Social Engineering: attacchi di ingegneria sociale

Il Social Engineering, tradotto in italiano come "ingegneria sociale", è una forma di manipolazione psicologica che coinvolge l'uso manipolativo delle abilità comunicative e psicologiche per ottenere informazioni, accesso o azioni da parte di altre persone. Gli ingegneri sociali cercano di sfruttare la naturale propensione umana a fidarsi e cooperare con gli altri, al fine di ottenere ciò che desiderano.

Questa tecnica non riguarda l'uso di vulnerabilità tecnologiche o sistemi informatici, ma si concentra principalmente sulla manipolazione delle persone stesse. Gli ingegneri sociali possono sfruttare la buona fede, la curiosità, la paura, la gentilezza o la mancanza di consapevolezza di una persona per ottenere informazioni sensibili o per indurle a compiere azioni che potrebbero essere dannose per la sicurezza personale o organizzativa.

Esempi di tecniche di ingegneria sociale includono:

1. Phishing: Tramite e-mail, messaggi o siti web fasulli, gli aggressori cercano di ingannare le vittime convincendole a condividere informazioni personali o ad accedere a link malevoli. Gli ingegneri sociali inviano comunicazioni ingannevoli che sembrano provenire da fonti affidabili o note per ottenere informazioni sensibili come password, numeri di carta di credito o dettagli personali.

2. Pretesti: Un ingegnere sociale si finge una persona di fiducia o un dipendente di un'organizzazione per ottenere accesso a luoghi o informazioni riservate. Gli attaccanti si presentano come persone fidate, ad esempio tecnici IT o rappresentanti di servizi, per ottenere informazioni o accesso ai sistemi.

3. Impersonificazione (Spoofing): Questa tecnica coinvolge la falsificazione di numeri di telefono o indirizzi email per apparire come qualcun altro e ingannare le persone. Coinvolge la manipolazione delle informazioni di identificazione, come il numero di telefono o l'indirizzo email del mittente, per far sembrare che un messaggio provenga da una fonte legittima. Gli attaccanti possono impersonare colleghi, manager, istituzioni governative o altre figure di fiducia per ingannare le vittime.

4. Tailgating (Seguire qualcuno): Un ingegnere sociale può seguire da vicino un dipendente o una persona autorizzata attraverso una porta di sicurezza o un'area riservata sfruttando la gentilezza o la confusione.

5. Reverse Social Engineering: In questo caso, l'ingegnere sociale viene ingannato dalla vittima, facendo credere all'ingegnere sociale di essere più affidabile o di avere un'autorità maggiore di quella che in realtà possiede.

6. Inganno telefonico: Gli aggressori utilizzano chiamate telefoniche ingannevoli per ottenere informazioni riservate o persuadere le persone a compiere azioni contro la loro volontà.

7. Baiting (Esca): In questa tecnica, gli attaccanti offrono una "esca" attraente o allettante, come una chiavetta USB, un CD o un file scaricabile, contenente malware o software dannosi. Se una vittima lo utilizza o lo apre, il malware si installa sul loro sistema e compromette la sicurezza.

8. Quid pro quo: In questa tecnica, gli attaccanti promettono qualcosa in cambio di informazioni. Ad esempio, potrebbero chiamare i dipendenti di un'azienda offrendo assistenza o premi speciali, ma chiedendo in cambio le loro credenziali di accesso o altre informazioni sensibili.

9. Spear phishing: Il spear phishing è una variante del phishing in cui gli attaccanti prendono informazioni personali o di lavoro delle vittime da fonti pubbliche o social media per personalizzare i loro messaggi. Questo rende le e-mail o i messaggi più convincenti e aumenta la probabilità che la vittima cada nell'inganno.

10. Vishing: Il vishing è il phishing effettuato attraverso chiamate telefoniche. Gli attaccanti si fingono operatori del supporto tecnico, impiegati di istituti finanziari o altre figure di autorità per ottenere informazioni o istigare azioni indesiderate dalle vittime.

11. Smishing: Simili al phishing e al vishing (chiamate vocali), l'attaccante utilizza SMS e messaggi testuali per ingannare le vittime.

12. Water-holing (Avvelenamento del Pozzo): Gli attaccanti mirano a compromettere siti web frequentati dalle loro vittime target. Analizzano i comportamenti delle potenziali vittime e inseriscono malware nei siti web che visitano regolarmente. Quando le vittime visitano questi siti infetti, i loro sistemi vengono compromessi.

13. Reverse Social Engineering (Ingegneria Sociale Inversa): Invece di attaccare direttamente le vittime, gli attaccanti si fanno convincere da queste ultime a rivelare informazioni sensibili. Possono fingersi utenti in difficoltà o richiedere assistenza tecnica alle vittime per farle rivelare informazioni o compiere azioni contro la loro volontà.

14. Dumpster Diving: Questa tecnica coinvolge il recupero fisico di informazioni sensibili dai rifiuti o dalle discariche. Gli attaccanti cercano informazioni preziose come password, documenti aziendali o dati personali gettati via in modo non sicuro.

15. Quesito di Sicurezza: Gli attaccanti possono cercare di ottenere accesso a account o informazioni personali superando le domande di sicurezza impostate. Ad esempio, possono cercare di indovinare la risposta a una domanda come "Qual è il nome del tuo animale domestico?" o "Qual è il tuo colore preferito?"

16. Eavesdropping (Ascolto Abusivo): Gli attaccanti cercano di raccogliere informazioni ascoltando conversazioni private, sia in persona che attraverso dispositivi di intercettazione. Possono ascoltare conversazioni telefoniche o intercettare comunicazioni online per ottenere informazioni preziose.

17. Attaque à la pince (Shoulder Surfing): Questa tecnica coinvolge l'osservazione delle azioni di una persona mentre inserisce password, codici PIN o altre informazioni riservate. Gli attaccanti possono osservare direttamente la vittima o registrare segretamente le loro azioni tramite telecamere nascoste.

18. Scareware: Gli attaccanti utilizzano messaggi di avviso falsi o minacce per spaventare le vittime e convincerle a compiere azioni indesiderate, come scaricare software dannosi o fornire informazioni personali per "risolvere" il problema.

19. Clickjacking: Questa tecnica coinvolge la manipolazione dell'aspetto di un sito web o di un elemento all'interno di esso per indurre le vittime a cliccare su qualcosa in modo involontario. Ad esempio, gli attaccanti possono sovrapporre un pulsante o un link dannoso a un elemento visivamente attraente del sito, portando la vittima a cliccare senza rendersi conto delle conseguenze.

20. Honeytrap (Trappola del Miele): Gli attaccanti utilizzano l'arte della seduzione per ottenere informazioni o compromettere le vittime. Questa tecnica coinvolge l'invio di "adescatori" per interagire con la vittima al fine di ottenere accesso a informazioni riservate.

21. Trojan Horse: In questa tecnica, gli attaccanti utilizzano software apparentemente legittimo per nascondere malware o codice dannoso. Quando la vittima installa o esegue il software, il malware viene attivato, compromettendo la sicurezza del sistema.

22. Fake Wi-Fi Hotspots: Gli attaccanti creano punti di accesso Wi-Fi falsi in luoghi pubblici, come aeroporti o caffetterie, per indurre le persone a connettersi a questi punti di accesso compromessi. Una volta connessi, gli attaccanti possono intercettare il traffico Internet della vittima e rubare informazioni sensibili.

23. Bump and Run: Gli attaccanti utilizzano fisicamente un dispositivo per rubare dati da un altro dispositivo senza che la vittima se ne accorga. Ad esempio, possono utilizzare un dispositivo per "ur-tappare" una carta di credito o un telefono cellulare della vittima e acquisire informazioni sensibili.

24. Tailoring (Adattamento): In questa tecnica, gli attaccanti raccogliano informazioni personali o di background sulle loro vittime e utilizzano queste informazioni per creare messaggi o scenari di ingegneria sociale altamente personalizzati e convincenti.

25. USB Drop Attack: Gli attaccanti lasciano intenzionalmente dispositivi USB contenenti malware in aree pubbliche o vicino a obiettivi desiderati. Se una vittima trova il dispositivo e lo collega al proprio computer, il malware si installa e compromette la sicurezza del sistema.

26. QRLJacking: Questa tecnica coinvolge l'intercettazione di codici QR (Quick Response) per ottenere accesso a account o informazioni sensibili. Gli attaccanti possono utilizzare tecniche di intercettazione, come l'utilizzo di una fotocamera o un software dannoso, per raccogliere i codici QR delle vittime.

27. Fearmongering (Spargere Paura): In questa tecnica, gli attaccanti utilizzano la paura o l'ansia delle persone per spingerle a compiere azioni indesiderate. Possono diffondere notizie false o minacce esagerate per manipolare le reazioni delle vittime.

28. Third-Party Authorization (Autorizzazione di Terze Parti): Gli attaccanti cercano di ottenere l'autorizzazione da parte di terze parti per ottenere accesso a informazioni o sistemi di una vittima. Ad esempio, potrebbero cercare di convincere un fornitore o un partner commerciale a fornire loro informazioni riservate sulla vittima.

29. Job Offer Scams (Truffe delle Offerte di Lavoro): Gli attaccanti possono fingere di offrire opportunità di lavoro allettanti per convincere le vittime a condividere informazioni personali o pagare tasse false. Queste truffe spesso sfruttano l'emozione della speranza per ottenere informazioni o denaro.

30. Gift Card Scams (Truffe delle Carte Regalo): Gli attaccanti possono fingere di essere organizzazioni benefiche o aziende e chiedere alle vittime di acquistare carte regalo e fornire i codici per scopi apparentemente legittimi. In realtà, le carte regalo vengono rubate o utilizzate per truffare denaro alle vittime.

31. Impersonation on Social Media (Falsi Profili Social): Gli attaccanti creano profili social falsi utilizzando l'identità di un'altra persona o di un'organizzazione per ingannare le persone. Possono usare questi profili per ottenere informazioni private, spargere disinformazione o diffamare qualcuno.

32. Website Spoofing (Falsificazione di Siti Web): In questa tecnica, gli attaccanti creano siti web falsi che assomigliano a quelli di aziende o servizi legittimi. Spingono le vittime a visitare questi siti e a condividere informazioni personali o di accesso, che vengono quindi sfruttate dagli attaccanti.

33. Social Engineering through Customer Support (Ingegneria Sociale attraverso il Supporto Clienti): Gli attaccanti possono fingere di essere dipendenti del servizio clienti di un'azienda e cercare di ottenere informazioni riservate o accesso ai sistemi della vittima per scopi malevoli.

34. Social Media Phishing: Gli attaccanti sfruttano le informazioni condivise pubblicamente sui profili di social media delle vittime per creare messaggi di phishing personalizzati. Questi messaggi sembrano provenire da amici o contatti fidati, ingannando le vittime a cliccare su link dannosi o a condividere informazioni sensibili.

35. Fake Surveys (Sondaggi Falsi): Gli attaccanti utilizzano sondaggi fasulli per raccogliere informazioni personali o di marketing sulle vittime. Questi sondaggi possono sembrare legittimi ma sono progettati per ottenere dati sensibili.

36. Social Manipulation (Manipolazione Sociale): Gli attaccanti cercano di influenzare il comportamento delle persone utilizzando tecniche di persuasione o manipolazione psicologica per farle agire contro i propri interessi.

37. Elicitation (Elicitazione): Gli attaccanti utilizzano tecniche di intervista e conversazione per ottenere informazioni riservate dalle vittime, spesso senza che queste ultime se ne rendano conto.

38. Fake Fundraising (Raccolta Fondi Falsa): Gli attaccanti organizzano raccolte fondi false per cause immaginarie o inesistenti per raccogliere denaro dalle vittime ingannate.

È importante riconoscere i rischi associati all'ingegneria sociale e adottare misure preventive per proteggersi. La consapevolezza è uno degli strumenti più potenti per difendersi dall'ingegneria sociale.

Obiettivi del Social Engineering

1. Acquisizione di informazioni sensibili: Gli attaccanti cercano di ottenere dati personali, credenziali d'accesso, informazioni aziendali riservate o altre informazioni sensibili per compiere azioni dannose.

2. Accesso non autorizzato: Gli aggressori cercano di accedere a sistemi, reti o edifici senza il permesso appropriato.

3. Distribuzione di malware: Il Social Engineering può essere utilizzato per convincere le persone a scaricare e installare software dannosi sulle loro apparecchiature.

4. Trasferimento di denaro: Gli aggressori possono cercare di convincere le vittime a trasferire denaro o risorse, spesso simulando di essere un ente fidato.

Come Proteggersi dal Social Engineering

1. Verifica dell'Identità: Prima di condividere informazioni sensibili o concedere accesso, assicuratevi di verificare l'identità delle persone coinvolte.

2. Diffidate delle Richieste Urgenti: Gli aggressori spesso cercano di indurre le vittime a compiere azioni rapide e irrazionali. Prendetevi sempre il tempo necessario per valutare le richieste.

3. Protezione delle Informazioni: Utilizzate password robuste, evitate di condividere informazioni sensibili tramite canali non sicuri e proteggete i dispositivi con soluzioni di sicurezza aggiornate.

4. Segnalazione di Attività Sospette: In caso di sospetta attività di social engineering, segnalate immediatamente il problema alle autorità competenti o al supporto informatico dell'università (https://helpme.uniurb.it).