Che cos’è, come si manifesta ed alcuni consigli pratici per difendersi
Il Social Engineering è quell’attività volta a manipolare le persone per fare in modo che rivelino informazioni riservate. I truffatori possono impersonare qualcun altro o rubare l’identità di altre persone per creare un falso senso di fiducia nelle loro vittime.
Esso rappresenta spesso il metodo principale di infiltrazione nell’ambito di un più ampio disegno criminale. Ingannare le persone, infatti, è di solito più facile che trovare una vulnerabilità nelle misure di sicurezza dell’Azienda target. Il Social Engineering aiuta ad acquisire password di livello amministrativo o altri dati altamente classificati, a installare software dannosi nei server aziendali e altro ancora.
Si manifesta attraverso forme diverse a seconda che sia eseguito di persona o attraverso attività online.
Sfrutta sempre l’interazione umana come punto debole ma ci sono alcune differenze tra i principali esempi di Social Engineering:
Baiting
Il baiting si basa sull’indurre la vittima a cadere in trappola da sola a causa della sua curiosità o dell’avidità. Ad esempio, il truffatore può condurre il bersaglio dell’attacco a un sito Web dannoso installando malware sul proprio computer. Un esempio comune di baiting riguarda gli annunci che portano a siti dannosi, scaricare link che sono malware mascherati, ecc.
In parole povere, l’esca è come lanciare un amo in mare aperto e sperare che qualcuno abbocchi.
Phishing
Le truffe di phishing sono la forma più popolare di Social Engineering e utilizzano campagne di posta elettronica o messaggi dall’aspetto genuino che invocano un senso di urgenza o paura nelle vittime. Ciò induce gli utenti a fare clic su link dannosi, inviare denaro ai truffatori o aprire allegati con script malevoli.
Un tipico esempio potrebbe essere ad esempio una mail dalla banca che chiede di accedere alla nuova versione del loro sito e che richiede una modifica immediata della password. Una volta digitate le credenziali di accesso, i dati finiscono nelle mani degli aggressori e possono essere utilizzati per cancellare il conto bancario reale o ottenere ulteriori informazioni dall’assistenza clienti.
Email hacking e spam
Il principio alla base di questo tipo di attacco è duplice. Prima di tutto, l’utente malintenzionato acquisisce un indirizzo mail e le sue credenziali di accesso. Ciò accade spesso a causa di massicce violazioni dei dati. Il truffatore accede ed invia quindi delle mail ai contatti presenti fingendo di essere in difficoltà e richiedendo di aprire un file o inviare del denaro. I destinatari, vedendo che un amico sta avendo dei problemi, potrebbero cadere nella trappola.
Vishing
Il Vishing è una forma di Phishing che utilizza sistemi interattivi di risposta vocale per ricreare una copia perfettamente legittima di un sistema di riconoscimento vocale di alcune istituzioni. Alla vittima viene solitamente richiesto di chiamarlo e verificare alcune informazioni.
Spear phishing
Lo spear phishing è un attacco di Social Engineering fortemente mirato che prende di mira particolari individui o aziende. Questo tipo di attacco camuffa un messaggio di posta elettronica per apparire il più vicino possibile a quello reale utilizzando informazioni come l’esatta posizione lavorativa della vittima, le funzioni lavorative, la routine quotidiana, ecc. Pianificare questo tipo di attacco potrebbe richiedere settimane o mesi per essere eseguito con successo ma, se fatto in maniera adeguata, può causare gravi danni. Un messaggio di spear phishing potrebbe essere formulato esattamente come molte altre richieste e persino inviato attraverso canali comuni, ingannando così la vittima sulla sua autenticità.
Tailgating
Il Tailgating sfrutta delle situazioni reali sul posto di lavoro in modo tale da permettere ai truffatori di ottenere l’accesso ad aree non autorizzate, semplicemente seguendo qualcuno che ha accesso regolarmente. Ad esempio, per gentilezza, la maggior parte delle persone terrà la porta aperta o addirittura la aprirà, credendo alle parole di un aggressore il quale afferma di aver perso il proprio documento d’identità o la carta di accesso. Ci sono molte realtà sui luoghi di lavoro che un esperto di Social Engineering potrebbe utilizzare a proprio vantaggio.
Alcuni consigli pratici per difendersi
Pensare prima di agire. Gli aggressori creano un senso di urgenza perché vogliono che le loro vittime prendano decisioni avventate. E’ necessario sempre fermarsi e verificare. Se un amico sta improvvisamente chiedendo denaro, è bene chiamarlo al telefono, verificando se ha davvero inviato il messaggio.
Verificare la legittimità del messaggio. Se è stata ricevuta una mail e qualcosa al riguardo sembra strano, verificare i nomi di dominio che potrebbero terminare in .co o .con anziché in .com. Errori di battitura e/o altri errori di ortografia sono altri chiari sintomi che si tratta di tentativi di truffa.
Non fidarsi dei mittenti che non si conoscono. Se non si aspetta nulla, non aprire i file ricevuti, soprattutto se sono contrassegnati da flag urgenti.
Se non si è sicuri che un sito Web sia autentico o si sospetta che sia un tentativo di phishing, verificare i certificati CA, soprattutto se ci si sta connettendo a siti bancari.
Che cos’è ed alcuni consigli pratici per riconoscerlo e difendersi
Il Phishing è una particolare tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti.
Si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli.
Attraverso una e-mail, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione (web-mail, e-commerce ecc.). Il messaggio invita, riferendo problemi di registrazione o di altra natura, a fornire i propri riservati dati di accesso al servizio.
Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato artatamente allestito identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.
Con la stessa finalità di carpire dati di accesso a servizi finanziari on-line o altri che richiedono una registrazione, un pericolo più subdolo arriva dall’utilizzo dei virus informatici. Le modalità di infezione sono diverse. La più diffusa è sempre il classico allegato al messaggio di posta elettronica; oltre i file con estensione “.exe”, i virus si diffondono celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato “.doc” “.pdf” . Nel caso si tratti di un c.d. “financial malware” o di un “trojan banking”, il virus si attiverà per carpire dati finanziari.
Altri tipi di virus si attivano allorquando sulla tastiera vengono inseriti “userid e password”, c.d. “keylogging”, in questo caso i criminali entrano in possesso delle chiavi di accesso agli account di posta elettronica o di e-commerce.
Seguono alcuni consigli pratici per evitare di incorrere in frodi:
• Gli Istituti di Credito o le Società che emettono Carte di Credito non chiedono mai la conferma di dati personali tramite e-mail ma contattano i propri clienti direttamente per tutte le operazioni riservate. Diffidare delle e-mail che, tramite un link in esse contenute, rimandano ad un sito web ove confermare i propri dati;
• Nel caso si riceva una e-mail, presumibilmente da parte della banca, che faccia richiesta dei riservati dati personali, è necessario recarsi personalmente presso l’istituto di credito;
• Se si reputa che l’e-mail di richiesta informazione sia autentica, diffidare comunque del link presente in questa, collegarsi al sito della banca che l’ha inviata digitando l’indirizzo internet noto direttamente nel browser;
• Verificare sempre che nei siti web dove bisogna immettere dati (account, password, numero di carta di credito, altri dati personali), la trasmissione degli stessi avvenga con protocollo cifrato;
• Controllare, durante la navigazione in Internet, che l’indirizzo URL sia quello del sito che si vuole visitare, e non un sito “copia”, creato per carpire dati;
• Installare sul personal computer un filtro anti-spam;
• Controllare che, posizionando il puntatore del mouse sul link presente nell’e-mail, in basso a sinistra del monitor del computer, appaia l´ indirizzo Internet del sito indicato, e non uno diverso.
Fonte: Polizia di Stato
Qualche consiglio utile per difendersi in caso di attacco
Il ransomware è una forma complessa di malware che blocca l’accesso di una vittima ai propri dati, in cambio di un riscatto di denaro.
Esistono due tipi comuni di ransomware:
Un tipo è progettato per bloccare l’accesso ai file ed utilizza sofisticati algoritmi di crittografia per bloccare l’accesso a questi dati importanti, richiedendo il pagamento di una chiave che decrittografa gli stessi.
L’altro tipo è un “ransomware di armadietti” che funziona bloccando completamente una vittima fuori dal suo sistema operativo. In questo caso, è impossibile accedere al desktop, alle applicazioni o a qualsiasi file. Sebbene i file sul computer non siano crittografati, è comunque richiesto un riscatto per sbloccare il sistema infetto.
Sebbene siano esistite molte altre forme di malware e strumenti di crittografia, il ransomware ha alcuni componenti unici che lo rendono diverso da altri malware.
Sebbene il ransomware sia una forma potente ed efficace di crimine informatico, ci sono misure altrettanto pratiche ed efficaci che possono essere adottate per proteggersi da un potenziale attacco.
Seguono alcuni suggerimenti rapidi per essere protetti dai ransomware: