Vai al contenuto principale

BG Cyber Newsletter

Dicembre 2024

Tutela la tua sicurezza e rimani sempre aggiornato leggendo il numero di questo mese!

Social Engineering

MANIPOLAZIONE PSICOLOGICA E ATTACCHI DI PHISHING, VISHING E SMISHING

Il social engineering è un insieme di tecniche e tattiche utilizzate dai cyber criminali per manipolare le persone, inducendole inconsapevolmente a condividere informazioni sensibili, cliccare su link malevoli o scaricare allegati dannosi.

I threat actor sfruttano emozioni come la fiducia, l'urgenza e la paura per ingannare le vittime e indurle a commettere errori che compromettono la loro sicurezza personale e quella dell’organizzazione.

La manipolazione psicologica dietro gli attacchi di social engineering

Il social engineering utilizza la manipolazione psicologica che fa leva sul fattore umano. Le persone, infatti, spesso rappresentano l’anello debole nella gestione della sicurezza, soprattutto quando non sono cyber-consapevoli. Il social engineering, quindi, sfrutta l’errore e la debolezza umana, piuttosto che le vulnerabilità dei sistemi e per questo viene spesso definito «hacking umano»

Le principali tecniche di attacco

  • PHISHING

    Il phishing consiste nell'invio di email fraudolente che sembrano provenire da fonti affidabili, con l'obiettivo di indurre la vittima a condividere informazioni che non dovrebbe condividere o a scaricare allegati che non dovrebbe scaricare

  • SMISHING

    Lo smishing è simile al phishing, ma avviene tramite SMS. Gli attaccanti inviano messaggi di testo contenenti link che rimandano a siti web infetti o form da compilare con dati sensibili

  • VISHING

    Il vishing avviene mediante l’utilizzo da parte dei cyber criminali di chiamate telefoniche per impersonare entità fidate e raccogliere informazioni sensibili, come numeri di conto o PIN, spesso sfruttando il senso di urgenza o la paura per convincere la vittima ad agire senza riflettere

Lo sapevi?

Il social engineering continua a essere una delle minacce informatiche in forte crescita.

Secondo il rapporto Clusit 2024:

  • L’8% degli attacchi informatici nel mondo del 2024 sono stati legati a tecniche di phishing e social engineering, con una severity classificata come critical degli attacchi pari al 20%;
     
  • In Italia il social engineering si posiziona al terzo posto tra le tecniche di attacco più utilizzate nel 2024, con una percentuale del 7%, continuando a costituire una minaccia sostanziale.
Non lasciare che i cyber criminali manipolino le tue emozioni.

Perché il social engineering è così efficace?

Gli attacchi di social engineering rappresentano una minaccia particolarmente insidiosa, perché sono notoriamente difficili da rilevare. Questo perché combinano tecniche di manipolazione psicologica con tecniche di attacco sempre più sofisticate, aumentando le probabilità di successo contro qualsiasi target.

Caso società di servizi finanziari

Nel 2022 alcuni clienti di un’importante società di servizi finanziari americana sarebbero stati vittime di un attacco di tipo vishing, ricevendo chiamate da parte del cyber criminale che si sarebbe finto l’entità fidata.

Il cyber criminale avrebbe ottenuto l'accesso ai loro account dopo averli indotti a fornire le loro informazioni.

Violando con successo i loro account, il threat actor avrebbe anche trasferito denaro sul proprio conto bancario utilizzando il servizio di pagamento elettronico «Zelle».

La società avrebbe dichiarato di aver bloccato gli account compromessi, ma l’incidente avrebbe causato un significativo danno reputazionale all’azienda.

Caso azienda di dispositivi rete

Un’azienda leader nella produzione di dispositivi di rete e soluzioni Wi-Fi sarebbe stata vittima di un attacco di phishing.

I cyber criminali avrebbero inviato email fraudolente a dipendenti di alto livello, impersonando dirigenti dell'azienda, convincendoli a trasferire fondi aziendali su conti bancari esteri.

Sfruttando la fiducia e il senso di urgenza, gli attaccanti avrebbero indotto le vittime a completare rapidamente le operazioni, senza sospettare del raggiro. Le email fraudolente sarebbero state progettate in modo da apparire legittime, utilizzando domini simili a quelli ufficiali dell’azienda, aumentando così l’efficacia dell’inganno.

Di conseguenza, i criminali sarebbero riusciti a sottrarre oltre 46,7 milioni di dollari, trasferendo la somma su conti esteri.

Oltre all’enorme perdita economica, l’attacco avrebbe causato anche un significativo danno alla reputazione dell’azienda.

Consigli utili e best practices

  • Presta attenzione a link o allegati di cui non conosci la provenienza

  • Non condividere le tue informazioni personali (soprattutto sensibili) né le informazioni confidenziali della tua azienda, a meno che tu non possa confermare la legittimità della richiesta.