Social engineering
L’Ingegneria sociale è un termine utilizzato per descrivere un insieme di tecniche e tattiche ( tra cui lo Spear Phishing e Spray phishing )che mirano a manipolare le persone. L’obiettivo è quello di ottenere informazioni, accessi o azioni che altrimenti potrebbero essere difficili o impossibili da recuperare attraverso mezzi tradizionali come l’informatica o la forza fisica. Questa pratica sfrutta la naturale tendenza umana a fidarsi e cooperare con gli altri, spesso sfruttando la mancanza di consapevolezza o l’ingenuità delle persone.
In quale ambiti siamo più a rischio? Certamente dentro e fuori il web. I mass media, in più occasioni, specialmente nei periodi estivi o collegati a lunghi ponti e feste comandate, sensibilizzano anziani e familiari a stare particolarmente in allerta. Infatti, gli attacchi di ingegneria sociale possono variare da truffe telefoniche (in cui i truffatori si fingono rappresentanti di istituti finanziari per ottenere informazioni sensibili), a manipolazioni psicologiche complesse in cui gli aggressori cercano di convincere le persone a rivelare informazioni confidenziali, a cedere danaro, o a compiere azioni dannose.
Le vittime degli attacchi di ingegneria sociali, tra cui lo Spear Phishing e lo Spray phishing, possono essere sia individui che organizzazioni. È importante essere consapevoli di queste tecniche e di come funzionano per proteggersi da possibili attacchi. La sensibilizzazione, l’educazione e l’addestramento delle persone sono strumenti essenziali per prevenire il successo di tali tentativi di manipolazione. In questo articolo ci concentriamo sulle tecniche di manipolazione via web, il cosiddetto phishing, che abbiamo ampiamente trattato nei nostri articoli ma che continuiamo a sottovalutarein quanto abbiamo poca percezione del fatto che le tecniche stanno diventando sempre più sofisticate e a volte è davvero difficile identificare la trappola.
Spear Phishing
Abbiamo ben chiari quali sono gli obiettivi del phishing? Rubare dati. Nostri oppure delle aziende o delle organizzazioni presso le quali lavoriamo o ci dedichiamo nel nostro tempo libero. Lo Spear phishing è una forma mirata e sofisticata di attacco informatico che fa parte delle tecniche di ingegneria sociale. Si tratta di un tipo di phishing in cui gli aggressori mirano a individui o organizzazioni specifici, cercando di ottenere dati sensibili, credenziali o accessi utilizzando messaggi e comunicazioni falsificate.
A differenza del phishing tradizionale, in cui gli attaccanti inviano email o messaggi di massa sperando che qualcuno cada nella trappola, nello Spear phishing gli aggressori raccolgono informazioni personali su un individuo o un gruppo di individui specifici. Questi dati possono includere nomi, indirizzi email, incarichi di lavoro, collegamenti sociali o qualsiasi altra informazione che renda l’attacco più credibile. Lo Spear phishing, infatti, sfrutta la personalizzazione e la credibilità per cercare di ottenere accesso a informazioni o risorse sensibili. E’ facile cadere in trappola, perché i cybercriminali confezionano comunicazioni molto credibili che “sfruttano” le nostre amicizie, conoscenze e abitudini.
Spray phishing
Lo Spray phishing, invece, consiste in vere e proprie campagne di phishing messe in atto da malintenzionati su larga scala. In questo caso quindi, non si colpisce il singolo individuo, ma si adottano tecniche che consentono di colpire un numero maggiore di destinatari per raggiungere un determinato obiettivo (dati sanitari, account social, numeri di carta di credito, liste e contatti di clienti, dati finanziari ecc…). Ricordiamoci, infatti, che i vettori di attacco non sono esclusivamente tecnici ma anche umani. Sono i nostri errori che permettono ai malintenzionati di raggiungere gli obiettivi.
I fattori psicologici, la disattenzione, il senso di urgenza, la superficialità o la fretta ci inducono a commettere errori, e sono proprio queste le chiavi per aprire agli hacker le nostre porte! Su come difendersi ne abbiamo parlato ampiamente, oggi vogliamo ricordare che le tecniche e le tattiche di ingegneria sociale si affinano ogni giorno di più e la formazione personale è l’unico strumento che abbiamo a disposizione per arginare il flusso di attacchi che minano indistintamente aziende, individui e organizzazioni.
Foto di copertina di Lance Cpl. Tyler Forti da https://www.dvidshub.net/portfolio/1630442/tyler-forti
