Social Engineering Attacks

L'ingegneria sociale è una minaccia alla sicurezza che prende di mira gli esseri umani piuttosto che i computer o i software. Gli ingegneri sociali utilizzano una combinazione di inganno, coercizione e tattiche simili per influenzare i loro obiettivi a fare ciò che vogliono.

Richiedi una Demo Per saperne di più

Social Engineering Attacks

Come funziona l'ingegneria sociale?

Gli ingegneri sociali sfruttano comunemente I sette principi chiave della persuasione di Cialdini:

  • Reciprocità: Le persone sono più propense a fare qualcosa per qualcuno che ha o promette di fare qualcosa per loro in cambio.
  • Impegno e coerenza: Qualcuno è più propenso a fare qualcosa dopo aver preso un impegno o se è sempre stato fatto così.
  • Prova sociale: L'"effetto bandwagon" significa che le persone sono più propense a fare qualcosa che vedono come popolare e che tutti gli altri stanno facendo.
  • Autorità: Le persone sono più propense a compiere azioni ordinate da una figura autoritaria.
  • Mi piace: Le persone vogliono essere apprezzate e faranno cose che le renderanno ancora più simpatiche o che permetteranno loro di evitare l'imbarazzo.
  • Scarsità: Se qualcosa scarseggia, le persone la considerano più preziosa e si affrettano a prenderla prima che sia troppo tardi.
  • Unità: Le persone sono più propense a fare cose che le persone che amano e con cui si identificano stanno facendo o suggeriscono.

Molti dei tipi più comuni di attacchi di ingegneria sociale sfruttano uno o più di questi principi. Ad esempio, gli aggressori di Business Email Compromise (BEC) fingono di essere figure autoritarie per rubare informazioni sensibili o denaro. Gli schemi di fatturazione falsa sfruttano l'impegno e la coerenza; se un'azienda pensa di aver utilizzato un prodotto o un servizio di un fornitore, si sente in dovere di pagarlo.

Tipi di attacchi di ingegneria sociale

Phishing è il tipo più comune di ingegneria sociale utilizzato nei cyberattacchi. Gli attacchi di phishing si presentano in diverse forme, tra cui:

  • Spear Phishing: Gli attacchi di phishing mirato sono estremamente mirati. Gli Spear phisher effettuano ricerche approfondite sui loro obiettivi per personalizzare i loro attacchi e massimizzare le probabilità di successo.
  • La caccia alle balene: Gli attacchi whaling sono attacchi di spear phishing mirati a dirigenti di alto livello. Questi attacchi sono progettati per sembrare e-mail legittime e cercano di sfruttare l'autorità e il potere del destinatario.
  • Attacchi BEC: In un attacco BEC, l'aggressore si maschera da figura autoritaria all'interno di un'organizzazione o da un venditore o fornitore dell'azienda. Questi attacchi sono comunemente progettati per rubare informazioni sensibili o far sì che un dipendente invii denaro all'aggressore.
  • Smishing: Gli attacchi di smishing sono attacchi di phishing eseguiti tramite messaggi di testo SMS. Questi attacchi sfruttano il fatto che le aziende utilizzano sempre più spesso gli SMS per raggiungere i clienti e che i servizi di abbreviazione dei link possono essere utilizzati per nascondere la destinazione di un link.
  • Vishing: Vishing è l'acronimo di phishing vocale. Questi attacchi utilizzano molte delle stesse tecniche di influenza del phishing, ma vengono eseguiti per telefono.

Tecniche di attacco di ingegneria sociale

Oltre a sfruttare la psicologia per influenzare, gli ingegneri sociali utilizzano comunemente anche l'inganno nei loro attacchi. Alcune tecniche di attacco comuni utilizzate negli attacchi di phishing includono:

  • Collegamenti dannosi: phishing Le e-mail contengono comunemente link a siti di phishing e ad altri siti dannosi. Questi link e i siti a cui puntano sono comunemente progettati per sembrare siti legittimi.
  • Allegati infetti: Le e-mail di phishing possono includere malware allegato o file che scaricano malware. Le macro di Microsoft Office e i PDF dannosi sono allegati dannosi comuni.
  • Indirizzi di sosia: Per far sembrare realistiche le e-mail di phishing, i phisher possono utilizzare indirizzi simili. Gli indirizzi e-mail che assomigliano a un dominio legittimo hanno maggiori probabilità di superare una rapida occhiata e di ingannare il destinatario.

Come prevenire gli attacchi di ingegneria sociale?

Il phishing e altri schemi di ingegneria sociale sono una minaccia importante per la cybersicurezza aziendale. Le migliori pratiche per Protezione dagli attacchi di ingegneria sociale includere:

  • Formazione dei dipendenti: I dipendenti devono conoscere le minacce di social engineering che devono affrontare per poterle individuare e rispondere al meglio. Una parte importante di questa formazione è come identificare i vari tipi di attacchi di phishing e il fatto che il phishing non si limita alle e-mail.
  • autenticazione a più fattori (MFA): Gli attacchi di social engineering mirano comunemente alle credenziali di accesso che possono essere utilizzate per ottenere l'accesso alle risorse aziendali. L'implementazione dell'MFA in tutta l'azienda rende più difficile per gli aggressori sfruttare queste credenziali compromesse.
  • Separazione dei compiti: Gli attacchi di ingegneria sociale sono progettati per indurre gli obiettivi a inviare informazioni sensibili o denaro a un aggressore. I processi dovrebbero essere progettati in modo che i pagamenti e altre azioni ad alto rischio richiedano più firme, diminuendo la probabilità che tutti vengano ingannati da scam.
  • Antivirus and Antimalware: Gli attacchi di phishing sono comunemente progettati per fornire malware al computer di destinazione. Antivirus e le protezioni antimalware sono essenziali per identificare e bloccare questi attacchi.
  • Soluzioni per la sicurezza delle e-mail: I phisher utilizzano una serie di tecniche per far sembrare i loro messaggi più realistici e per ingannare i destinatari. Soluzioni per la sicurezza delle e-mail può scansionare le e-mail alla ricerca di contenuti sospetti e rimuovere i contenuti potenzialmente dannosi dai messaggi e dagli allegati prima di consegnarli al destinatario.

Prevenzione dell'ingegneria sociale con Check Point

Il phishing è una delle maggiori minacce alla cybersecurity aziendale ed è un vettore di attacco comune per il malware e le violazioni dei dati. Check Point e Avanan hanno sviluppato una soluzione di sicurezza e-mail che offre una protezione completa contro una serie di attacchi di social engineering basati sulle e-mail. Per sapere come proteggere la sua organizzazione e i suoi dipendenti dal phishing e dall'ingegneria sociale, può visitare il sito Si registri per una demo gratuita.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK