11 tipi di attacchi di ingegneria sociale

Utilizzando l'inganno e la manipolazione, gli attacchi di ingegneria sociale inducono l'obiettivo a fare qualcosa che l'attaccante desidera. L'ingegnere sociale può usare l'inganno, la coercizione o altri mezzi per influenzare il suo obiettivo.

Legga l'eBook Richiedi una Demo

La minaccia dell'ingegneria sociale

Una concezione popolare dei cyberattacchi prevede che un hacker identifichi e sfrutti una vulnerabilità nei sistemi di un'organizzazione. Ciò consente loro di accedere a dati sensibili, di piazzare malware o di intraprendere altre azioni dannose. Sebbene questi tipi di attacchi siano frequenti, una minaccia più comune è l'ingegneria sociale. In generale, è più facile ingannare una persona per farle compiere una determinata azione - come inserire le sue credenziali di accesso in una pagina di phishing - che raggiungere lo stesso obiettivo con altri mezzi.

11 tipi di attacchi di ingegneria sociale

Gli attori delle minacce informatiche possono utilizzare le tecniche di social engineering in vari modi per raggiungere i loro obiettivi. Alcuni esempi di attacchi di ingegneria sociale comuni sono i seguenti:

  1. Phishing: Il phishing consiste nell'invio di messaggi progettati per ingannare o costringere l'obiettivo a compiere un'azione. Ad esempio, le e-mail di phishing spesso includono un link a una pagina web di phishing o un allegato che infetta il computer dell'utente con un malware. Gli attacchi di phishing di tipo "spear" sono un tipo di phishing che si rivolge a un individuo o a un piccolo gruppo.
  2. Business Email Compromise (BEC): In un attacco BEC, l'aggressore si maschera da dirigente dell'organizzazione. L'aggressore ordina quindi a un dipendente di eseguire un bonifico bancario per inviare denaro all'aggressore.
  3. Frode delle fatture: In alcuni casi, i criminali informatici possono impersonare un venditore o un fornitore per rubare denaro all'organizzazione. L'aggressore invia una fattura falsa che, una volta pagata, invia denaro all'aggressore.
  4. Impersonificazione del marchio: L'impersonificazione del marchio è una tecnica comune negli attacchi di ingegneria sociale. Ad esempio, i phisher possono fingere di essere di un marchio importante (DHL, LinkedIn, ecc.) e ingannare l'obiettivo per fargli accedere al suo account su una pagina di phishing, fornendo all'aggressore le credenziali dell'utente.
  5. La caccia alle balene: Gli attacchi di whaling sono fondamentalmente attacchi di spear phishing che prendono di mira i dipendenti di alto livello di un'organizzazione. I dirigenti e il management di alto livello hanno il potere di autorizzare azioni che avvantaggiano un attaccante.
  6. Adescamento: Gli attacchi di adescamento utilizzano un pretesto gratuito o desiderabile per attirare l'interesse dell'obiettivo, spingendolo a consegnare le credenziali di accesso o a compiere altre azioni. Per esempio, tentare gli obiettivi con musica gratuita o sconti su software premium.
  7. Vishing: Il vishing o "voice phishing" è una forma di ingegneria sociale che viene eseguita al telefono. Utilizza trucchi e tecniche simili al phishing, ma con un mezzo diverso.
  8. Smishing: Lo smishing è il phishing effettuato tramite messaggi di testo SMS. Con il crescente utilizzo di smartphone e servizi di accorciamento dei link, lo smishing sta diventando una minaccia sempre più comune.
  9. Pretexting: Il pretexting prevede che l'aggressore crei uno scenario falso in cui sarebbe logico che l'obiettivo inviasse denaro o consegnasse informazioni sensibili all'aggressore. Ad esempio, l'aggressore può affermare di essere una parte fidata che ha bisogno di informazioni per verificare l'identità della vittima.
  10. Quid Pro Quo: in un attacco quid pro quo, l'attaccante dà all'obiettivo qualcosa - come denaro o un servizio - in cambio di informazioni preziose.
  11. Tailgating/Piggybacking: Il tailgating e il piggybacking sono tecniche di ingegneria sociale utilizzate per ottenere l'accesso ad aree sicure. L'ingegnere sociale segue una persona attraverso una porta, con o senza la sua conoscenza. Per esempio, un dipendente può tenere la porta a qualcuno che sta lottando con un pacco pesante.

Come prevenire gli attacchi di ingegneria sociale

L'ingegneria sociale prende di mira i dipendenti di un'organizzazione, piuttosto che i punti deboli dei suoi sistemi. Alcuni dei modi in cui un'organizzazione può proteggersi dagli attacchi di ingegneria sociale includono:

  • Formazione dei dipendenti: Gli attacchi di social engineering sono progettati per ingannare il bersaglio. La formazione dei dipendenti per identificare e rispondere correttamente alle più comuni tecniche di social engineering aiuta a ridurre il rischio che ci caschino.
  • Privilegio minimo: Gli attacchi di social engineering di solito mirano alle credenziali dell'utente, che possono essere utilizzate negli attacchi successivi. Limitare l'accesso degli utenti limita i danni che possono essere causati da queste credenziali.
  • Separazione dei compiti: La responsabilità dei processi critici, come i bonifici bancari, deve essere suddivisa tra più parti. Questo assicura che nessun singolo dipendente possa essere ingannato o costretto a eseguire queste azioni da un aggressore.
  • Anti-Phishing Soluzioni: Il phishing è la forma più comune di ingegneria sociale. Anti-Phishing Le soluzioni come la scansione delle e-mail possono aiutare a identificare e a bloccare malicious email per raggiungere le caselle di posta degli utenti.
  • autenticazione a più fattori (MFA): L'MFA rende più difficile per un aggressore utilizzare le credenziali compromesse dall'ingegneria sociale. Oltre alla password, l'attaccante richiederebbe anche l'accesso all'altro fattore MFA.
  • Endpoint Security: L'ingegneria sociale è comunemente utilizzata per diffondere il malware nei sistemi di destinazione. Endpoint Security Le soluzioni possono limitare gli impatti negativi di un attacco di phishing riuscito, identificando e rimediando alle infezioni da malware.

Prevenire gli attacchi di ingegneria sociale con Check Point

L'ingegneria sociale è una minaccia significativa per la sicurezza informatica delle imprese. Per saperne di più sulla minaccia dell'ingegneria sociale, consultate l'eBook Storia, evoluzione e futuro dell'ingegneria sociale.

Check Point Harmony Email and Office offre una solida protezione contro il phishing, la principale minaccia di social engineering che le aziende devono affrontare. Per saperne di più sulla gestione dell'esposizione della sua organizzazione al social engineering, si iscriva oggi stesso a una demo gratuita.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK