BG Cyber Newsletter
Dicembre 2024
Tutela la tua sicurezza e rimani sempre aggiornato leggendo il numero di questo mese!
Social Engineering
MANIPOLAZIONE PSICOLOGICA E ATTACCHI DI PHISHING, VISHING E SMISHING
Il social engineering è un insieme di tecniche e tattiche utilizzate dai cyber criminali per manipolare le persone, inducendole inconsapevolmente a condividere informazioni sensibili, cliccare su link malevoli o scaricare allegati dannosi.
I threat actor sfruttano emozioni come la fiducia, l'urgenza e la paura per ingannare le vittime e indurle a commettere errori che compromettono la loro sicurezza personale e quella dell’organizzazione.
La manipolazione psicologica dietro gli attacchi di social engineering
Il social engineering utilizza la manipolazione psicologica che fa leva sul fattore umano. Le persone, infatti, spesso rappresentano l’anello debole nella gestione della sicurezza, soprattutto quando non sono cyber-consapevoli. Il social engineering, quindi, sfrutta l’errore e la debolezza umana, piuttosto che le vulnerabilità dei sistemi e per questo viene spesso definito «hacking umano»
Le principali tecniche di attacco
PHISHING
Il phishing consiste nell'invio di email fraudolente che sembrano provenire da fonti affidabili, con l'obiettivo di indurre la vittima a condividere informazioni che non dovrebbe condividere o a scaricare allegati che non dovrebbe scaricare
SMISHING
Lo smishing è simile al phishing, ma avviene tramite SMS. Gli attaccanti inviano messaggi di testo contenenti link che rimandano a siti web infetti o form da compilare con dati sensibili
VISHING
Il vishing avviene mediante l’utilizzo da parte dei cyber criminali di chiamate telefoniche per impersonare entità fidate e raccogliere informazioni sensibili, come numeri di conto o PIN, spesso sfruttando il senso di urgenza o la paura per convincere la vittima ad agire senza riflettere
Non lasciare che i cyber criminali manipolino le tue emozioni.
Perché il social engineering è così efficace?
Gli attacchi di social engineering rappresentano una minaccia particolarmente insidiosa, perché sono notoriamente difficili da rilevare. Questo perché combinano tecniche di manipolazione psicologica con tecniche di attacco sempre più sofisticate, aumentando le probabilità di successo contro qualsiasi target.
Caso società di servizi finanziari
Nel 2022 alcuni clienti di un’importante società di servizi finanziari americana sarebbero stati vittime di un attacco di tipo vishing, ricevendo chiamate da parte del cyber criminale che si sarebbe finto l’entità fidata.
Il cyber criminale avrebbe ottenuto l'accesso ai loro account dopo averli indotti a fornire le loro informazioni.
Violando con successo i loro account, il threat actor avrebbe anche trasferito denaro sul proprio conto bancario utilizzando il servizio di pagamento elettronico «Zelle».
La società avrebbe dichiarato di aver bloccato gli account compromessi, ma l’incidente avrebbe causato un significativo danno reputazionale all’azienda.
Caso azienda di dispositivi rete
Un’azienda leader nella produzione di dispositivi di rete e soluzioni Wi-Fi sarebbe stata vittima di un attacco di phishing.
I cyber criminali avrebbero inviato email fraudolente a dipendenti di alto livello, impersonando dirigenti dell'azienda, convincendoli a trasferire fondi aziendali su conti bancari esteri.
Sfruttando la fiducia e il senso di urgenza, gli attaccanti avrebbero indotto le vittime a completare rapidamente le operazioni, senza sospettare del raggiro. Le email fraudolente sarebbero state progettate in modo da apparire legittime, utilizzando domini simili a quelli ufficiali dell’azienda, aumentando così l’efficacia dell’inganno.
Di conseguenza, i criminali sarebbero riusciti a sottrarre oltre 46,7 milioni di dollari, trasferendo la somma su conti esteri.
Oltre all’enorme perdita economica, l’attacco avrebbe causato anche un significativo danno alla reputazione dell’azienda.
Consigli utili e best practices
Presta attenzione a link o allegati di cui non conosci la provenienza
Non condividere le tue informazioni personali (soprattutto sensibili) né le informazioni confidenziali della tua azienda, a meno che tu non possa confermare la legittimità della richiesta.