Tipi di attacchi di ingegneria sociale

7 Febbraio 2022 By Nancy Guglielmo Non ci sono commenti 14 minuti

Gli attacchi informatici al giorno d'oggi sono aumentati oltre misura e, detto questo, probabilmente hai sentito parlare di vari tipi di attacchi di ingegneria sociale. Si potrebbe definire una raccolta di vari tipi di attacchi dannosi indotti attraverso lo sfruttamento e la manipolazione psicologica.

È più come sperimentare il peggiori tipi di attacchi alla sicurezza informatica e nemmeno sapere come sia successo. Gli attacchi di ingegneria sociale vengono eseguiti in modo complesso, impiegando il tempo per prendere di mira persone specifiche, sviluppare determinate strategie, scoprire punti deboli di ingresso, convincere la vittima a fidarsi dell'attaccante e così via.

Questa guida svelerà alcuni dei peggiori tipi di attacchi di ingegneria sociale e come creare strategie di protezione contro di essi.

Sommario

• Cos'è l'ingegneria sociale?
• Il ciclo degli attacchi di ingegneria sociale
• 17 tipi di attacchi di ingegneria sociale
• Strategie di protezione per prevenire attacchi di ingegneria sociale
• Conclusione

Cos'è l'ingegneria sociale?

Come accennato in precedenza, l'ingegneria sociale è una raccolta di numerosi tipi di attacchi informatici che si verificano attraverso interazioni umane e psicologiche. È dove l'autore stabilirà un obiettivo e utilizzerà tutti i mezzi possibili per ottenere risultati. Questi risultati sono la perdita di informazioni sensibili, dettagli bancari, furto di identità, fondi rubati, acquisizione o installazione del dispositivo il malware sui dispositivi delle persone attraverso tentativi di phishing.

Ad esempio, c'è stato un tempo in cui migliaia di Gli account Facebook sono stati violati tramite il malware FlyTrap Trojan. Ciò è accaduto attraverso gli utenti che scaricavano app false dagli app store.

Il ciclo degli attacchi di ingegneria sociale

Ci sono alcuni passaggi che ogni utente malintenzionato esegue per completare un attacco di ingegneria sociale. Ecco i passaggi:

• Prendere di mira una vittima
• Indagandoli e raccogliendo informazioni
• Inventare metodi di attacco a seconda dei punti deboli o vulnerabili.
• Interagire con la vittima
• Pianificazione di una storia per girare e convincere la vittima
• Espandere l'attacco chiedendo lentamente e gradualmente informazioni al bersaglio
• Mettere in atto malware e altre trame di ingegneria sociale per l'attacco
• Coprire tutte le tracce dopo l'attacco

Ora che sai come funzionano gli attacchi di ingegneria sociale, dai un'occhiata qui sotto per conoscere i diversi tipi di attacchi di ingegneria sociale.

17 tipi di attacchi di ingegneria sociale

I seguenti sono attualmente alcuni degli attacchi di ingegneria sociale più avanzati oggi. Sono:

• Phishing

Inizia con Phishing, di solito è il tipo di attacco di ingegneria sociale che avviene tramite SMS ed e-mail. A un certo punto potresti aver notato un'e-mail che ti chiede di accedere con alcuni dettagli dell'account personale o che devi pagare un determinato importo per continuare un abbonamento che non hai mai richiesto. Possono persino usare queste tattiche per l'installazione Malware Zeus o altri tipi sul tuo dispositivo.

So cosa stai pensando. Perché qualcuno dovrebbe rispondere ciecamente a tali e-mail e messaggi? Non è così semplice. Alcune di queste truffe di phishing sono estremamente difficili da distinguere. Ciò include anche chattare con qualcuno su Instagram ed essere ingannato in una relazione, solo per scoprire che il tuo conto in banca è stato svuotato. Questo è chiamato Phishing su Instagram e può accadere su quasi tutti gli altri servizi di social media.

• Vishing

Un altro tipo di attacco di phishing è Vishing. Coinvolge i truffatori che inducono la vittima a soddisfare le loro richieste tramite telefonate. Falsano i loro numeri impersonando funzionari di banca, college, ospedali, uffici e così via.

A volte, le chiamate sono così avanzate al punto che anche le loro voci sembrano familiari. Questi truffatori ti chiederanno informazioni sensibili come indirizzi, numeri di previdenza sociale e altro. È per questo che i funzionari della banca ripetono ripetutamente ai clienti che nessun rappresentante chiederebbe mai dati sensibili su chiamata o SMS.

•  Smishing

Abbiamo coperto e-mail e telefonate, e ora parliamone SMiShing attacchi effettuati tramite messaggi di testo. Questo tipo di attacco di ingegneria sociale ha dimostrato di avere molto successo perché quasi tutti presumono che chiunque abbia il tuo numero e nome debba essere una fonte autentica.

Può presentarsi sotto forma di un messaggio di testo che ti chiede di fare clic su un collegamento contenente la conferma di consegna del pacco, digitando un codice in un testo per proteggere il tuo account di social media e così via. Saprai a malapena la differenza.

• pasturazione

Cosa ti viene in mente quando senti la parola esca? Puoi descriverlo come qualcosa di eccitante attaccato all'estremità di un gancio mortale, aspettando pazientemente che le vittime vengano tentate, attirate. Esistono diverse varianti di come sono gli attacchi di adescamento.

Gli aggressori rubano informazioni tramite pubblicità, annunci, premi gratuiti, ecc. Oppure infettano il tuo sistema con malware utilizzando unità flash. Senza pensarci, la vittima inserisce queste unità flash dannose nei propri dispositivi causando guasti al sistema o perdita di informazioni.

Lo stesso si può dire dell'installazione di app false o dannose da vari app store. Fanno pubblicità in modi così convincenti che non noterai la differenza. È come cercare il migliori app Firestick e atterrando su alcuni che sono tutt'altro che autentici, possibilmente riempiendo il tuo dispositivo di malware e altri tipi di infezioni.

• Spear Phishing

Spear phishing è un altro dei tipi più mirati di attacchi di ingegneria sociale oggi. Si chiama un tipo preciso di truffa di phishing principalmente perché prende di mira le sue vittime con una pianificazione così dettagliata che richiede settimane o mesi per essere messa a segno. Questi tipi di attacchi prendono di mira pesci più grandi come grandi imprese, individui di alto profilo, ecc.

Per specificare come funziona, il target riceverà una o più email in cui il contenuto impersona un gruppo all'interno del posto di lavoro o un consulente privato.

L'e-mail può chiederti di cambiare la tua password o l'e-mail per inserire o login a una pagina, portale o account specifico. Il collegamento alla pagina del modulo può essere l'area in cui viene condotto l'attacco, dove l'hacker può facilmente accedere a tutte le informazioni inserite.

• Phishing del pescatore

Se di recente hai acquistato un prodotto online o tramite i social media e hai presentato un reclamo, ci sono truffatori in attesa di attaccare. Usano account del servizio clienti contraffatti o falsi per indurre i clienti a compilare moduli con informazioni personali.

Ad esempio, supponiamo che esista una pagina su Facebook in cui gli utenti presentano reclami sulle società XYZ. Questi aggressori monitorano tutti i reclami e prendono di mira utenti specifici che hanno molto da perdere.

• catfishing

Di quanti di voi ne siete stati vittime truffe di appuntamenti online? Hai mai parlato con qualcuno, sei caduto perdutamente per loro, solo per scoprire che eri stato trollato per tutto il tempo? La persona con cui stai parlando afferma di essere un ragazzo di 22 anni, ma in realtà risulta essere un uomo di 78 anni.

I profili falsi che sono truffe vengono spesso utilizzati come uno degli attacchi di ingegneria sociale più veloci. Questo è chiamato pesca al gatto le vittime a credere che stiano parlando con qualcuno che è onesto e reale – è esattamente l'opposto.

Questi tipi di truffe di pesca al gatto possono arrivare al punto di far affezionare emotivamente qualcuno a te, e quindi usando una storia triste e singhiozzante, chiedi loro di donarti dei soldi. Gli aggressori possono persino chiedere informazioni personali; può essere utilizzato in ogni modo possibile.

• Furto di deviazione

Tra i tipi di attacchi di ingegneria sociale, abbiamo il furto di diversione. Se dai solo un'occhiata al nome stesso, capirai più chiaramente questo tipo di attacco. Diversione significa distrarre qualcuno da ciò che sta realmente accadendo.

In questo modo, l'attaccante può facilmente indurre gli utenti a fornire loro informazioni sensibili come dettagli dell'account, indirizzi, password. Bilanci e molto altro.

• pretexting

pretexting può essere definito come un altro tipo di attacco di ingegneria sociale in cui l'autore cura attentamente linee o informazioni, le fa sembrare legali e quindi le invia al suo obiettivo. Può essere una rappresentazione delle forze dell'ordine, dei tuoi funzionari fiscali, del personale ospedaliero, ecc.

Un sacco di compiti va in un attacco come questo, in cui l'attaccante impiega tempo per raccogliere ogni tipo di informazione sul suo obiettivo. Attraverso questo, possono creare falsi avvisi, moduli, e-mail, ecc. Costringendo la persona a corrispondere e conformarsi.

• tailgating

Hai presente il momento in cui segui un'auto o un veicolo per ottenere il miglior parcheggio o per ottenere qualcosa? Questo è noto come tailgating. È un tipo di attacco di ingegneria sociale semplice ma strategico.

L'attaccante può utilizzare qualsiasi mezzo per avvicinarsi a un individuo o soggetto pedinandolo. Può essere utilizzato in circostanze in cui un intruso può seguire qualcuno in un edificio di alto profilo.

Quando la persona entra nel cancello, l'intruso corre automaticamente verso la porta ed entra illegalmente. Lo stesso può essere fatto online. Quando segui una persona mentre utilizza la sua app bancaria o altre piattaforme sensibili e raccogli informazioni in prossimità così ravvicinata.

• piggybacking

Si potrebbe dire che il Piggybacking è molto simile al tailgating. Tuttavia, in questo tipo di attacco sociale, l'individuo guida consapevolmente l'intruso nei propri dati bancari e altre informazioni sensibili.

Ad esempio, è un po' come prendersi la colpa per qualcuno anche se non hai torto. L'hai fatto solo per cortesia perché i colpevoli hanno inventato una storia triste e convincente.

Se ci dirigiamo verso un ambiente professionale, l'intruso può facilmente indurre in colpa una guardia sbadata a dargli una chiave di accesso di riserva; sostenendo che lavorano per l'azienda e che hanno lasciato la loro carta di accesso da qualche altra parte.

Ma come può la guardia dare facilmente accesso? L'intruso ha scavato un po', raccogliendo quante più informazioni possibili e le ha utilizzate al meglio delle proprie capacità.

• scareware

Lo scareware è una delle truffe di ingegneria sociale più utilizzate. Probabilmente hai ricevuto o visto alcune notifiche che ti dicono che il tuo dispositivo è stato infettato da malware. Ti chiede di fare clic su determinati collegamenti, portandoti a installare malware reali o altri tipi di minacce. Un'altra variante dello scareware è nota come scanner canaglia, fraudware o software di inganno.

Quando entri in determinati siti Web, potresti aver visto alcuni banner pop-up, ecc. che ti dicono che il tuo dispositivo è infetto e che devi scaricare un programma di pulizia o installare un software di sicurezza, ovviamente consigliato dall'aggressore.

Oltre a questo, ci sono e-mail e messaggi di testo che contengono tracce di scareware. Si è verificato un incidente in un ufficio in cui a un nuovo dipendente è stata inviata un'e-mail che gli diceva di pagare un determinato importo o di essere esposto ai propri datori di lavoro. Spaventato, il dipendente ha rispettato le richieste senza pensarci due volte, perché chi vuole perdere il lavoro, giusto? Quello era un piccolo esempio di a attacco ransomware, anche un'altra controparte dello scareware.

• Caccia alla balena

Un altro tipo di attacco di phishing si chiama Whaling. Tuttavia, Caccia alla balena è una sorta di attacco di ingegneria sociale utilizzato per catturare grossi pesci con una sola rete. Questi aggressori prendono di mira personaggi di alto profilo, grandi aziende o qualcuno di rango più elevato, come un CEO.

Se ti stai chiedendo come funziona, beh, gli aggressori prima falsificano gli indirizzi e-mail delle persone con la massima priorità sul posto di lavoro, o di un'agenzia o azienda, ecc.

All'interno dell'e-mail inviata, la fanno sembrare una situazione da fare o da colorare, facendola sembrare molto sensibile al tempo. Se l'attacco ha successo, la vittima può perdere gran parte dei dati sensibili e finire in acqua calda.

• Contatto spam

Se usi Facebook o l'ultimo nome passa a metaverse, allora potresti essere a conoscenza di questo tipo di attacco di ingegneria sociale. Hai mai ricevuto un messaggio da un amico che dice "guarda questo video, penso che ci sei dentro?" Anche questo è un tipo di virus che viene inviato a tutti i contatti e non dal tuo vero amico.

Quando fai clic sul collegamento o sul video, malware o altri tipi di minacce si diffonderanno e infetteranno il tuo dispositivo.

• Quid pro quo

Il vero significato del quid pro quo è concedere a qualcuno qualcosa in cambio del soddisfacimento di determinate richieste. Allo stesso modo, un quid pro quo viene utilizzato come meccanismo di attacchi di ingegneria sociale.

Ad esempio, supponiamo che tu voglia riparare il tuo dispositivo e contattare uno specialista IT che hai appena incontrato su Internet perché il servizio è più economico. L'attaccante quindi "aggiusta" il dispositivo ma in realtà ha installato software dannoso sul dispositivo della persona per impossessarsene o ottenere informazioni.

Allo stesso modo, può essere chiunque ti dica che hai vinto un controllo medico gratuito e, per usufruirne, devi fornire i tuoi dettagli come informazioni sull'account, indirizzi, password, ecc. In cambio? Non ottieni altro che informazioni rubate.

• Miele Trappola

La trappola del miele è solitamente un vaso appiccicoso per intrappolare persone o insetti dall'essere tentati dal miele. Tuttavia, in questa circostanza, questo attacco di ingegneria sociale è quello in cui l'aggressore finge di essere coinvolto emotivamente o sessualmente con un'altra persona online.

In questa situazione, l'attaccante chiede al suo "partner" di inviare immagini o video espliciti nella speranza di usarlo contro di loro. In caso contrario, l'aggressore chiede alla persona di inviare alcune informazioni sensibili che possono essere successivamente scambiate con denaro.

• Abbeveratoio

Ultimo nell'elenco dei tipi di attacchi di ingegneria sociale, abbiamo Watering Hole. Questo tipo di attacco prende di mira siti Web o servizi che raccolgono un numero elevato di utenti. Quando l'utente accede al proprio account, tutte le informazioni inserite possono essere registrate o archiviate all'interno di quel sito Web infetto.

Strategie di protezione per prevenire attacchi di ingegneria sociale

Ora hai una visione completa di cosa sono gli attacchi di ingegneria sociale e dei loro tipi. Tuttavia, arriverà un giorno in cui potresti incontrarne uno o due poiché non tutti sono al sicuro online.

Tuttavia, per questo motivo, abbiamo anche ideato alcune misure di protezione che possono aiutare a prevenire questi attacchi. Ecco cosa puoi fare contro questi attacchi:

• Continua a fare domande anche se non ci sono dubbi

Non è mai un peccato fare domande, soprattutto se qualcuno ti chiede dettagli bancari e altri tipi di informazioni personali. Dopo aver posto le tue domande su cosa e perché è necessario fornire determinati dati, assicurati di tenere d'occhio le risposte.

• Ricontrolla l'identità della persona con cui stai parlando

Se qualcuno ti invia e-mail, messaggi di testo o chiama chiedendoti informazioni; se affermano di essere qualcuno che conosci, ad esempio della banca o della tua azienda, assicurati di chiedere i dettagli della persona. Controlla se la persona esiste davvero, invece di essere trascinata in un truffa online.

• Cerca gli errori

Non tutti gli aggressori sono esperti nella lingua inglese o in qualsiasi altra lingua. Cerca errori di ortografia o grammatica. Controlla i segni di punteggiatura, ecc. Se qualcosa sembra fuori posto o non molto professionale, salta la conformità. Se è importante, verrai ricontattato.

• Usa un servizio VPN

Questa misura è una delle migliori. In primo luogo, una VPN, abbreviazione di Virtual Private Network, è progettata per proteggere gli utenti online, i loro dati e mantenere la privacy.

Ci sono vantaggi aggiuntivi, come l'accesso Netflix degli Stati Uniti o altri servizi di streaming, ma la sicurezza è il vantaggio numero uno. FastestVPN offre funzionalità di sicurezza di prim'ordine. Può anche aiutarti a impedirti di fare clic su collegamenti casuali da vari annunci pop-up dannosi.

• Proteggi il tuo dispositivo e il tuo software

Una VPN può aiutarti a proteggere il tuo dispositivo o la tua navigazione un'estensione per esso, ma non è l'unica cosa che dovrebbe interessarti. Usa a password sicura, programma antivirus, 2FA, e altri tipi di misure precauzionali necessarie. Invece di accedere ai siti Web su qualsiasi browser, assicurati di utilizzare solo il browser più sicuri che sono popolari.

Concludere

E questo è un involucro. Ora conosci alcuni tipi di attacchi di ingegneria sociale che stanno attualmente colpendo gli utenti di tutto il mondo. Allo stesso tempo, hai anche una conoscenza approfondita su come affrontare alcuni di questi con la nostra guida su come rimanere protetti. In ogni caso, assicurati di rimanere vigile e di connetterti a un servizio VPN per una migliore protezione online.

Iscriviti alla Newsletter

Ricevi i post di tendenza della settimana e gli ultimi annunci di FastestVPN tramite la nostra newsletter via e-mail.

Email