Che cosa è l' Ingegneria sociale? 11 esempi a cui prestare attenzione 

Sommario

Ingegneria sociale

Che cos'è esattamente l'ingegneria sociale, comunque?

L'ingegneria sociale si riferisce all'atto di manipolare le persone per estrarre le loro informazioni riservate. Il tipo di informazioni ricercate dai criminali può variare. Di solito, le persone vengono prese di mira per le loro coordinate bancarie o le password dei loro account. I criminali tentano anche di accedere al computer della vittima per installare software dannoso. Questo software li aiuta quindi a estrarre tutte le informazioni di cui potrebbero aver bisogno.   

I criminali usano tattiche di ingegneria sociale perché spesso è facile sfruttare una persona guadagnandosi la sua fiducia e convincerla a rinunciare ai propri dati personali. È un modo più conveniente che hackerare direttamente il computer di qualcuno a sua insaputa.

Esempi di ingegneria sociale

Sarai in grado di proteggerti meglio essendo informato sui diversi modi in cui viene svolta l'ingegneria sociale. 

1. Pretesto

Il pretesto viene utilizzato quando il criminale desidera accedere a informazioni sensibili dalla vittima per eseguire un'attività critica. L'attaccante cerca di ottenere le informazioni attraverso diverse bugie accuratamente predisposte.  

Il criminale inizia instaurando un rapporto di fiducia con la vittima. Ciò può essere fatto impersonando i loro amici, colleghi, funzionari di banca, polizia o altre autorità che potrebbero richiedere tali informazioni sensibili. L'attaccante pone loro una serie di domande con il pretesto di confermare la loro identità e raccoglie dati personali in questo processo.  

Questo metodo viene utilizzato per estrarre tutti i tipi di dettagli personali e ufficiali da una persona. Tali informazioni possono includere indirizzi personali, numeri di previdenza sociale, numeri di telefono, tabulati telefonici, coordinate bancarie, date di ferie del personale, informazioni sulla sicurezza relative alle attività commerciali e così via.

pretesto ingegneria sociale

2. Furto di diversione

Questo è un tipo di truffa generalmente rivolto a corrieri e compagnie di trasporto. Il criminale cerca di ingannare l'azienda bersaglio costringendola a consegnare il pacco in un luogo di consegna diverso da quello originariamente previsto. Questa tecnica viene utilizzata per rubare beni preziosi che vengono consegnati tramite posta.  

Questa truffa può essere eseguita sia offline che online. Il personale che trasporta i pacchi può essere avvicinato e convinto a consegnare la consegna in un luogo diverso. Gli aggressori potrebbero anche ottenere l'accesso al sistema di consegna online. Possono quindi intercettare il programma di consegna e apportarvi modifiche.

3. Phishing

Il phishing è una delle forme più popolari di ingegneria sociale. Le truffe di phishing coinvolgono e-mail e messaggi di testo che potrebbero creare un senso di curiosità, paura o urgenza nelle vittime. Il testo o l'e-mail li spinge a fare clic su collegamenti che porterebbero a siti Web o allegati dannosi che installerebbero malware sui loro dispositivi.  

Ad esempio, gli utenti di un servizio online potrebbero ricevere un messaggio di posta elettronica in cui si afferma che è stata apportata una modifica ai criteri che richiede loro di modificare immediatamente le proprie password. La posta conterrà un collegamento a un sito Web illegale identico al sito Web originale. L'utente inserirà quindi le credenziali del proprio account in quel sito Web, considerandolo legittimo. Dopo aver inviato i loro dettagli, le informazioni saranno accessibili al criminale.

phishing con carta di credito

4. Spear phishing

Questo è un tipo di truffa di phishing più mirata a un particolare individuo o a un'organizzazione. L'aggressore personalizza i propri messaggi in base alle posizioni lavorative, alle caratteristiche e ai contratti relativi alla vittima, in modo che possano sembrare più genuini. Lo spear phishing richiede uno sforzo maggiore da parte del criminale e può richiedere molto più tempo rispetto al normale phishing. Tuttavia, sono più difficili da identificare e hanno una migliore percentuale di successo.  

 

Ad esempio, un utente malintenzionato che tenta lo spear phishing su un'organizzazione invierà un'e-mail a un dipendente che si spaccia per il consulente IT dell'azienda. L'e-mail verrà inquadrata in un modo esattamente simile a come lo fa il consulente. Sembrerà abbastanza autentico da ingannare il destinatario. L'e-mail richiederà al dipendente di cambiare la propria password fornendogli un collegamento a una pagina Web dannosa che registrerà le sue informazioni e le invierà all'aggressore.

5. Foratura dell'acqua

La truffa del water-holing si avvale di siti Web affidabili che vengono regolarmente visitati da molte persone. Il criminale raccoglierà informazioni su un gruppo mirato di persone per determinare quali siti Web visitano frequentemente. Questi siti Web verranno quindi testati per le vulnerabilità. Con il tempo, uno o più membri di questo gruppo verranno infettati. L'attaccante sarà quindi in grado di accedere al sistema protetto di questi utenti infetti.  

Il nome deriva dall'analogia di come gli animali bevono acqua riunendosi nei loro luoghi fidati quando hanno sete. Non ci pensano due volte a prendere precauzioni. I predatori ne sono consapevoli, quindi aspettano nelle vicinanze, pronti ad attaccarli quando la guardia è abbassata. Il waterholeing nel panorama digitale può essere utilizzato per effettuare contemporaneamente alcuni degli attacchi più devastanti a un gruppo di utenti vulnerabili.  

6. Esca

Come si evince dal nome, l'adescamento comporta l'uso di una falsa promessa per innescare la curiosità o l'avidità della vittima. La vittima viene attirata in una trappola digitale che aiuterà il criminale a rubare i suoi dati personali o a installare malware nei suoi sistemi.  

L'esca può avvenire tramite mezzi sia online che offline. Ad esempio offline, il criminale potrebbe lasciare l'esca sotto forma di un'unità flash che è stata infettata da malware in punti ben visibili. Questo potrebbe essere l'ascensore, il bagno, il parcheggio, ecc., dell'azienda presa di mira. L'unità flash avrà un aspetto autentico, che farà sì che la vittima la prenda e la inserisca nel proprio computer di lavoro o di casa. L'unità flash esporterà quindi automaticamente il malware nel sistema. 

Le forme online di adescamento potrebbero essere sotto forma di annunci pubblicitari attraenti e allettanti che incoraggerebbero le vittime a fare clic su di esso. Il collegamento può scaricare programmi dannosi, che poi infetteranno il loro computer con malware.  

pasturazione

7. Quid pro quo

Un attacco quid pro quo significa un attacco "qualcosa per qualcosa". È una variazione della tecnica di pasturazione. Invece di adescare le vittime con la promessa di un vantaggio, un attacco quid pro quo promette un servizio se è stata eseguita un'azione specifica. L'aggressore offre un falso vantaggio alla vittima in cambio di accesso o informazioni.  

La forma più comune di questo attacco è quando un criminale impersona uno staff IT di un'azienda. Il criminale contatta quindi i dipendenti dell'azienda e offre loro un nuovo software o un aggiornamento del sistema. Al dipendente verrà quindi chiesto di disabilitare il proprio software antivirus o di installare software dannoso se desidera l'aggiornamento. 

8. Tailgating

Un attacco di tailgating è anche chiamato piggybacking. Coinvolge il criminale che cerca di entrare in un luogo limitato che non dispone di adeguate misure di autenticazione. Il criminale può accedere entrando dietro un'altra persona che è stata autorizzata ad entrare nell'area.  

Ad esempio, il criminale può impersonare un fattorino che ha le mani piene di pacchi. Aspetta che un dipendente autorizzato entri dalla porta. Il ragazzo delle consegne impostore chiede quindi al dipendente di tenergli la porta, permettendogli così di accedere senza alcuna autorizzazione.

9. Trappola di miele

Questo trucco coinvolge il criminale che finge di essere una persona attraente online. La persona fa amicizia con i suoi obiettivi e finge una relazione online con loro. Il criminale approfitta quindi di questa relazione per estrarre i dati personali delle vittime, prendere in prestito denaro da loro o fargli installare malware nei loro computer.  

Il nome "trappola al miele" deriva dalle vecchie tattiche di spionaggio in cui le donne venivano usate per prendere di mira gli uomini.

10. Ladro

Il software canaglia potrebbe apparire sotto forma di anti-malware canaglia, scanner canaglia, scareware canaglia, anti-spyware e così via. Questo tipo di malware per computer induce gli utenti a pagare per un software simulato o falso che ha promesso di rimuovere il malware. Il software di sicurezza non autorizzato è diventato una preoccupazione crescente negli ultimi anni. Un utente ignaro potrebbe facilmente cadere preda di tale software, che è disponibile in abbondanza.

11. Malware

L'obiettivo di un attacco malware è convincere la vittima a installare malware nei propri sistemi. L'aggressore manipola le emozioni umane per indurre la vittima a consentire al malware di entrare nei propri computer. Questa tecnica prevede l'uso di messaggi istantanei, messaggi di testo, social media, e-mail, ecc., per inviare messaggi di phishing. Questi messaggi inducono la vittima a fare clic su un collegamento che aprirà un sito Web che contiene il malware.  

Le tattiche intimidatorie sono spesso utilizzate per i messaggi. Potrebbero dire che c'è qualcosa che non va nel tuo account e che devi immediatamente fare clic sul link fornito per accedere al tuo account. Il collegamento ti farà quindi scaricare un file attraverso il quale il malware verrà installato sul tuo computer.

il malware

Stai attento, stai al sicuro

Tenersi informati è il primo passo per proteggersi da attacchi di ingegneria sociale. Un consiglio di base è ignorare qualsiasi messaggio che richieda la tua password o informazioni finanziarie. Puoi utilizzare i filtri antispam forniti con i tuoi servizi di posta elettronica per contrassegnare tali e-mail. Ottenere un software antivirus affidabile aiuterà anche a proteggere ulteriormente il tuo sistema.