Introduzione
Nel suo libro “The Art of Deception”, il famoso hacker Kevin Mitnick ha spiegato il potere delle tecniche di ingegneria sociale . Oggi siamo consapevoli che l’ingegneria sociale può essere combinata con l’hacking per alimentare attacchi insidiosi.
Consideriamo, ad esempio, i social media e le piattaforme mobili; sono potenti vettori di attacco per varie categorie di attori delle minacce perché consentono di raggiungere istantaneamente un vasto pubblico.
La maggior parte degli attacchi che sfruttano entrambi i paradigmi sono efficaci perché sfruttano il concetto di “fiducia” su cui sono costruiti i social network.
Diamo uno sguardo più da vicino agli attacchi di ingegneria sociale più comuni utilizzati per prendere di mira gli utenti.
Phishing
Gli attacchi di phishing sono il tipo più comune di attacchi che sfruttano le tecniche di ingegneria sociale. Gli aggressori utilizzano e-mail, social media, messaggistica istantanea e SMS per indurre le vittime a fornire informazioni sensibili o a visitare URL dannosi nel tentativo di compromettere i loro sistemi.
Gli attacchi di phishing presentano le seguenti caratteristiche comuni:
- I messaggi sono composti per attirare l’attenzione dell’utente, in molti casi per stimolare la sua curiosità fornendo alcune informazioni su un argomento specifico e suggerendo alle vittime di visitare un sito web specifico per saperne di più.
- I messaggi di phishing volti a raccogliere le informazioni di un utente trasmettono un senso di urgenza. Questo è un tentativo di indurre la vittima a rivelare dati sensibili al fine di risolvere una situazione che potrebbe peggiorare senza l’interazione della vittima.
- Gli aggressori sfruttano URL abbreviati o link incorporati per reindirizzare le vittime a un dominio dannoso che potrebbe ospitare codici di exploit o che potrebbe essere un clone di siti Web legittimi con URL che sembrano legittimi. In molti casi, il collegamento effettivo e il collegamento visivo nell’e-mail sono diversi; ad esempio, il collegamento ipertestuale nell’e-mail non punta alla stessa posizione del collegamento ipertestuale apparente visualizzato agli utenti.
- I messaggi e-mail di phishing hanno un oggetto ingannevole per invogliare il destinatario a credere che l’email provenga da una fonte attendibile. Gli aggressori utilizzano un indirizzo del mittente contraffatto o l’identità contraffatta dell’organizzazione. Di solito copiano contenuti come testi, loghi, immagini e stili utilizzati sul sito Web legittimo per farlo sembrare autentico.
Watering hole
Un attacco watering hole consiste in iniettando codice dannoso nelle pagine Web pubbliche di un sito che le destinazioni erano solite visitare. Il metodo di iniezione non è nuovo ed è comunemente utilizzato da cybercriminali e hacker. Gli aggressori compromettono i siti Web all’interno di un settore specifico che sono normalmente visitati da individui specifici di interesse per gli attacchi.
Una volta che una vittima visita la pagina sul sito Web compromesso, un Trojan backdoor viene installato sul suo computer. Un metodo di attacco a dirotto è molto comune per un’operazione di spionaggio informatico o attacchi sponsorizzati dallo stato.
È convinzione comune che questo tipo di attacco sia correlato ad offensive sponsorizzate dallo stato. La scelta del sito da compromettere, lo studio delle abitudini della vittima e l’adozione di un codice di exploit efficiente sono passaggi che richiedono uno sforzo notevole nella fase di preparazione dell’attacco.
Aumenta l’efficienza degli attacchi watering hole con l’uso di exploit zero-day che influenzano il software della vittima. In questo caso, le vittime non hanno modo di proteggere i loro sistemi dalla diffusione di malware.
Attacco alla balena
La caccia alla balena è un’altra evoluzione degli attacchi di phishing che utilizza sofisticate tecniche di ingegneria sociale per rubare informazioni riservate , dati personali, credenziali di accesso a servizi / risorse limitati e, in particolare, informazioni con valore rilevante da un punto di vista economico e commerciale.
Ciò che distingue questa categoria di phishing dalle altre è la scelta degli obiettivi: dirigenti competenti di aziende private e agenzie governative. Viene usata la parola caccia alla balena, per indicare che il bersaglio è un grande bersaglio da catturare.
La caccia alla balena adotta gli stessi metodi degli attacchi di spearphishing. L’e-mail truffa è progettata per mascherarsi come un’e-mail aziendale critica inviata da un’autorità legittima, in genere dai dirigenti competenti di importanti organizzazioni. In genere, il contenuto del messaggio inviato è progettato per l’alta dirigenza e segnala un qualche tipo di preoccupazione falsa a livello aziendale o informazioni altamente riservate.
Pretexting
Il termine pretesto indica la pratica di presentarsi come qualcun altro per ottenere informazioni private. Di solito, gli aggressori creano un’identità falsa e la usano per manipolare la ricezione di informazioni.
Gli aggressori che sfruttano questa specifica tecnica di ingegneria sociale adottano diverse identità che hanno creato.Questa cattiva abitudine potrebbe esporre le loro operazioni alle indagini condotte da esperti di sicurezza e forze dell’ordine.
Il successo dell’attacco con pretesto finge fortemente che l’aggressore abbia la capacità di creare fiducia.
Più avanzato forme di attacchi con pretesti cercano di manipolare le vittime affinché eseguano un’azione che consenta a un utente malintenzionato di scoprire e sfruttare un punto di errore all’interno di un’organizzazione.
Un utente malintenzionato può impersonare un operatore di servizi IT esterno per chiedere al personale interno informazioni che potrebbero consentire l’accesso ai sistemi all’interno dell’organizzazione.
Attacchi esca e quid pro quo
Un’altra tecnica di ingegneria sociale è l’esca che sfrutta la curiosità umana. L’esca a volte viene confusa con altri attacchi di ingegneria sociale. La sua caratteristica principale è la promessa di beni che gli hacker utilizzano per ingannare le vittime.
Un classico esempio è uno scenario di attacco in cui gli aggressori utilizzano un file dannoso camuffato da aggiornamento software o da software generico. Un utente malintenzionato può anche alimentare un attacco adescante nel mondo fisico, ad esempio disseminando token USB infetti nel parcheggio di un’organizzazione di destinazione e attendere che il personale interno li inserisca nei PC aziendali.
Il malware installato su i token USB comprometteranno i PC, ottenendo il pieno controllo necessario per gli attacchi.
Un attacco quid pro quo (noto anche come attacco “qualcosa contro qualcosa”) è una variante dell’esca. Invece di innescare un bersaglio con la promessa di un buon attacco quid pro quo promette un servizio o un vantaggio basato sull’esecuzione di un’azione specifica.
In uno scenario di attacco quid pro quo, l’hacker offre un servizio o un vantaggio in cambio per informazioni o accesso.
L’attacco quid pro quo più comune si verifica quando un hacker si spaccia per uno staff IT per una grande organizzazione. Quell’hacker tenta di contattare telefonicamente i dipendenti dell’organizzazione target quindi offre loro una sorta di di aggiornamento o installazione del software.
Potrebbero richiedere vittime per facilitare l’operazione disabilitando temporaneamente il software AV per installare l’applicazione dannosa.
Tailgating
L’attacco tailgating, noto anche come “piggybacking”, coinvolge un utente malintenzionato che cerca di accedere a un’area riservata priva della corretta autenticazione.
L’aggressore può semplicemente entrare dietro una persona autorizzata ad accedere all’area. In un tipico scenario di attacco, una persona si spaccia per un corriere carico di pacchi e attende che un dipendente apra la porta. L’aggressore chiede al dipendente di tenere la porta, aggirando le misure di sicurezza in atto (ad esempio, controllo elettronico degli accessi).
Ulteriori informazioni sugli attacchi di ingegneria sociale
10 attacchi di phishing più comuni
5 minacce di ingegneria sociale alla privacy dei dipendenti
phishing e caccia alle balene
Fonti
5 ingegneria sociale Attacchi a cui prestare attenzione, lo stato della sicurezza
Qingxiong Ma, “Il processo e le caratteristiche degli attacchi di phishing: case study di una piccola società commerciale internazionale”, Journal of Technology Research
Framework di ingegneria sociale, sicurezza attraverso l’istruzione
Ingegneria sociale: attacchi Quid Pro Quo, LinkedIn
Ingegneria sociale: cos’è il tailgating ?, Mailfence