda attraverso la coercizione o l’inganno. Le organizzazioni dovrebbero essere particolarmente sensibili alla possibilità che i dipendenti licenziati di recente tornino in ufficio utilizzando, ad esempio, una chiave magnetica ancora attiva.

Allo stesso modo, intercettare o “navigare a spalla” negli spazi pubblici è un modo straordinariamente semplice per accedere a informazioni sensibili.

In definitiva, con l’evolversi delle tecnologie, aumentano anche i metodi utilizzati dai criminali informatici per rubare denaro, danneggiare i dati e danneggiare la reputazione. Le aziende possono avere tutti gli strumenti del mondo a loro disposizione, ma se la causa principale è guidata da azioni umane che non sono protette o controllate, rimangono vulnerabili a una violazione. È quindi di fondamentale importanza per le aziende implementare un approccio a più livelli alla propria strategia di sicurezza informatica, incorporando un mix di formazione del personale, cultura aziendale positiva e test di penetrazione regolari che utilizzino tecniche di ingegneria sociale.

Ian McShane è vicepresidente della strategia di Arctic Wolf.

DataDecisionMakers

Benvenuto nella comunità VentureBeat!

DataDecisionMakers è il luogo in cui gli esperti, compresi i tecnici che lavorano sui dati, possono condividere approfondimenti e innovazioni relative ai dati.

Se vuoi leggere idee all’avanguardia e informazioni aggiornate, best practice e il futuro dei dati e della tecnologia dei dati, unisciti a noi su DataDecisionMakers.

Potresti anche considerare di contribuire con un tuo articolo!

Leggi di più da DataDecisionMakers