La concezione popolare di attacchi informatici e hacking prevede che qualcuno sfrutti una vulnerabilità nel software per ottenere l’accesso a un sistema. Tuttavia, la maggior parte delle volte, non è così. Invece di prendere di mira software e computer, molti cybercriminali concentrano i loro sforzi sui loro utenti umani. Gli attacchi di ingegneria sociale e phishing sono due ottimi esempi di questa tecnica.
Gli attacchi di ingegneria sociale utilizzano l'inganno, la coercizione e tecniche simili per indurre il bersaglio a fare ciò che l'aggressore vuole. L'aggressore può fingere di essere un collega, una figura autorevole, un fornitore fidato o qualcun altro di cui l'obiettivo si fiderebbe e vorrebbe aiutare. In alternativa, l'aggressore potrebbe minacciare di esporre informazioni sensibili o dannose se l'obiettivo non rispetta i suoi desideri o potrebbe offrire una tangente per l'assistenza dell'obiettivo.
Gli attacchi di ingegneria sociale possono essere eseguiti in vari modi. Possono coinvolgere computer, usare il telefono o accadere di persona. Ad esempio, fingere di essere un postino o chiedere a qualcuno di tenere la porta sono esempi classici di attacchi di ingegneria sociale progettati per ottenere l'accesso fisico a un'area sicura.
Gli attacchi di phishing utilizzano messaggi dannosi per indurre la vittima a eseguire gli ordini dell'aggressore. Spesso, questi messaggi vengono forniti con un collegamento incorporato o un file allegato con contenuto dannoso. Se l'utente fa clic sul collegamento o apre il file, potrebbe essere indirizzato a una pagina Web che ruba informazioni sensibili o installa malware sul proprio computer.
Tuttavia, non tutti gli attacchi di phishing richiedono questo collegamento o file dannoso. Alcuni sono progettati per indurre l'utente a intraprendere un'azione senza alcun contenuto dannoso. Ad esempio, gli attacchi BEC ( Business Email Compromise ) spesso coinvolgono fatture false per servizi presumibilmente eseguiti per l'azienda. Queste fatture non contengono malware, ma se il destinatario crede e paga la fattura, il denaro va all'aggressore.
Il phishing è comunemente associato alle e-mail, ma qualsiasi piattaforma di messaggistica può essere utilizzata per eseguire questi attacchi. phishing tramite messaggi di testo è denominato smishing (per phishing tramite SMS) e anche i social media, le piattaforme di collaborazione aziendale e soluzioni simili possono essere utilizzati per eseguire attacchi di phishing.
L'ingegneria sociale e il phishing sono concetti correlati. In effetti, il phishing è un tipo particolare di attacco di ingegneria sociale.
L'ingegneria sociale si riferisce alle tecniche che un utente malintenzionato utilizza per indurre il proprio obiettivo a eseguire gli ordini dell'aggressore. Nel caso di un attacco di phishing, l'aggressore utilizza una qualche forma di piattaforma di messaggistica per inviare collegamenti, allegati dannosi o altri tipi di contenuti ingannevoli, allettanti o minacciosi al destinatario al fine di indurlo a eseguire gli ordini dell'aggressore.
Gli attacchi phishing rappresentano il tipo più comune di ingegneria sociale e presentano diverse varianti, tra cui lo spear phishing e il whaling. Tuttavia, esistono anche altre forme di attacchi di ingegneria sociale, tra cui:
Adescamento: In questo attacco, l'aggressore promette qualcosa di prezioso al bersaglio in cambio della fornitura di informazioni sensibili o di qualche altra azione.
Le organizzazioni possono implementare un'ampia gamma di protezioni contro gli attacchi di ingegneria sociale, tra cui:
Gli attacchi di ingegneria sociale si presentano in varie forme. Scopri di più sulla minaccia dell'ingegneria sociale nell'ebook Social Engineering di Check Point.
Il phishing è di gran lunga la minaccia di ingegneria sociale più comune e le soluzioni di sicurezza della posta elettronica rappresentano una difesa efficace. Per saperne di più, consulta il Forrester Wave for Enterprise Email Security 2023. Check Point Harmony Endpoint offre una gamma di funzionalità progettate per ridurre al minimo il rischio di attacchi di ingegneria sociale e phishing. Scopri cosa può fare per la tua organizzazione con una demo gratuita.