Table di cuntinutu[Piattà][Mostra]
Ancu se a maiò parte di i cibercriminali sò manipulatori qualificati, questu ùn significa micca chì sò sempre manipulatori tecnologichi qualificati; altri cibercriminali preferanu a pratica di manipulà e persone.
In altri palori, abbraccianu l'ingegneria suciale, chì hè a pratica di lancià un ciberattaccu apprufittannu di i difetti in a natura umana.
In un casu simplice di ingegneria suciale, questu puderia accade se un cibercriminale impersona un espertu di l'informatica è dumanda à i vostri dati di login per riparà un burato di sicurezza in u vostru sistema.
Sè vo dà l 'infurmazione, avete appena datu una persona mali accessu à u vostru contu, senza ancu avè a preoccupari di accede à u vostru email o urdinatore.
In ogni catena di sicurità, simu quasi di solitu u ligame più debule postu chì simu suscettibili à una varietà di trucchi. I tecnichi di l'ingegneria suciale sfruttanu sta vulnerabilità in e persone per ingannà e vittime in divulgazione di informazioni private.
L'ingegneria suciale hè sempre in evoluzione, cum'è a maiò parte di e minacce cibernetiche.
In questu articulu, discuteremu di u statu attuale di l'ingegneria suciale, diversi tipi di attacchi da guardà è i segni d'avvertimentu à circà.
Cuminciamu l'intruduzioni à l'ingegneria suciale.
Chì ghjè l'ingegneria suciale?
L'ingegneria suciale in l'informatica si riferisce à e tecniche chì i criminali cibernetici impieganu per persuade e vittime à fà una azzione dubbiosa, chì spessu implica una violazione di sicurezza, a trasmissione di soldi, o a divulgazione di infurmazioni persunali.
Queste attività spessu sfidanu a logica è vanu contru à u nostru megliu ghjudiziu.
Tuttavia, i fraudsters ponu cunvince di piantà di pensà logicamente è cumincianu à agisce nantu à l'instintu senza pensà à ciò chì facemu in realtà manipulendu e nostre emozioni - pusitivi è negativi - cum'è furia, timore è amore.
Semplicemente definitu, l'ingegneria suciale hè cumu i pirate cumprumettenu u nostru cervellu, cum'è facenu cù malware è virus per cumprumette e nostre macchine.
L'attaccanti utilizanu spessu l'ingegneria suciale perchè hè spessu più simplice per prufittà di l'individui chè per identificà una debule di rete o di software.
Perchè i criminali è e so vittime ùn anu mai interagisce in persona, l'ingenieria suciale hè sempre un cumpunente di una scam più larga.
Aghjunghje e vittime à: hè generalmente u scopu maiò:
- Software malicioso nantu à u so smartphone.
- Rinunzià u vostru nome d'utilizatore è password.
- Dà u permessu per un plugin, estensione, o applicazione di terzu maliziusi.
- Mandate soldi per ordine di soldi, trasferimentu di fondi elettronicu, o carte di rigalu.
- Ghjucà u rolu di una mula di soldi per trasmette è lavà soldi illegale.
I tecnichi di l'ingegneria suciale sò usati da i criminali perchè hè spessu più simplice per prufittà di a vostra tendenza inherente à fidà di l'altri chè per capisce cumu pirate u vostru prugramma.
Per esempiu, salvu chì a password hè veramente debule, hè assai più simplice per ingannà qualcunu per dì à voi a so password chè per pruvà à pirate.
Cumu funziona l'ingegneria suciale?
L'ingegneri suciali realizanu ciberattacchi cù una varietà di strategie. A maiò parte di l'assalti di l'ingegneria suciale cumincianu cù l'attaccante chì esegue ricunniscenza è ricerca nantu à a vittima.
Per esempiu, se u mira hè una impresa, u pirate puderia amparà a struttura organizzativa di a cumpagnia, i prucessi interni, l'argo di l'industria, i pussibuli partenarii cummerciale è altri dettagli.
Fighjendu nantu à l'azzioni è l'abitudini di i travagliadori cù accessu à livellu bassu ma iniziale, cum'è un guardianu di sicurità o un receptionist, hè una strategia utilizata da l'ingegneri suciali.
L'attaccanti ponu circà suciali, di cumunicazione cunti per l'infurmazioni persunali è osservà u so cumpurtamentu in linea è in persona.
L'ingegnere suciale pò dopu aduprà l'evidenza raccolta per pianificà un assaltu è prufittà di i difetti scuperti durante a tappa di ricunniscenza.
Se veramente l'attaccu hè accadutu, l'attaccante puderia uttene sistemi o rete protetti, soldi da i miri, o accessu à dati privati cum'è numeri di Seguretat Soziale, dati di carte di creditu o dati bancari.
Tipi cumuni di attacchi di ingegneria suciale
Amparate nantu à e tecniche tipiche aduprate in l'ingenieria suciale hè una di e più grandi strategie per difende da un attaccu di l'ingegneria suciale.
Oghje, l'ingegneria suciale si trova in linea, cumpresu per mezu di scams di e social media, quandu l'attaccanti assumanu l'identità di una fonte affidabile o un ufficiale di altu gradu per ingannà e vittime in divulgazione di informazioni sensibili.
Eccu alcuni altri attacchi prevalenti di ingegneria suciale:
Phishing
U phishing hè una spezia di ingegneria suciale in quale e cumunicazioni sò disguised in modu chì parevanu esse da una fonte di fiducia.
Queste cumunicazioni, chì sò spessu e-mail, sò destinate à ingannà e vittime in a divulgazione d'infurmazioni persunali o finanziarii.
Dopu tuttu, perchè duvemu suspettà a legittimità di un email da un amicu, un membru di a famiglia o una cumpagnia chì sapemu? Scammers prufittà di sta cunfidenza.
vishing
Vishing hè un tipu cumplessu di assaltu di phishing. Hè cunnisciutu ancu "phishing vocale". In questi assalti, un numeru di telefunu hè spessu falsatu per parenu autenticu - l'attaccanti ponu esse cum'è staff IT, culleghi di travagliu o banchieri.
Certi attaccanti ponu impiegà cambiatori di voce per oscurare ancu di più a so identità.
Spear phishing
Grandi cumpagnie o persone particulari sò i mira di spear phishing, una spezia d'assaltu di l'ingegneria suciale. L'obiettivi di l'assalti di spear phishing sò individui forti o picculi gruppi, cum'è i capi di l'imprese è e figure pubbliche.
Questa forma di attaccu di l'ingegneria suciale hè spessu ben investigata è camuffata ingannosamente, facendu sfida à vede.
smishing
Smishing hè una sorta d'assaltu di phishing chì utilizeghja missaghji di testu (SMS) cum'è mezu di cumunicazione. Prestendu URL dannosi per cliccà o numeri di telefunu per cuntattà, questi assalti tipicamente esigenu azzione rapida da e so vittime.
I vittimi sò spessu pruposti à furnisce infurmazioni privati chì l'attaccanti ponu utilizà contru à elli.
Per cunvince e vittime à agisce rapidamente è cascà per l'assaltu, l'attacchi smishing spessu mostranu un sensu d'urgenza.
scareware
L'usu di l'ingegneria suciale per terrorizà l'individui per installà software di sicurezza falsi o accede à siti web infettati da malware hè cunnisciutu cum'è scareware.
Scareware si manifesta tipicamente cum'è finestre pop-up chì offrenu per aiutà à sradicà una presunta infezione di l'urdinatore da u vostru laptop. Facendu clic in u pop-up, pudete installà involontariamente più malware o esse mandatu à un situ web periculosu.
Aduprate un prugramma di eradicazione di virus affidabile per scansà spessu u vostru urdinatore se pensate chì avete scareware o un altru pop-up intrusive. Hè impurtante per l'igiene digitale per esaminà periodicamente u vostru dispositivu per i risichi.
Puderia ancu aiutà à prutege a vostra infurmazione persunale prevenendu futuri assalti di ingegneria suciale.
Esca
L'attacchi di l'ingenieria suciale ponu ancu principià offline; ùn sò micca necessariamente lanciati in linea.
Baiting hè a pratica di un attaccu chì abbanduneghja un ughjettu infettatu da malware, cum'è un discu USB, in un locu induve hè prubabile di esse scupertu. Sti dispusitivi sò spessu marcati apposta per sparghje interessu.
Un utilizatore chì piglia u gadget è u mette in u so propiu computer per curiosità o avidità rischia di infettà involontariamente quella macchina cun un virus.
Caccia à a balena
Unu di i tentativi di phishing più audaci, cù risultati disastrosi, hè a caccia à a balena. L'obiettivu tipicu di stu tipu d'attaccu di l'ingegneria suciale hè una sola persona d'altu valore.
U terminu "fraude CEO" hè in ocasioni utilizatu per discrive a caccia à a balena, chì vi dà una indicazione di u mira.
Perchè assumenu in modu efficace un tonu di discorsu cummerciale adattatu è facenu usu di a cunniscenza di l'industria interna à u so vantaghju, l'assalti di a caccia di balene sò più difficiuli di vede chè altri attacchi di phishing.
Pre-SMS
Pretexting hè u prucessu di fabricà una circustanza falsa, o "pretestu", chì l'artisti cuntrattori impieganu per ingannà e so vittime.
L'assalti di pretextu, chì ponu accade offline o in linea, sò trà e tecniche di l'ingegneria suciale più riesciuti perchè l'attaccanti mettenu assai sforzu per fà l'apparenza di fiducia.
Siate prudente quandu divulgate l'infurmazioni private à i stranieri, postu chì puderia esse difficiule di scopre una bufala di pretestu.
Per escludiri un tentativu di ingegneria suciale, cuntattate direttamente cù a cumpagnia se qualchissia vi telefona per una necessità urgente.
Trappula di miele
Una trappula di meli hè un tipu d'approcciu di l'ingegneria suciale in u quale l'assaltante seduce a vittima in un ambiente sessuale inseguru.
L'attaccante poi prufittà di a circustanza per fà un ricattamentu o impegnà in sextortion. Mandendu e-mail spam cù a falsa pretesa chì "vi vedenu attraversu a vostra camera" o qualcosa di ugualmente nefastu, l'ingegneri suciali ponenu spessu trappule di miele.
Sè avete un missaghju cum'è questu, assicuratevi chì a vostra webcam hè prutetta.
Allora, restate solu cumpostu è astenete di risponde, postu chì questi emails ùn sò più cà spam.
Quid Pro Quo
U latinu significa "qualcosa per qualcosa", in questu casu si riferisce à a vittima chì riceve una ricumpensa per a so cooperazione.
Un'illustrazione eccellente hè quandu i pirate si ponenu cum'è assistenti IT. Telefonaranu quant'è più impiegati pussibule in una ditta è pretendenu d'avè una suluzione simplice, aghjustendu chì "avete solu bisognu di disattivà u vostru AV".
Qualchidunu chì succumbs à questu hà ransomware o altri virus installati in u so urdinatore.
Tailgating
Tailgating, cunnisciutu ancu piggybacking, si trova quandu un pirate segue una persona chì usa una carta d'accessu valida in un edifiziu assicuratu.
Per portà stu attaccu, si assume chì a persona chì hà permessu di entre in l'edifiziu seria abbastanza attente per mantene a porta aperta per a persona chì vene daretu à elli.
Cumu pudete prevene l'attacchi di l'Ingenieria Sociale?
Utilizendu queste misure preventive, voi è u vostru staffu averete a megliu chance di evità l'assalti di l'ingegneria suciale.
Educate l'impiegati
A causa principale di a fallibilità di l'impiegati à l'attacchi di l'ingegneria suciale hè a ignoranza. Per insignà à u persunale cumu reagisce à i tentativi tipici di violazione, l'urganisazioni anu da offre una furmazione di sensibilizazione di sicurezza.
Per esempiu, chì fà si qualchissia prova di chjappà un impiigatu in u locu di travagliu o dumanda infurmazione sensitiva.
Alcuni di i ciberattacchi più frequenti sò descritti in a lista sottu:
- DDoS attacca
- Anu in phishing
- Attacchi di clickjacking
- Ransomware attacca
- Attacchi di malware
- Cumu risponde à u tailgating
Verificate a resistenza à l'attaccu
Eseguite assalti di ingegneria suciale cuntrullati à a vostra cumpagnia per pruvà. Mandate e-mail falsi di phishing, è rimproverate gentilmente i membri di u staffu chì apre l'attachments, cliccate nantu à ligami dannosi, o reagisce.
Invece di esse percepiti cum'è fallimenti di cibersecurità, sti casi deve esse vistu cum'è situazioni altamente educative.
Operazione Sicurezza
OPSEC hè un metudu per spotting cumportamentu amichevule chì puderia esse vantaghju per un futuru attaccante. L'OPSEC pò espose dati sensittivi o impurtanti s'ellu hè trattatu bè è raggruppatu cù altre dati.
Pudete limità a quantità di informazioni chì l'ingegneri suciali ponu uttene usendu e prucedure OPSEC.
Truvate Fughe di Dati
Sapere se e credenziali sò state esposte per u risultatu di un tentativu di phishing pò esse sfida.
A vostra cumpagnia deve sempre circà l'esposizione di dati è e credenziali filtrati perchè alcuni phishers ponu piglià mesi o ancu anni per sfruttà e credenziali chì riuniscenu.
Implementa l'autentificazione multifattore
Infurzà un metudu di autentificazione multi-fattore chì hà bisognu di l'utilizatori à pussede un token, cunnosce una password, è pussede a so biometria per avè accessu à risorse critiche.
Implementà un sistema di gestione di risichi di terzu
Prima di purtà novi venditori o di cuntinuà à travaglià cù i fornitori attuali, crea un sistema per a gestione di i risichi di terze parti, una pulitica di gestione di u venditore, è cunduce un risicu di cybersecurity valutazione.
In particulare dopu chì i dati arrubati sò stati venduti nantu à u web scuru, hè assai più simplice per evità e violazioni di dati chì per pulizziari.
Truvate un software chì pò gestisce automaticamente u risicu di u venditore è seguità regularmente, classificà è valutà a cibersigurtà di i vostri venditori.
Mudificà e vostre preferenze di email spam.
Cambià i vostri paràmetri di e-mail hè unu di i metudi più simplici per difende da i tentativi di ingegneria suciale. Pudete migliurà i vostri filtri di spam per mantene e-mail scam ingegneria suciale fora di a vostra inbox.
Pudete ancu aghjunghje direttamente l'indirizzi email di l'individui è l'urganisazione chì sapete chì sò veri à i vostri listi di cuntatti digitale - qualcunu chì pretende di esse elli, ma utilizendu un indirizzu diversu in u futuru hè probabilmente un ingegnere suciale.
cunchiusioni
Infine, l'ingegneria suciale hè una tecnica piuttostu simplice chì pò esse aduprata per commette fraude, fraude o altri crimini. Pò accade à qualcunu in persona, per telefunu o in linea.
L'ingegneri suciali ùn anu micca bisognu à esse assai tecnicu; solu bisognu à esse capaci di cun voi in dà li infurmazione privata.
Hè una truffa potenzialmente disastrosa postu chì simu tutti in periculu. I media suciali anu ancu permessu à l'ingegneri suciali di diventà più astuti, chì li permettenu di creà falsi cunti chì sò simplici per sbaglià per quelli veri o ancu per impersonà individui reali.
Aduprate sempre prudenza mentre vede profili strani o micca familiari nantu à e social media.
Lascia un Audiolibro