Ingegneria sociale
L'ingegneria sociale è l'arte di manipolare le persone affinché cedano informazioni riservate. Ogni crimine informatico inizia con un attacco di ingegneria sociale. Vediamo come funziona e come proteggersi da esso.
Developer
Introduzione
Quando si parla di sicurezza informatica, la maggior parte delle persone pensa ad attacchi tecnici come l'iniezione SQL, il cross-site scripting, gli attacchi man-in-the-middle, o i malware. Tuttavia, gli attacchi più comuni ed efficaci spesso non sono affatto tecnici. L'ingegneria sociale è l'arte di manipolare le persone affinché cedano informazioni riservate. Ogni crimine informatico inizia con un attacco di ingegneria sociale.
Ecco la definizione da Wikipedia:
Nel contesto della sicurezza informatica, l'ingegneria sociale è la manipolazione psicologica delle persone per indurle a eseguire azioni o a divulgare informazioni riservate. Un tipo di truffa per ottenere informazioni, frode, o accesso ai sistemi, si differenzia dall'inganno tradizionale perché spesso è solo uno dei molti passaggi in un piano fraudolento più complesso.[1] È stata anche definita come "qualunque atto che influenzi una persona a compiere un'azione che potrebbe o non potrebbe essere nel suo migliore interesse."
I tipi di informazioni che questi criminali cercano possono variare, ma quando gli individui sono presi di mira, i criminali di solito cercano di ingannarti per ottenere le tue password, informazioni personali, o per accedere al tuo computer per installare segretamente software dannoso – che darà loro accesso alle tue password e informazioni bancarie oltre a dare loro il controllo sul tuo computer.
Come funziona l'ingegneria sociale?
Gli attacchi di ingegneria sociale avvengono in uno o più passaggi. La maggior parte degli attacchi di ingegneria sociale si basa su una comunicazione effettiva tra gli attaccanti e le vittime. Spesso succede che le vittime vengano prese di mira da più attaccanti per un lungo periodo di tempo, e gli attacchi sono attentamente progettati per evitare di essere rilevati. Un attacco riuscito coinvolge i seguenti passaggi:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M154.009%2c62L148.162%2c66.167C142.316%2c70.333%2c130.623%2c78.667%2c124.776%2c86.333C118.93%2c94%2c118.93%2c101%2c118.93%2c104.5L118.93%2c108'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M118.93%2c166L118.93%2c170.167C118.93%2c174.333%2c118.93%2c182.667%2c118.93%2c190.333C118.93%2c198%2c118.93%2c205%2c118.93%2c208.5L118.93%2c212'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M118.93%2c270L118.93%2c274.167C118.93%2c278.333%2c118.93%2c286.667%2c124.233%2c294.613C129.537%2c302.56%2c140.144%2c310.119%2c145.448%2c313.899L150.752%2c317.679'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_D_A_3' d='M229.78%2c320L235.627%2c315.833C241.473%2c311.667%2c253.166%2c303.333%2c259.013%2c290.5C264.859%2c277.667%2c264.859%2c260.333%2c264.859%2c243C264.859%2c225.667%2c264.859%2c208.333%2c264.859%2c191C264.859%2c173.667%2c264.859%2c156.333%2c264.859%2c139C264.859%2c121.667%2c264.859%2c104.333%2c259.556%2c91.887C254.252%2c79.44%2c243.645%2c71.881%2c238.341%2c68.101L233.038%2c64.321'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(191.89453125%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='114.234375' y='-27' x='-57.1171875' style='' class='basic label-container'/%3e%3cg transform='translate(-27.1171875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='54.234375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eRicerca%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(118.9296875%2c 139)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='126.71875' y='-27' x='-63.359375' style='' class='basic label-container'/%3e%3cg transform='translate(-33.359375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='66.71875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eAggancio%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(118.9296875%2c 243)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='221.859375' y='-27' x='-110.9296875' style='' class='basic label-container'/%3e%3cg transform='translate(-80.9296875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='161.859375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eGiocare sulle emozioni%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(191.89453125%2c 347)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='142.71875' y='-27' x='-71.359375' style='' class='basic label-container'/%3e%3cg transform='translate(-41.359375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='82.71875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eEsecuzione%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
-
Ricerca: L'attaccante raccoglie informazioni sull'obiettivo, come possibili punti di ingresso e protocolli di sicurezza deboli, necessari per portare a termine l'attacco. Nel mondo di oggi, è molto facile trovare informazioni su una persona online. Ad esempio, puoi trovare l'indirizzo email, il numero di telefono e persino l'indirizzo di casa di una persona sul suo profilo sui social media. Puoi anche scoprire dove lavora, cosa fa e con chi lavora. Queste informazioni possono essere utilizzate per creare un'email di phishing molto convincente o una chiamata telefonica nel passaggio successivo.
-
Aggancio: L'attaccante utilizza queste informazioni per creare uno scenario credibile per attirare la vittima a fare ciò che l'attaccante desidera. Ad esempio, l'attaccante potrebbe chiamare la vittima e fingere di essere un agente del servizio clienti della sua banca, chiedendole di verificare le proprie informazioni sull'account. Oppure, potrebbe chiamare un dipendente di un'azienda e fingere di essere una persona dell'assistenza IT, chiedendole di resettare la propria password.
-
Giocare sulle emozioni: L'attaccante gioca sulle emozioni per far sì che la vittima agisca immediatamente, senza pensare. Ad esempio, l'attaccante potrebbe minacciare la vittima con multe, penali o persecuzioni se non risponde subito alla richiesta. Oppure, potrebbe appellarsi all'avidità della vittima, promettendo una grande somma di denaro o una ricompensa in cambio del suo aiuto.
-
Esecuzione: L'attaccante esegue l'attacco, che può assumere diverse forme. Ad esempio, potrebbe:
- Ingannare la vittima inducendola a installare malware sul proprio computer.
- Ingannare la vittima inducendola a rivelare informazioni sensibili tramite email o telefono.
- Ingannare la vittima inducendola a inviare denaro all'attaccante.
- Ingannare la vittima inducendola a cliccare su un link dannoso in un'email o in un messaggio di testo.
I passaggi sopra descritti possono avvenire in un periodo di tempo molto breve, o possono durare settimane o mesi. L'attaccante può prendere di mira una sola persona o un gruppo di persone. Il contatto può essere stabilito tramite una chiamata telefonica, un'email, un messaggio di testo o una chat sui social media. Ma alla fine si conclude con un'azione che compi, come condividere le tue informazioni o esporre te stesso al malware.
Tipi di attacchi di ingegneria sociale
Esistono molti tipi di attacchi di ingegneria sociale, e ognuno ha il suo scopo e obiettivo. Ecco alcuni dei tipi più comuni di attacchi di ingegneria sociale:
Phishing di Spam
Il phishing di spam è il tipo più comune di attacco di ingegneria sociale. È un tipo di attacco di phishing in cui l'attaccante invia milioni di email a persone a caso, sperando che alcune di loro cadano nel trucco. Le email vengono solitamente inviate da un indirizzo email falso e spesso contengono un link a un sito web dannoso o un allegato dannoso. L'obiettivo dell'attacco è di ingannare la vittima inducendola a cliccare sul link o ad aprire l'allegato, che installerà malware sul suo computer.
Esempio
Immagina di ricevere un'email non richiesta nella tua casella di posta con un oggetto accattivante che sostiene che hai vinto un grande premio in denaro. Il titolo dell'email afferma che hai vinto $1.000.000 e devi reclamare il tuo premio immediatamente.
Aprendo l'email, trovi un messaggio che ti congratula per la tua presunta vincita alla lotteria. Potrebbe includere promesse stravaganti, come un'enorme somma di denaro. Solitamente, l'email contiene un link o informazioni di contatto per reclamare la tua vincita.
Questa email mostra i classici segni di un attacco di phishing di spam:
-
Non richiesta: Non hai mai partecipato a nessuna lotteria o concorso, quindi non dovresti aver vinto alcun premio.
-
Troppo bello per essere vero: La promessa di una grande somma di denaro senza una ragione apparente è una tattica comune utilizzata per attirare le vittime.
-
Azione urgente: L'email potrebbe affermare che devi agire rapidamente per reclamare il tuo premio, creando un senso di urgenza.
-
Richieste di informazioni personali o di denaro: Per "reclamare" il tuo premio, potrebbe essere richiesto di fornire informazioni personali, pagare delle commissioni o trasferire denaro per coprire presunti costi di elaborazione.
Spear Phishing
Lo spear phishing è un tipo di attacco di phishing in cui l'attaccante prende di mira una persona specifica o un gruppo di persone. L'attaccante farà ricerche sull'obiettivo e poi invierà loro un'email personalizzata che sembra provenire da una fonte fidata. L'email conterrà solitamente un link a un sito web dannoso o un allegato dannoso. L'obiettivo dell'attacco è di ingannare la vittima inducendola a cliccare sul link o ad aprire l'allegato, che installerà malware sul suo computer. A differenza del phishing di spam, gli attacchi di spear phishing sono altamente mirati e personalizzati e hanno molte più probabilità di riuscire.
Esempio
In questo scenario di spear phishing, ricevi un'email che sembra provenire da un collega o da qualcuno che conosci. L'email contiene un oggetto che suggerisce che si tratta di un importante avviso di sicurezza. Ciò che distingue lo spear phishing dal phishing regolare è che l'attaccante prende di mira una persona specifica e spesso possiede alcune informazioni sul bersaglio.
Aprendo l'email, trovi un messaggio che afferma di provenire dal tuo consulente IT, Charles. Ti si rivolge con il tuo nome completo e menziona una presunta violazione della sicurezza del tuo account di lavoro. L'email ti chiede di cliccare su un link o di scaricare un allegato per mettere in sicurezza il tuo account. Clicchi sul link e ti porta a un sito web che sembra esattamente la pagina di login della tua azienda. Inserisci il tuo username e password, e ora l'attaccante ha accesso al tuo account.
Questa email mostra i classici segni di un attacco spear phishing:
-
Personalizzazione: L'email si rivolge a te con il tuo nome completo, dandogli un aspetto di legittimità.
-
Urgenza: Il messaggio trasmette un senso di urgenza, facendo capire che devi agire immediatamente per risolvere una questione di sicurezza.
-
Richieste d'azione: L'email ti chiede di cliccare su un link o di scaricare un allegato. Questi link o allegati spesso contengono malware o siti di phishing.
Baiting
Il baiting è un tipo di attacco di ingegneria sociale in cui l'attaccante offre qualcosa di allettante alla vittima in cambio delle sue informazioni personali. Ad esempio, l'attaccante potrebbe offrire una carta regalo gratuita o un download gratuito di un film in cambio dell'indirizzo email della vittima. L'obiettivo dell'attacco è di ingannare la vittima inducendola a rivelare le proprie informazioni personali, che l'attaccante può poi usare per rubare la sua identità o commettere frodi. Sfrutta la curiosità o l'avidità della vittima.
Esempio
In questo scenario di baiting, gli attaccanti lasciano una chiavetta USB in un luogo pubblico, come una caffetteria o un parcheggio. La chiavetta USB è etichettata come "Confidenziale" o "Privato", e contiene un programma dannoso che installerà malware sul computer della vittima quando lo collegherà. L'obiettivo dell'attacco è di ingannare la vittima inducendola a collegare la chiavetta USB al proprio computer, installando così malware nel computer.
Colleghi la chiavetta USB al tuo computer, sperando di trovare informazioni preziose. Sembra contenere un file chiamato "Dati_Progetto_Confidenziali.csv." Mentre tenti di aprire il file, viene eseguito uno script nascosto che infetta il tuo computer con malware.
In questo attacco di baiting:
- L'esca è la chiavetta USB, etichettata come "Confidenziale" o "Privato," rendendola allettante per chiunque la trovi, soprattutto in un contesto professionale o sul luogo di lavoro.
- Fattore curiosità: La curiosità umana viene sfruttata come vulnerabilità, inducendo le persone a compiere azioni che altrimenti eviterebbero.
Water holing
Il water holing è un tipo di attacco di ingegneria sociale in cui l'attaccante prende di mira un gruppo specifico di persone infettando un sito web che è probabile che visitino. Ad esempio, l'attaccante potrebbe infettare un popolare sito web di notizie o un popolare sito di social media. L'obiettivo dell'attacco è di ingannare la vittima inducendola a visitare il sito web infetto, che installerà malware sul suo computer.
Esempio
Un gruppo di attaccanti mira a compromettere la sicurezza di una specifica associazione di settore che rappresenta una comunità di professionisti della cybersecurity. Gli attaccanti intendono rubare dati sensibili e infiltrarsi nei sistemi degli esperti di cybersecurity.
Gli attaccanti identificano un sito web ben noto e rispettato utilizzato da questa comunità. In questo caso, scelgono il sito web ufficiale dell'associazione di settore della cybersecurity. Gli attaccanti individuano e sfruttano una vulnerabilità nel sito web dell'associazione di settore. Possono utilizzare metodi tecnici come l'iniezione SQL o il cross-site scripting (XSS) per ottenere accesso non autorizzato al sistema di gestione dei contenuti del sito. Una volta ottenuto l'accesso al sito web, gli attaccanti iniettano codice dannoso nelle pagine del sito. Questo codice è progettato per distribuire malware ai visitatori delle pagine compromesse.
Poi gli attaccanti aspettano che i professionisti della cybersecurity visitino il sito web. Sanno che molti esperti di cybersecurity consultano regolarmente il sito per aggiornamenti, notizie e risorse.
Mentre i professionisti della cybersecurity visitano il sito web dell'associazione di settore per leggere articoli, partecipare a webinar o scaricare risorse, espongono inconsapevolmente i loro dispositivi al malware iniettato. Il malware può rubare informazioni sensibili, come credenziali di login o dati personali. Può anche fornire agli attaccanti una base per lanciare ulteriori attacchi, incluso lo spear phishing o lo sfruttamento di vulnerabilità note nei sistemi delle vittime.
In questo attacco di water holing:
- L'abbeveratoio è il sito web dell'associazione di settore, che è una destinazione popolare per i professionisti della cybersecurity.
- Pubblico mirato: Gli attaccanti prendono di mira un gruppo specifico di persone, in questo caso i professionisti della cybersecurity.
- Sfruttamento della fiducia: Gli attaccanti sfruttano la fiducia che i professionisti della cybersecurity hanno nel sito web dell'associazione di settore.
- Sfruttamento delle vulnerabilità: Gli attaccanti sfruttano le vulnerabilità nel sistema di gestione dei contenuti del sito web per iniettare codice dannoso nelle pagine del sito.
Come proteggersi dagli attacchi di ingegneria sociale
Proteggersi dagli attacchi di ingegneria sociale richiede una combinazione di consapevolezza, scetticismo e buone pratiche. Ecco alcuni passaggi essenziali per proteggersi dagli attacchi di ingegneria sociale:
-
Informarsi: Impara a conoscere le tattiche comuni di ingegneria sociale, tra cui phishing, pretexting, baiting e tailgating. Rimani informato sulle tecniche e tendenze più recenti di ingegneria sociale.
-
Verificare l'Identità: Verifica sempre l'identità delle persone o delle organizzazioni che richiedono le tue informazioni personali o sensibili. Non fare affidamento esclusivamente su numeri di telefono, email o siti web forniti dalla persona che ti contatta. Utilizza informazioni di contatto ufficiali ottenute indipendentemente da fonti affidabili.
-
Mettere in discussione le richieste: Sii scettico nei confronti delle richieste non sollecitate di informazioni personali, finanziarie o riservate. Le organizzazioni legittime di solito non richiedono tali informazioni via email o telefono. Se qualcuno richiede informazioni sensibili, chiedi perché sono necessarie e come saranno utilizzate.
-
Attenzione all'urgenza e alla pressione: Gli ingegneri sociali spesso creano un senso di urgenza per farti prendere decisioni senza pensare. Prenditi il tuo tempo per considerare le richieste o le offerte. Verifica la legittimità della situazione.
-
Proteggi l'accesso fisico: Proteggi il tuo spazio di lavoro fisico da accessi non autorizzati. Blocca il computer e i dispositivi quando non li usi. Sii cauto quando permetti a persone sconosciute di entrare in aree riservate.
-
Formazione dei dipendenti: Se fai parte di un'organizzazione, fornisci formazione sulla consapevolezza dell'ingegneria sociale ai dipendenti. Insegna loro a riconoscere e segnalare attività sospette.
-
Utilizza fonti affidabili: Ottieni informazioni da fonti fidate e verificate. Evita di fare affidamento su siti web non ufficiali o notizie non verificate.
-
Crittografia dei dati: Crittografa i dati sensibili, sia a riposo che durante la trasmissione, per proteggerli da accessi non autorizzati.
Pratica un comportamento online sicuro
Per sviluppatori e proprietari di attività. Se stai sviluppando una web application, dovresti seguire le best practice per proteggere i tuoi utenti dagli attacchi di ingegneria sociale. Esistono molteplici modi per abilitare una maggiore sicurezza per la tua applicazione:
- Utilizza password forti. La maggior parte delle persone utilizza password deboli che sono facili da indovinare basandosi sulle loro informazioni personali. Per implementare un sistema di gestione dell'identità degli utenti sicuro e affidabile, dovresti abilitare politiche per password forti. Questo impedirà agli utenti di utilizzare password deboli senza adeguate misure di sicurezza.
- Abilita l'autenticazione a più fattori. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di sicurezza all'account degli utenti richiedendo loro di inserire un codice dal proprio telefono o da un altro dispositivo oltre alle password. Questo rende molto più difficile per gli attaccanti ottenere accesso all'account dei tuoi clienti. Anche se le password dei tuoi clienti venissero compromesse, gli attaccanti non saranno in grado di accedere ai loro account senza il secondo fattore.
- Crittografa i dati degli utenti. Crittografare i dati degli utenti è un buon modo per proteggerli da accessi non autorizzati. Se un attaccante ottiene accesso al tuo database, non sarà in grado di leggere i dati senza la chiave di crittografia. Questo impedirà loro di rubare le informazioni personali dei tuoi clienti.
- Ruota frequentemente le chiavi di accesso. Le chiavi di accesso vengono utilizzate per accedere alle risorse della tua applicazione. Se un attaccante ottiene accesso alle tue chiavi di accesso, sarà in grado di accedere alle risorse della tua applicazione senza il tuo permesso. Per prevenire ciò, dovresti ruotare frequentemente le chiavi di accesso.
- Utilizza sistemi di autenticazione moderni. I protocolli di autenticazione moderni come OAuth 2.0 e OpenID Connect sono molto più sicuri rispetto ai protocolli più vecchi come SAML e WS-Federation. Usano algoritmi crittografici moderni e sono molto più difficili da attaccare.
- Pre-registra gli URL di reindirizzamento al login e i dispositivi Se stai utilizzando OAuth 2.0 o OpenID Connect per l'autenticazione, dovresti pre-registrare gli URL di reindirizzamento al login e i dispositivi. Questo impedirà agli attaccanti di utilizzare gli account dei tuoi clienti per accedere alla tua applicazione dai propri dispositivi.