Proteggere la tua privacy richiede molto più che gestire un distribuzione Linux orientata alla privacy e usando a gestore di password. Molti esperti di sicurezza ritengono che l’anello più debole di qualsiasi sistema sia l’essere umano che lo gestisce.
In questo articolo impareremo cos’è l’ingegneria sociale e perché rappresenta una tale minaccia. Poi esamineremo alcuni degli attacchi di ingegneria sociale che i malintenzionati possono usare contro di te, sia online che offline. Concludiamo con alcuni suggerimenti per proteggersi dagli attacchi di ingegneria sociale.
Che cos'è il social engineering?
Merriam-Webster definisce l'ingegneria sociale come "gestione degli esseri umani in funzione del loro posto e della loro funzione nella società”. Sembra un po' inquietante di per sé. Ma negli ultimi anni la frase ha assunto un significato più manipolativo e sinistro.
Oggi ingegneria sociale significa qualcosa come “manipolare le persone per fornirti informazioni riservate. Quando parliamo di ingegneria sociale qui, questo è il senso che usiamo.
Perché l'ingegneria sociale è una tale minaccia
I criminali utilizzano l'ingegneria sociale perché è più semplice che hackerare un sistema informatico. Indurre qualcuno a dirti qualcosa che non dovrebbe è relativamente facile. La maggior parte delle persone si fida degli altri.
Non importa quanto sia sicuro il tuo sistema informatico. O dove hai nascosto i tuoi documenti personali. O quante guardie ci sono davanti ai vostri uffici. Gli attacchi di ingegneria sociale eludono tutto questo.
Il famoso ex hacker Kevin Mitnick utilizzava spesso attacchi di ingegneria sociale per entrare in sistemi informatici “sicuri”.
“Chi pensa che solo i prodotti di sicurezza offrano la vera sicurezza si accontenta dell’illusione della sicurezza.” - Kevin D. Mitnick, L'arte dell'inganno: controllare l'elemento umano della sicurezza
I criminali utilizzano attacchi di ingegneria sociale, sia online che offline. Ora esamineremo alcuni dei tipi di attacchi più comuni e cosa puoi fare per difenderti da essi.
Cominciamo con alcuni degli attacchi di ingegneria sociale online tanto amati dagli hacker.
“Un hacker è qualcuno che utilizza una combinazione di alta tecnologia strumenti informatici e ingegneria sociale per ottenere l’accesso illecito ai dati di qualcun altro”. - John McAfee
Alcuni attacchi di ingegneria sociale online
Ecco alcuni degli attacchi di ingegneria sociale online più comuni:
- Phishing
- Spear Phishing
- pasturazione
Phishing
Secondo il Sito Web del Dipartimento della sicurezza nazionale, un attacco di phishing "utilizza e-mail o siti Web dannosi per richiedere informazioni personali fingendosi un'organizzazione affidabile."
Hai visto questo tipo di attacco. Riceviamo tutti email da organizzazioni apparentemente ufficiali che affermano che c'è un problema con il nostro account o che devono verificare i dati della nostra carta di credito.
L'obiettivo è farti fare clic sul collegamento contenuto nell'e-mail. Questo collegamento ti porterà a un sito Web dall'aspetto legittimo, ma fasullo, per l'organizzazione. Il sito Web verrà configurato per indurti con l'inganno a inserire i dati della tua carta di credito, il numero di previdenza sociale o qualunque cosa i truffatori vogliano rubare.
Spear Phishing
Spear phishing è un tipo di attacco di phishing in cui l'aggressore personalizza l'e-mail di phishing utilizzando informazioni personali sulla vittima designata. Nel dicembre 2018, il Agenzia delle Entrate degli Stati Uniti (IRS) pubblicato un avvertimento su diverse truffe di spear phishing.
Queste truffe avevano lo scopo di raccogliere le informazioni che accadono Modulo IRS W-2. L’obiettivo di queste truffe erano le piccole imprese. I malintenzionati utilizzerebbero le informazioni per aprire conti di carte di credito, presentare dichiarazioni dei redditi fraudolente, aprire linee di credito e così via.
Gli attacchi di spear phishing si basano in larga misura sugli attacchi Pretexting. Tratteremo gli attacchi tramite pretesto nella sezione successiva.
pasturazione
pasturazione gli attacchi sono in qualche modo simili agli attacchi di phishing. La differenza è che gli attacchi di adescamento offrono al bersaglio qualcosa che desidera invece di risolvere un problema. In questo tipo di attacchi potresti ricevere musica gratuita, copie di nuovi film o qualsiasi altro tipo di premio. Per ottenere il premio, ti verrà richiesto di inserire qualunque tipo di informazione personale sia ricercata dal truffatore.
Gli attacchi di tipo esca possono avvenire anche offline. Uno di questi attacchi implica la partenza USB stick in giro da qualche parte i dipendenti di un'azienda presa di mira potrebbero trovarli. Ci sono buone probabilità che qualcuno ne prenda uno e lo colleghi al proprio computer, lasciando libero il software dannoso in esso contenuto all'interno dell'organizzazione.
Alcuni attacchi di ingegneria sociale offline
Ecco alcuni tipi comuni di attacchi di ingegneria sociale offline:
- pretexting
- Tailgating / Piggybacking
- Vishing (phishing vocale)
pretexting
pretexting utilizza una qualche forma di menzogna per indurre qualcuno a fornire informazioni che non dovrebbe condividere. Gli attacchi con pretesto possono essere eseguiti sia online che offline. Vengono spesso utilizzati per ottenere le informazioni personali necessarie per impostare attacchi di Spear Phishing.
Un esempio offline potrebbe essere qualcuno che ti chiama, fingendo di provenire dallo studio di un avvocato. Hai appena ereditato un sacco di soldi da un lontano parente. Tutto quello che devi fare è fornire alcune informazioni per dimostrare la tua identità e l'avvocato ti trasferirà il denaro. IL pretesto poiché la chiamata è l'eredità fasulla.
Tailgating / Piggybacking
tailgating di solito comporta il passaggio attraverso una sorta di sistema di sicurezza elettronico utilizzando l’accesso di qualcun altro. Qualcuno che ti segue da vicino quando passi i controlli di sicurezza elettronici potrebbe non essere affatto un tuo collega. Invece, potrebbero essere qualcuno che ti ostacola l’accesso per andare in un posto a cui non appartiene.
Vishing (phishing vocale)
Vishing, o Phishing vocale, è l'equivalente offline di un attacco di phishing. Esistono diverse versioni di questo attacco, ma tutte utilizzano il sistema telefonico. Il loro obiettivo è indurre la vittima a rivelare il numero di una carta di credito o altre informazioni personali in risposta a una telefonata apparentemente ufficiale.
Queste truffe di solito usano VoIP (Voice over IP) per simulare il sistema telefonico automatizzato che potrebbe utilizzare una vera azienda. I sistemi telefonici erano considerati sicuri e affidabili, rendendo le persone più vulnerabili alle truffe Vishing.
Come difendersi dagli attacchi di ingegneria sociale ONLINE
Abbiamo esaminato alcuni degli attacchi di ingegneria sociale online più comuni in uso oggi. Ma cosa puoi fare per proteggerti da loro?
Ecco alcune pratiche che ridurranno le possibilità di essere truffati:
- Non aprire inaspettatamente allegati e-mail. Se ricevi un allegato inaspettato, è molto probabile che sia dannoso. Contattare il reparto IT dell'azienda (se al lavoro). Se non sei al lavoro, contatta il mittente (se lo conosci). Scopri perché l'hai ricevuto prima di aprire qualsiasi allegato inaspettato.
- Cerca i siti web da solo. Ricorda che gli attacchi di tipo phishing di solito ti indirizzano a un sito Web falso. Puoi evitare la loro trappola cercando tu stesso l'indirizzo del sito web invece di fare clic su un collegamento in un messaggio di posta elettronica o in un allegato. Se ti trovi su un sito web di cui non sei sicuro, controlla il URL (l'indirizzo) che appare nella casella dell'indirizzo del browser. Sebbene sia possibile creare un duplicato esatto di un sito Web legittimo, non possono esistere due siti con lo stesso URL. Cercare l'azienda in un motore di ricerca dovrebbe portarti al sito reale.
- Non rivelare mai la tua password a nessuno online. Nessuna organizzazione legittima chiederà a un utente la propria password.
- Usa una VPN per una maggiore privacy durante la navigazione sul web.
Come difendersi dagli attacchi di ingegneria sociale OFFLINE
Abbiamo anche esaminato i comuni attacchi di ingegneria sociale offline. Ecco alcune cose che puoi fare per proteggerti dagli attacchi offline:
- Non fornire informazioni personali ai chiamanti. Questo potrebbe essere stato sicuro molti anni fa, ma non lo è ora. Se qualcuno ti chiama e dice che ha bisogno che tu confermi alcune informazioni personali, riattacca subito!
- Non lasciare che nessuno ti pedina per oltrepassare i controlli di sicurezza. È noto che criminali abituali o ex dipendenti utilizzano questa tecnica per tornare sul posto e rubare cose o vendicarsi.
- Richiedi sempre un documento d'identità a chiunque si presenti a chiederti informazioni.
- Non collegare mai nulla al computer se non sai da dove proviene!
- 7
- accesso
- Il mio account
- aggiuntivo
- Tutti
- in giro
- Arte
- articolo
- Scatola
- del browser
- aziende
- chiamata
- cambridge
- probabilità
- Uncommon
- azienda
- credito
- carta di credito
- criminali
- dati
- Richiesta
- documenti
- dipendenti
- Ingegneria
- esperti
- falso
- modulo
- Gratis
- function
- Dare
- buono
- degli hacker
- hacker
- pirateria informatica
- qui
- Homeland Security
- Come
- HTTPS
- Identità
- Immagine
- informazioni
- Internal Revenue Service
- IP
- IRS
- IT
- Kaspersky
- principale
- IMPARARE
- LINK
- linux
- guardò
- maggiore
- Fare
- soldi
- Musica
- offrire
- online
- aprire
- Altro
- Password
- Persone
- phishing
- attacchi di phishing
- giocatore
- Privacy
- Prodotti
- protegge
- ridurre
- risorsa
- risposta
- problemi
- Le vendite
- Correre
- running
- sicura
- truffe
- Cerca
- motore di ricerca
- problemi di
- senso
- set
- Condividi
- Siti
- piccole
- le piccole imprese
- So
- Social
- Ingegneria sociale
- Società
- Software
- Spear Phishing
- standard
- inizia a
- sistema
- SISTEMI DI TRATTAMENTO
- Target
- imposta
- Tecnologia
- suggerimenti
- Voce
- Vulnerabile
- sito web
- Sito web
- siti web
- OMS
- wikipedia
- vincere
- Wire
- Lavora
- anni