L’ingegneria sociale è il termine utilizzato per una vasta gamma di attività dannose realizzate attraverso le interazioni umane. Utilizza la manipolazione psicologica per indurre gli utenti a commettere errori di sicurezza o a divulgare informazioni sensibili.
L’aspetto interessante è, per l’appunto, che il vettore malevolo (dal malware alla backdoor, dal trojan allo spyware) può essere lo stesso che viene utilizzato in un tradizionale attacco informatico; ciò che cambia è il fatto che viene iniettato nel perimetro cyber dell’azienda, anche ultra-protetto, attraverso una manipolazione delle risorse umane.
Gli attacchi di ingegneria sociale avvengono in uno o più passaggi. Un perpetratore indaga prima sulla vittima designata per raccogliere le informazioni di base necessarie, come potenziali punti di ingresso e protocolli di sicurezza deboli, necessari per procedere con l’attacco.
Quindi, l’attaccante si sposta per ottenere la fiducia della vittima e fornire stimoli per azioni successive che violano le pratiche di sicurezza, come rivelare informazioni sensibili o concedere l’accesso a risorse critiche.
Le seguenti sono le cinque forme più comuni di attacchi di ingegneria sociale digitale.
Baiting
Come suggerisce il nome, gli attacchi con l’esca usano una falsa promessa per stuzzicare l’avidità o la curiosità di una vittima. Attirano gli utenti in una trappola che ruba le loro informazioni personali o infligge malware ai loro sistemi.
Scareware
Lo scareware prevede che le vittime vengano bombardate da falsi allarmi e minacce fittizie. Gli utenti vengono ingannati pensando che il loro sistema sia infetto da malware, spingendoli a installare software che non ha alcun vantaggio reale (a parte l’autore) o che è il malware stesso. Lo scareware è anche indicato come software di inganno, software di scanner canaglia e frode.
Pretesto
Qui un aggressore ottiene informazioni attraverso una serie di bugie abilmente elaborate. La truffa viene spesso avviata da un autore che finge di aver bisogno di informazioni sensibili da una vittima per svolgere un compito critico. L’aggressore di solito inizia stabilendo fiducia con la propria vittima impersonando colleghi, funzionari di polizia, bancari e fiscali o altre persone che hanno l’autorità del diritto di sapere.
Phishing
Le truffe di phishing sono campagne di posta elettronica e messaggi di testo volte a creare un senso di urgenza, curiosità o paura nelle vittime. Quindi li spinge a rivelare informazioni sensibili, fare clic su collegamenti a siti Web dannosi o aprire allegati che contengono malware.
Spear phishing
Lo spear phishing richiede uno sforzo molto maggiore da parte dell’autore del reato e potrebbero essere necessarie settimane e mesi per riuscire. Sono molto più difficili da rilevare e hanno migliori tassi di successo se eseguiti con abilità.
Gli ingegneri sociali manipolano i sentimenti umani, come la curiosità o la paura, per realizzare schemi e attirare le vittime nelle loro trappole.
Pertanto, fai attenzione ogni volta che ti senti allarmato da un’e-mail, attratto da un’offerta visualizzata su un sito Web o quando ti imbatti in
Tradotto da: Sara Hermes – Reporter / Robert Kruger – Reporter
Fonte : Imper:Va -:-