ingegneria sociale email Giacomo Lanzi

Ingegneria sociale: come gli hacker truffano le loro vittime

Estimated reading time: 10 minuti

Ingegneria sociale è il termine usato per una vasta gamma di attività dannose compiute attraverso le interazioni umane. Utilizza la manipolazione psicologica per indurre gli utenti a commettere errori di sicurezza o a fornire informazioni sensibili. In seguito, con quelle informazioni, l’hacker è in grado di portare a termine con successo attacchi mirati, come il furto di dati, un ransomware o un’interruzione di servizi.

Gli attacchi di ingegneria sociale avvengono solitamente in più fasi. L’esecutore prima indaga sulla vittima designata per raccogliere le informazioni di base necessarie, come i potenziali punti di ingresso e i protocolli di sicurezza deboli, necessari per procedere con l’attacco. Poi, l’attaccante si muove per guadagnare la fiducia della vittima e fornire stimoli per azioni successive che violano le pratiche di sicurezza, come rivelare informazioni sensibili o concedere l’accesso a risorse critiche.

Ciò che rende il social engineering particolarmente pericoloso è che si basa sull’errore umano, piuttosto che sulle vulnerabilità del software e dei sistemi operativi. Gli errori commessi dagli utenti legittimi sono molto meno prevedibili, il che li rende più difficili da identificare e contrastare rispetto a un’intrusione basata sul malware.

ingegneria sociale hacker con 2 pc

È da notare che il target di un ingegnere sociale non è per forza una rete o un software. Riuscire ad entrare in un edificio eludendo la sicurezza, per poi installare un dispositivo o rubare dei documenti, sono azioni che rientrano comunque sotto questa tipologia di attacchi.

Le tecniche dell’ingegneria sociale

Gli attacchi di ingegneria sociale si presentano in molte forme diverse e possono essere eseguiti ovunque sia coinvolta l’interazione umana. I seguenti sono cinque metodi più comuni di attacchi di ingegneria sociale digitale.

Baiting (dall’inglese bait, “esca”)

Come suggerisce il nome, gli attacchi di baiting utilizzano una falsa promessa (un esca, appunto) per stuzzicare l’avidità o la curiosità della vittima. Attirano gli utenti in una trappola che ruba le loro informazioni personali o installa sui loro sistemi un malware.

La forma più infame di baiting utilizza supporti fisici per disperdere il malware. Per esempio, gli aggressori lasciano l’esca (tipicamente chiavette infette) in aree appariscenti dove le potenziali vittime sono certe di vederle (ad esempio, bagni, ascensori, il parcheggio di un’azienda presa di mira). L’esca ha un aspetto legittimo, come un’etichetta che indica il contenuto, come la lista degli stipendi dell’azienda. L’indizio che rivela cosa dovrebbe contenere può cambiare, ovviamente, ma ha la prerogativa di essere potenzialmente molto interessante.

Le vittime raccolgono l’esca per curiosità e la inseriscono in un computer di lavoro o di casa, con conseguente installazione automatica di malware sul sistema.

Le truffe di adescamento non devono necessariamente essere eseguite nel mondo fisico. Le forme di baiting online consistono in annunci allettanti che portano a siti dannosi o che incoraggiano gli utenti a scaricare un’applicazione infetta da malware. Qui si sfocia nelle tecniche di phishing, che vedremo tra poco.

Note di difesa: per difendersi da questi attacchi di ingegneria sociale, oltre che prestare la massima attenzione a cosa si collega al proprio computer, non guasta avere un sistema di antivirus e anti-malware efficiente. Per l’azienda, un sistema SIEM di nuova generazione e UEBA aiutano nell’individuare comportamenti sospetti degli utenti e riducono moltissimo il rischio di infezione malware.

ingegneria sociale laptop

Scareware (dall’inglese to scare, “spaventare”)

Lo scareware consiste nel bombardare le vittime con falsi allarmi e minacce fittizie. Gli utenti sono ingannati a pensare che il loro sistema sia infettato da un malware, spingendoli a installare un software che non ha alcun beneficio reale (se non per l’esecutore) o è esso stesso un malware. Lo scareware viene anche chiamato software di inganno (deception software), rogue scanner software e fraudware.

Un esempio comune di scareware è il banner popup dall’aspetto legittimo che appare nel tuo browser mentre navighi sul web, mostrando un testo come “Il tuo computer potrebbe essere infettato da programmi spyware dannosi“. In altri casi il popup si offre di installare lo strumento (spesso infetto da malware) al posto vostro, o vi indirizza a un sito dannoso dove il vostro computer viene infettato.

Lo scareware è anche distribuito tramite email di spam che distribuisce avvisi fasulli, o fa offerte agli utenti per comprare servizi inutili/nocivi. L’ingegneria sociale è spesso molto fantasiosa e riesce a trovare modi sempre nuovi per ingannare. È necessario essere sempre all’erta.

Note di difesa: Nel caso si sospetti che il messaggio ricevuto sia davvero legittimo, la cosa migliore è cerca una soluzione attivamente, senza cioè usare i link suggeriti dal messaggio stesso. Per esempio, si è ricevuto un messaggio da un servizio che annuncia che il nostro account è stato compromesso. In caso di dubbio, si può contattare l’assistenza del servizio direttamente dal loro sito per chiedere chiarimenti. Evitare a tutti i costi di usare i link suggeriti dal messaggio sospetto.

ingegneria sociale multischermo

Pretexting (dall’inglese to pretend, “fingere”)

In questo attacco di ingegneria sociale, un attaccante ottiene informazioni attraverso una serie di menzogne abilmente costruite. La truffa è spesso avviata da un esecutore che finge di aver bisogno di informazioni sensibili da una vittima in modo da eseguire un compito critico.

L’aggressore di solito inizia stabilendo la fiducia con la sua vittima impersonando colleghi, polizia, funzionari bancari e fiscali, o altre persone che hanno il diritto di conoscere l’autorità. L’hacker pone domande che sono apparentemente necessarie per confermare l’identità della vittima, attraverso le quali raccoglie importanti dati personali.

ingegneria sociale dall'alto

Molti tipi di informazioni vengono raccolte utilizzando questa tecnica, come numeri di carta d’identità, indirizzi personali e numeri di telefono, registri telefonici, date di ferie del personale, registri bancari e persino informazioni di sicurezza relative a un impianto fisico.

Ogni informazione, per quanto possa sembrare innocua, potrebbe successivamente essere usata per un secondo attacco. Anche il nome di una guardia giurata assunta dall’azienda potrebbe essere già sufficiente per instaurare fiducia e chiedere uno strappo alla regola quando si domanda il codice di accesso alle porte automatiche.

Phishing (dall’inglese to fish, “pescare”)

Essendo uno dei più popolari tipi di attacco di ingegneria sociale, le truffe di phishing sono campagne di e-mail e messaggi di testo che mirano a creare un senso di urgenza, curiosità o paura nelle vittime. Poi le spinge a rivelare informazioni sensibili, a cliccare su link a siti web dannosi o ad aprire allegati che contengono malware.

Un esempio è un’e-mail inviata agli utenti di un servizio online che li avvisa di una violazione della politica che richiede un’azione immediata da parte loro, come un cambio di password obbligatorio. Include un link a un sito web, quasi identico nell’aspetto alla sua versione legittima, che invita l’utente a inserire le sue credenziali attuali e la nuova password. Dopo aver inviato il modulo, le informazioni vengono inviate all’attaccante.

Dato che i messaggi identici, o quasi identici, vengono inviati a tutti gli utenti nelle campagne di phishing, individuarli e bloccarli è molto più facile per i server di posta che hanno accesso alle piattaforme di condivisione delle minacce.

Nota di difesa: Se è vero che in alcuni casi ci siamo abituati a non dare peso a questo tipo di messaggi, è anche vero che gli ingegneri sociali si sono fatti sempre più furbi. Non è il caso di abbassare la guardia. Invece è molto utile diffidare sempre di messaggi che richiedono inserimento di credenziali.

Questi attacchi fanno leva sul fatto che è facile imbrogliare alcuni utenti, vuoi per distrazione o ingenuità. La difesa migliore è la formazione dei dipendenti tramite un servizio di phishing etico e successivi training mirati.

ingegneria sociale hacker

Spear phishing (dall’inglese spear, “lancia”)

Questa è una versione più mirata del phishing in cui un aggressore sceglie specifici individui o imprese. Quindi adattano i loro messaggi in base alle caratteristiche, alle posizioni lavorative e ai contatti delle loro vittime per rendere il loro attacco meno evidente. Lo spear phishing richiede molto più sforzo da parte dell’autore e può richiedere settimane e mesi per essere portato a termine. Sono molto più difficili da rilevare e hanno migliori tassi di successo se fatti con abilità.

Uno scenario di spear phishing potrebbe coinvolgere un attaccante che, impersonando il consulente IT di un’organizzazione, invia un’e-mail a uno o più dipendenti. È formulata e firmata esattamente come il consulente fa normalmente, ingannando così i destinatari a pensare che sia un messaggio autentico. Il messaggio richiede ai destinatari di cambiare la loro password e fornisce loro un link che li reindirizza a una pagina dannosa dove l’attaccante ora cattura le loro credenziali.

Hacker con grafica

Come difendersi dagli attacchi di ingegneria sociale

Gli ingegneri sociali manipolano i sentimenti umani, come la curiosità o la paura, per portare avanti gli schemi e attirare le vittime nelle loro trappole. Pertanto, è essenziale essere prudenti ogni volta che vi sentite allarmati da un’e-mail, attratti da un’offerta visualizzata su un sito web, o quando vi imbattete in media digitali vaganti in giro. Essere all’erta può aiutarvi a proteggervi dalla maggior parte degli attacchi di ingegneria sociale che avvengono online.

Inoltre, i seguenti consigli possono aiutare a migliorare la tua vigilanza in relazione agli attacchi di ingegneria sociale.

  • Non aprire e-mail e allegati da fonti sospette. Se non si conosce il mittente in questione, non è necessario rispondere a un’e-mail. Anche se li conosci e sei sospettoso del loro messaggio, fai un controllo incrociato e conferma le notizie da altre fonti, come per telefono o direttamente dal sito di un fornitore di servizi. Anche un’e-mail che sembra provenire da una fonte affidabile potrebbe essere stata avviata da un aggressore.
  • Usare l’autenticazione multi-fattore. Uno dei pezzi più preziosi di informazioni che gli aggressori cercano sono le credenziali dell’utente. Usando l’autenticazione a 2 fattori aiuti a garantire la protezione del tuo account in caso di compromissione del sistema. Esistono applicazioni gratuite per ogni tipo di dispositivo mobile che ti permettono di implementare questo tipo di autenticazione.
  • Diffidare delle offerte allettanti. Se un’offerta sembra troppo allettante, pensaci due volte prima di accettarla come reale. Usa Google per verificare l’argomento e determinare rapidamente se hai a che fare con un’offerta legittima o con una trappola.
  • Aggiornare il software antivirus/antimalware. Assicurati che gli aggiornamenti automatici siano attivati. Controlla periodicamente che gli aggiornamenti siano stati applicati e scansiona il tuo sistema per possibili infezioni.

Se l’azienda dispone di un reparto IT, questi consigli dovrebbero essere le misure standard di sicurezza.

Ufficio

Servizi di sicurezza per aziende

Quando si pensa ai dati che la propria azienda custodisce e gestisce, non si è mai troppo prudenti nella difesa. L’ingegneria sociale fa leva sul fatto che un dipendente si hackera più facilmente di un computer, cosa che molto spesso risulta veritiera.

Oltre alle misure di protezione informatica elencate qui sopra, è bene che i dipendenti siano tutti consapevoli dei rischi e delle potenziali minacce.

SOD propone una serie di servizi che vanno proprio in questa direzione. Il primo e forse più importante è quello di phishing etico in cui proviamo ad attaccare l’azienda con tecniche di phishing. Scopriamo quali sono i punti deboli e organizziamo training interni per fornire gli strumenti adeguati al personale.

Abbiamo anche i classici Vulnerability Assessment e Penetration Test per testare i sistemi di sicurezza informatica. A questo servizio sono applicabili degli addon per coprire un maggior numero di aree. È disponibile un addon specifico per l’analisi delle app e la revisione del codice, ma anche uno in cui proviamo a violare l’azienda con attacchi fisici. Testeremo la sicurezza fisica dell’azienda, la possibilità di entrare negli edifici, l’accesso alle centraline di rete e altro.

Infine, per mantenere controllate le reti, il servizio SOCaaS permette di monitorare tutta la rete, individuare azioni sospette (con analisi del comportamento tramite intelligenza artificiale), installazioni non autorizzate, tentativi di violazioni e molto altro.

La sicurezza dei dati in azienda è davvero importante, contattaci per sapere come possiamo aiutarti!

Contattaci

Useful links:

Condividi


RSS

RSS feed

Piu’ articoli…

Categorie …

Tags

Acronis Acronis Active Protection Acronis backup Acronis Cloud Backup Acronis Cyber Cloud BaaS Backup Backup as a Service Cloud Conference cloud server cyber security cyber threat Cyber Threat Hunter Dati aziendali EDR GDPR Machine Learning Monitoraggio infrastruttura ICT Next Generation SIEM nextgen siem Nuovo Regolamento Europeo Privacy owncloud pentest Phishing Plesk privacy Ransomware Regolamento Europeo per la Protezione dei Dati server virtuale servizi cloud sicurezza sicurezza web siem Smart Working SOAR SOCaaS SOCaaS[EDR] template Threat intelligence UEBA VDS Virtual Machine vps vulnerability assessment Zabbix

RSS Feed sconosciuto

RSS darkreading

RSS Full Disclosure

  • KL-001-2025-002: Checkmk NagVis Remote Code Execution Febbraio 4, 2025
    Posted by KoreLogic Disclosures via Fulldisclosure on Feb 04KL-001-2025-002: Checkmk NagVis Remote Code Execution Title: Checkmk NagVis Remote Code Execution Advisory ID: KL-001-2025-002 Publication Date: 2025-02-04 Publication URL: https://korelogic.com/Resources/Advisories/KL-001-2025-002.txt 1. Vulnerability Details      Affected Vendor: Checkmk      Affected Product: Checkmk/NagVis      Affected Version: Checkmk 2.3.0p2, NagVis 1.9.40      Platform: GNU/Linux      CWE...
  • KL-001-2025-001: Checkmk NagVis Reflected Cross-site Scripting Febbraio 4, 2025
    Posted by KoreLogic Disclosures via Fulldisclosure on Feb 04KL-001-2025-001: Checkmk NagVis Reflected Cross-site Scripting Title: Checkmk NagVis Reflected Cross-site Scripting Advisory ID: KL-001-2025-001 Publication Date: 2025-02-04 Publication URL: https://korelogic.com/Resources/Advisories/KL-001-2025-001.txt 1. Vulnerability Details      Affected Vendor: Checkmk      Affected Product: Checkmk/NagVis      Affected Version: Checkmk 2.3.0p2, NagVis 1.9.40      Platform: GNU/Linux...
  • APPLE-SA-01-30-2025-1 GarageBand 10.4.12 Febbraio 2, 2025
    Posted by Apple Product Security via Fulldisclosure on Feb 01APPLE-SA-01-30-2025-1 GarageBand 10.4.12 GarageBand 10.4.12 addresses the following issues. Information about the security content is also available at https://support.apple.com/121866. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. GarageBand Available for: macOS Sonoma 14.4 and later Impact: Processing a […]
  • Re: Text injection on https://www.google.com/sorry/index via ?q parameter (no XSS) Febbraio 2, 2025
    Posted by David Fifield on Feb 01I tested a few more times, and it appears the text injection has disappeared. These are timestamps when I tested, with offsets relative to the initial discovery. +0h 2025-01-28 03:00 initial discovery +5h 2025-01-28 08:19 ?q=EgtoZWxsbyB3b3JsZA works (https://archive.is/DD9xB) +14h 2025-01-28 17:31 ?q=EgtoZWxsbyB3b3JsZA works (no archive) +45h...
  • Xinet Elegant 6 Asset Lib Web UI 6.1.655 / SQL Injection / Exploit Update Python3 Febbraio 2, 2025
    Posted by hyp3rlinx on Feb 01Updated SQL Injection CVE-2019-19245 exploit for Python3. import requests,time,re,sys,argparse #NAPC Xinet Elegant 6 Asset Library v6.1.655 #Pre-Auth SQL Injection 0day Exploit #By hyp3rlinx #ApparitionSec #UPDATED: Jan 2024 for python3 #TODO: add SSL support #=============================== #This will dump tables, usernames and passwords in vulnerable versions #REQUIRE PARAMS:...
  • Quorum onQ OS - 6.0.0.5.2064 | Reflected Cross Site Scripting (XSS) | CVE-2024-44449 Gennaio 30, 2025
    Posted by Shaikh Shahnawaz on Jan 29[+] Credits: Shahnawaz Shaikh, Security Researcher at Cybergate Defense LLC [+] twitter.com/_striv3r_ [Vendor] https://quorum.com/about/ [Product] Quorum onQ OS - 6.0.0.5.2064 Vulnerability Type] Reflected Cross Site Scripting (XSS) [Affected Component] Login page get parameter 'msg' is vulnerable to Reflected Cross site scripting [CVE Reference] CVE-2024-44449 [Security Issue] Cross Site Scripting […]
  • Deepseek writes textbook insecure code in 2025-01-28 Gennaio 30, 2025
    Posted by Georgi Guninski on Jan 29Asking Deepseek on Jan 28 09:33:11 AM UTC 2025: Write a python CGI which takes as an argument string NAME and outputs "Hello"+NAME The Deepseek AI [3] returned: ==== name = form.getvalue('NAME', 'World') # Default to 'World' if NAME is not provided # Output the HTML response print(f"Hello, {name}!") […]
  • Text injection on https://www.google.com/sorry/index via ?q parameter (no XSS) Gennaio 30, 2025
    Posted by David Fifield on Jan 29The page https://www.google.com/sorry/index is familiar to Tor and VPN users. It is the one that says "Our systems have detected unusual traffic from your computer network. Please try your request again later." You will frequently be redirected to this page when using Tor Browser, when you do a search […]
  • APPLE-SA-01-27-2025-9 Safari 18.3 Gennaio 28, 2025
    Posted by Apple Product Security via Fulldisclosure on Jan 27APPLE-SA-01-27-2025-9 Safari 18.3 Safari 18.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/122074. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. Passwords Available for: macOS Ventura and macOS Sonoma Impact: A malicious […]
  • APPLE-SA-01-27-2025-8 tvOS 18.3 Gennaio 28, 2025
    Posted by Apple Product Security via Fulldisclosure on Jan 27APPLE-SA-01-27-2025-8 tvOS 18.3 tvOS 18.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/122072. Apple maintains a Security Releases page at https://support.apple.com/100100 which lists recent software updates with security advisories. AirPlay Available for: Apple TV HD and Apple TV 4K (all […]

Customers

Newsletter

{subscription_form_2}
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
Recensioni Google
Secure Online Desktop s.r.l.
4.9
Basato su 37 recensioni
powered by Google
votaci su
Omid Fazeli
06:59 20 Apr 18
They have a lot of solutions for any kind of business. Lower prices than many others. The support service is always active and efficient.
Guarda tutte le recensioni
js_loader
Facebook
Secure Online Desktop s.r.l.
Secure Online Desktop s.r.l.
5.0
Basato su 12 recensioni
powered by Facebook
votaci su
Paolo Raimondi
Paolo Raimondi
11:06 21 Apr 18
La Polimatica Progetti Srl, azienda di... cui sono titolare, collabora con soddisfazione da alcuni anni con Secure Online Desktop. L'Azienda è costituita da professionisti seri e competenti. Insieme a loro abbiamo costruito un sistema organizzato di soluzioni ICT, servizi e attività di consulenza per la compliance alla normativa in materia di protezione dei dati personali (GDPR).leggi di più
Ilaria Miglietta
Ilaria Miglietta
04:16 21 Apr 18
Servizi affidabili e di semplice... utilizzo. I loro tecnici molto attenti alle esigenze del cliente, continuate cosìleggi di più
Francesca Marastoni
Francesca Marastoni
11:41 20 Apr 18
Excellent service company with... wonderful stuff. Highly recommended.

Ottima azienda, servizi molto utili, staff qualificato e competente. Raccomandata!leggi di più
Alessio Liga
Alessio Liga
08:25 20 Apr 18
Servizi di alto livello, competenti e... disponibili a accettare nuove sfide per sviluppare business
Ottimo supportoleggi di più
Matteo Revelli
Matteo Revelli
22:39 19 Apr 18
Ottima azienda, offre servizi di alta... qualità con personale competente e disponibile.leggi di più
Lorenzo Munari
Lorenzo Munari
16:25 19 Apr 18
Azienda molto seria e... affidabile.

E' un piacere poter collaborare con realtà di questo tipoleggi di più
Francisco Amadi
Francisco Amadi
10:41 19 Apr 18
Ho avuto il piacere di collaborare con... loro e spero vivamente che succeda di nuovo. Competenti, professionali, precisi e cordiali!leggi di più
Davide Michelotto
Davide Michelotto
07:42 19 Apr 18
Ottimo servizio, seri professionisti al... timone della società e celerità nei tempi di risposta, oltre ogni aspettativa.leggi di più
Gabriele Petralia
Gabriele Petralia
12:28 18 Apr 18
Luca Prati
Luca Prati
10:12 18 Apr 18
Azienda eccellente, consulenza... customizzata e puntuale.
Un ottimo fornitore.
Io personalmente ho parlato con l' Ing. Venuti, valore aggiunto indubbiamente.leggi di più
Valerio Lezza
Valerio Lezza
21:35 17 Apr 18
Daniela Cospito Di Leo
Daniela Cospito Di Leo
21:20 17 Apr 18
Altre recensioni
js_loader
payments gateway
Contatti