L'ingegneria sociale dei criminali informatici è una tattica che, in sostanza, mente all'utente creando una falsa narrazione che sfrutta la buona fede, l'avidità, la curiosità o qualsiasi altra caratteristica umana della vittima. Il risultato finale è che la vittima fornisce volontariamente informazioni private all'aggressore, siano esse personali (per esempio, nome, email), finanziarie (per esempio, numero di carta di credito, portafoglio di criptovalute) o installando inavvertitamente malware/backdoor sul proprio sistema.
Possiamo classificare gli attacchi moderni in due categorie molto ampie in base all'obiettivo: Attaccare la macchina o attaccare l'utente. "Attacking the machine" è iniziato nel 1996 con attacchi di sfruttamento delle vulnerabilità con l'articolo fondamentale "Smashing the Stack for Fun and Profit". Tuttavia, "attaccare l'uomo" (ingegneria sociale) è stato, e lo è ancora, estremamente più diffuso. Tutti gli attacchi noti non basati sulla vulnerabilità presentano una componente di ingegneria sociale, in cui l'aggressore cerca di convincere le vittime a fare qualcosa che potrebbe rivelarsi dannosa per loro.
Sebbene non si tratti di un elenco esaustivo, i seguenti sono i principali attacchi di ingegneria sociale a cui prestare attenzione:
Il phishing è uno dei tipi più comuni di attacchi di ingegneria sociale. Utilizza email e messaggi di testo per indurre le vittime a fare clic su allegati dannosi o link a siti web dannosi.
Questo attacco utilizza una falsa promessa per invogliare una vittima attraverso l'avidità o l'interesse. Le vittime vengono ingannate in una trappola che compromette le loro informazioni sensibili o infetta i loro dispositivi. Un esempio potrebbe essere quello di lasciare un'unità flash infetta da malware in un luogo pubblico. La vittima potrebbe essere interessata al suo contenuto e inserirlo nel suo dispositivo, installando involontariamente il malware.
In questo attacco, un attore mente a un altro per ottenere l'accesso ai dati. Ad esempio, un aggressore può fingere di aver bisogno di dati finanziari o personali per confermare l'identità del destinatario.
Lo scareware coinvolge le vittime a essere spaventate da falsi allarmi e minacce. Gli utenti potrebbero essere indotti a pensare che il loro sistema sia infettato da malware. Quindi installano la correzione software suggerita, ma questo software potrebbe essere il malware stesso, ad esempio un virus o uno spyware. Esempi comuni sono i banner pop-up che compaiono nel browser, con testo come "Il computer potrebbe essere infetto". Ti offrirà di installare la correzione o ti indirizzerà a un sito web dannoso.
Nello spear phishing, l'attacco è specificamente mirato a un individuo o a un'organizzazione in particolare. Allo stesso modo, gli attacchi whaling prendono di mira dipendenti di alto profilo, come CEO e direttori.
Noto anche come piggybacking, il tailgating si verifica quando un aggressore entra in un edificio sicuro o in un ufficio seguendo qualcuno con una scheda di accesso. Questo attacco presuppone che gli altri presumano che all'aggressore sia consentito essere lì.
Le truffe basate sull'intelligenza artificiale sfruttano la tecnologia di intelligenza artificiale per ingannare le vittime. Ecco i tipi più comuni:
Truffa AI-Text: Messaggi di testo ingannevoli generati dall'intelligenza artificiale per il phishing delle informazioni o la diffusione di malware.
Truffa AI-Image: Immagini false create utilizzando l'intelligenza artificiale per manipolare e ingannare le persone.
Truffa AI-Voice: Messaggi vocali fraudolenti generati dall'intelligenza artificiale per impersonare entità fidate e ingannare le vittime.
Truffa AI-Video: Video manipolati creati utilizzando l'intelligenza artificiale, noti come deepfake, utilizzati per diffondere disinformazione o prendere di mira le persone.
Visita la nostra pagina sui 12 tipi di attacchi di ingegneria sociale se desideri saperne di più.
Poiché questi attacchi hanno molte forme e dimensioni diverse e si basano sulla fallibilità umana, può essere molto difficile identificare gli attacchi di ingegneria sociale. Ciononostante, se incontri uno dei seguenti elementi, metti in guardia dal fatto che questi sono i principali campanelli d'allarme e suggerisci che sta iniziando un attacco di ingegneria sociale:
Un'email o un messaggio di testo non richiesti da qualcuno che non conosci.
Il messaggio è presumibilmente molto urgente.
Il messaggio richiede di fare clic su un collegamento o di aprire un allegato.
Il messaggio contiene molti errori tipografici e grammaticali.
In alternativa, ricevi una chiamata da qualcuno che non conosci.
Il chiamante cerca di ottenere informazioni personali da te.
Il chiamante sta tentando di convincerti a scaricare qualcosa.
Allo stesso modo, il chiamante parla con grande senso di urgenza e/o aggressività.
La più grande difesa contro le tattiche di ingegneria sociale impiegate oggi dai truffatori online è quella di essere ben informati sui numerosi modi in cui un criminale informatico potrebbe trarre vantaggio dalla vulnerabilità dei social media. Oltre alle solite conseguenze derivanti dallo spamming, dagli attacchi di phishing e dalle infezioni da malware, la sfida posta dai criminali informatici è quella di avere una solida conoscenza e comprensione di come mantenere riservati i dati.
Oltre a tenere d'occhio i segnali di allarme di cui sopra, queste sono buone pratiche da seguire:
Mantieni aggiornati il tuo sistema operativo e il software di cybersecurity.
Utilizza l'autenticazione a più fattori e/o un Password Manager.
Non aprire email e allegati da fonti sconosciute.
Imposta i filtri anti-spam troppo alti.
Elimina e ignora tutte le richieste di informazioni finanziarie o password.
Se sospetti qualcosa durante un'interazione, sii calmo e affronta le cose con calma.
Fai ricerche quando si tratta di siti web, aziende e individui.
Fai attenzione a ciò che condividi sui social media: utilizza le tue impostazioni sulla privacy.
Se sei un dipendente di un'azienda, assicurati di conoscere le politiche di sicurezza.
Motivati principalmente dal profitto, i cyber criminali hanno aumentato notevolmente i loro metodi per ottenere informazioni sensibili dagli utenti online per ottenere un guadagno monetario.
Gennaio è il momento in cui la maggior parte dei paesi inizia la stagione fiscale, il che lo rende un obiettivo cyber criminale preferito per guadagnare. Grazie all'ingegneria sociale, una tattica popolare in cui un attacco è personalizzato per coincidere con occasioni ampiamente celebrate, festività osservate e notizie popolari, i cyber criminali guadagnano molto dalle loro vittime. I cittadini statunitensi hanno ricevuto campioni di spam che hanno tentato di trasmettersi come messaggio dall'Internal Revenue Service (IRS) statunitense.
Fai clic qui per saperne di più su questo attacco malware della stagione fiscale.
Le notizie sulla morte imprevista di Robin Williams il 12 agosto 2014 sono state uno shock per le persone di tutto il mondo. Mentre le notizie sulla sua morte si diffondono come un incendio tra i netizen, spammer e cybercriminali hanno distribuito email spam che menzionano il nome dell'attore nell'oggetto dell'email. La posta indesiderata chiede ai destinatari di scaricare un video "shocking" sulla morte di William, ma facendo clic sul collegamento video viene scaricato un file eseguibile rilevato come WORM_GAMARUE.WSTQ.
Fai clic qui per saperne di più su questo attacco malware di celebrity gossip.
Quando le notizie sulla pandemia di Ebola hanno inondato Internet, i cyber criminali hanno colto l'opportunità di utilizzare i report diffusi come esche per attirare le vittime ignare ad aprire false email. Queste email alla fine portano a tentativi di phishing, in cui le informazioni e le credenziali della vittima vengono rubate.
Fai clic qui per saperne di più su questo attacco malware attraverso email false.
Il 2008 è stato l'inizio degli attacchi sociali generati dai cyber criminali per sabotaggio e profitto. Con gli obiettivi identificati, gli attacchi basati su piattaforma sono stati diretti a utenti domestici, piccole imprese e organizzazioni su larga scala che hanno colpito il furto di proprietà intellettuale, una grave perdita finanziaria. In generale, i crook online hanno ideato modi per attaccare gli utenti web con l'uso di siti di social network come Facebook e Twitter.
Nel 2008, gli utenti di Facebook sono diventati l'obiettivo dell'attacco malware worm-type KOOBFACE. Nel 2009, Twitter è diventata una miniera d'oro per i cyber criminali, diffondendo link dannosi che si sono rivelati contenere Trojan.
Possiamo decostruire qualsiasi interazione di ingegneria sociale e ridurla ai seguenti elementi:
Utilizziamo un esempio comune che probabilmente conosci: la tipica truffa via e-mail:
Figura 1. Il medium, la bugia e la richiesta di un attacco di ingegneria sociale
A partire dal 2024, i criminali raggiungono le loro vittime attraverso tutti i tipi di funzionalità di rete. Utilizzano anche storie fittizie come parte dei loro trucchi di ingegneria sociale. I loro obiettivi sono tipicamente gli stessi, come la divulgazione della password, l'installazione di malware o la condivisione di informazioni personali.
Nel corso degli anni abbiamo assistito a una moltitudine di trame diverse nel campo dell'ingegneria sociale e sareste perdonati per aver pensato che tutte le idee siano già state utilizzate. Tuttavia, ogni anno gli aggressori continuano a proporre nuovi trucchi di ingegneria sociale. In questo articolo esploreremo i nuovi miglioramenti dell'ingegneria sociale che gli aggressori potrebbero utilizzare in futuro per gli utenti. Cambiando il medium, la bugia o la richiesta, gli aggressori possono facilmente trovare truffe nuove e innovative per ingannare le loro vittime.
Quali nuovi elementi possiamo aspettarci di vedere? Quali nuovi cambiamenti al vecchio schema possiamo prevedere? In che modo le nuove tecnologie le influenzeranno?
Man mano che emergono nuove tecnologie, gli aggressori ottengono più modi per raggiungere le loro potenziali vittime. Ciò include strumenti AI, i dispositivi VR come Apple Vision Pro, lo Humane Pin, gli occhiali Ray-Ban o qualsiasi nuovo dispositivo che gli utenti potrebbero iniziare a utilizzare in futuro.
I nuovi dispositivi entrano sul mercato ogni anno e questo espande la superficie di attacco ai cyber criminali. I dispositivi indossabili sono particolarmente interessanti perché sono sempre attivi e sono completamente affidabili per il loro utente. Qualsiasi ploy che coinvolga un dispositivo indossabile ha una maggiore probabilità di essere ritenuto e considerato affidabile. Esiste la possibilità che l'aggressore acceda al dispositivo indossabile. Spesso non sono progettati per implementare strumenti di sicurezza o persino per autenticarsi regolarmente, spesso bypassando i normali controlli di sicurezza.
Figura 2. Un potenziale scenario di dispositivi indossabili come mezzo per gli attacchi di ingegneria sociale
I chatbot IA potrebbero anche essere utilizzati come veicolo per raggiungere l'utente. L'idea di questo attacco è quella di trasmettere informazioni false al chatbot per indurre l'utente ad agire. L'avvelenamento dei dati dei chatbot può essere realizzato in diversi modi, tra cui l'invio di informazioni cattive, il dirottamento dei dati di formazione o l'iniezione di nuovi comandi.
Un nuovo modo per utilizzare il classico mezzo di posta elettronica e di messaggistica istantanea (IM) consiste nell'utilizzare un bot basato su un modello di linguaggio di grandi dimensioni (LLM) per aumentare l'efficacia di un attacco BEC. L'attore delle minacce potrebbe utilizzare il bot LLM per compilare tutta la cronologia dei messaggi precedenti tra la vittima e il CEO. A questo punto, il bot potrebbe continuare a parlare su questo canale attendibile come se fosse l'amministratore delegato, utilizzando il suo stile di scrittura per convincere la vittima a inviare il denaro. Ciò sta già accadendo manualmente, ma il potenziale di questo attacco automatizzato con l'intelligenza artificiale non può essere ignorato.
La principale innovazione che guida le bugie socialmente ingegnerizzate è l'AI. L'effettiva bugia in una storia di ingegneria sociale varierà in base alla stagione, al paese e al gruppo demografico, per citarne alcuni, ma ciò può cambiare molto rapidamente a causa della scalabilità e della flessibilità che l'AI offre. L'intelligenza artificiale generativa (GenAI) eccelle nella generazione di immagini, audio e video. Per quanto riguarda il testo, eccelle nella creazione di contenuti credibili e nell'elaborazione rapida di grandi quantità di testo. Questa nuova scalabilità apre molti nuovi sviluppi all'aspetto "bugia" dell'ingegneria sociale.
Un nuovo tema che gli aggressori possono utilizzare per creare bugie è la tecnologia AI stessa. Ad esempio, creare bugie su ChatGPT o VR può essere efficace a causa dell'interesse che generano. Inoltre, gli aggressori possono creare falsi strumenti correlati all'IA che sono in realtà malware. I grafici sono generalmente curiosi di creare immagini e video in deepfake. Uno strumento che l'aggressore può offrire per facilitarlo potrebbe essere scaricato ed eseguito. Allo stesso modo, l'integrazione di immagini e video deepfake nelle truffe di successo esistenti può aggiungervi più credibilità. Questa strategia è chiaramente in aumento nell'attuale panorama delle minacce. Crediamo che i deepfake abbiano il potenziale per essere altamente dirompenti nelle truffe di ingegneria sociale e che gli aggressori li utilizzeranno ampiamente nel prossimo futuro.
Figura 3. Come le truffe telefoniche e vocali possono essere migliorate dai deepfake
Clicca qui per saperne di più sul futuro dell'ingegneria sociale.
Trend Vision One™ è una piattaforma di cybersecurity che semplifica la sicurezza e aiuta le aziende a rilevare e bloccare le minacce più velocemente consolidando più funzionalità di sicurezza, consentendo un maggiore controllo della superficie di attacco dell'azienda e fornendo una visibilità completa della sua condizione di rischio informatico.
La piattaforma basata sul cloud sfrutta l'intelligenza artificiale e le informazioni sulle minacce provenienti da 250 milioni di sensori e 16 centri di ricerca sulle minacce in tutto il mondo per fornire informazioni complete sui rischi, rilevamento precoce delle minacce e opzioni automatizzate di rischio e risposta alle minacce in un'unica soluzione.