Definizione di ingegneria sociale
Lingegneria sociale è larte di sfruttare la psicologia umana, piuttosto che le tecniche di hacking tecnico, per ottenere laccesso agli edifici , sistemi o dati.
Ad esempio, invece di cercare di trovare una vulnerabilità del software, un ingegnere sociale potrebbe chiamare un dipendente e fingersi una persona di supporto IT, cercando di indurre il dipendente a divulgare la sua password.
Il famoso hacker Kevin Mitnick ha contribuito a rendere popolare il termine “ingegneria sociale” negli anni 90, sebbene lidea e molte delle tecniche esistano da quando esistono artisti della truffa.
Anche se hai tutte le carte in regola quando si tratta di proteggere il tuo data center, le tue implementazioni cloud, la sicurezza fisica del tuo edificio e hai investito in tecnologie difensive, hai il diritto politiche e processi di sicurezza in atto e misurarne lefficacia e il miglioramento continuo e, ancora un ingegnere sociale furbo può farsi strada attraverso (o intorno).
Tecniche di ingegneria sociale
Lingegneria sociale ha dimostrato di essere un modo molto efficace per un criminale di “entrare” nella tua organizzazione. Una volta che un ingegnere sociale ha la password di un dipendente fidato, può semplicemente accedere e curiosare in giro per dati sensibili. Con una carta di accesso o un codice per entrare fisicamente in una struttura, il criminale può accedere ai dati, rubare beni o persino danneggiare persone.
Nellarticolo Anatomy of a Hack un penetration tester illustra come ha utilizzato gli eventi attuali, le informazioni pubbliche disponibili sui siti di social network e una maglietta Cisco da $ 4 che ha acquistato su un negozio dellusato per prepararsi al suo ingresso illegale. La maglietta lo ha aiutato a convincere la reception delledificio e altri dipendenti che era un dipendente Cisco in visita di supporto tecnico. Una volta entrato, è stato in grado di consentire lingresso illegale anche agli altri membri del team. è anche riuscito a far cadere diversi USB carichi di malware e ad hackerare la rete dellazienda, il tutto in vista di altri dipendenti.
Tuttavia, non è necessario andare a fare acquisti in un negozio dellusato per sferrare un attacco di ingegneria sociale. Funzionano altrettanto bene tramite posta elettronica, telefono o social media. Cosa hanno tutti gli attacchi in comune è che usano la natura umana a proprio vantaggio, depredando la nostra avidità, paura, curiosità e persino il nostro desiderio di aiutare gli altri.
Esempi di ingegneria sociale
I criminali spesso prendono settimane e mesi per conoscere un luogo prima ancora di entrare in casa o fare una telefonata. La loro preparazione potrebbe includere la ricerca di un elenco telefonico aziendale o di un organigramma e la ricerca di dipendenti su siti di social network come LinkedIn o Facebook.
1. Al telefono
Un ingegnere sociale potrebbe chiamare e fingere di essere un collega dipendente o unautorità esterna di fiducia (come le forze dellordine o un revisore dei conti).
2. In ufficio
“Mi puoi tenere la porta? Non ho la mia chiave / scheda di accesso con me. ” Quante volte lhai sentito nel tuo edificio? Sebbene la persona che lo chiede possa non sembrare sospettosa, questa è una tattica molto comune utilizzata dagli ingegneri sociali.
3. Online
I siti di social networking hanno reso più facile condurre gli attacchi di ingegneria sociale. Gli aggressori odierni possono visitare siti come LinkedIn e trovare tutti gli utenti che lavorano in unazienda e raccogliere molte informazioni dettagliate che possono essere utilizzate per promuovere un attacco.
Anche gli ingegneri sociali traggono vantaggio dalla violazione notizie, eventi festivi, cultura pop e altri dispositivi per attirare le vittime. In Woman perde $ 1.825 a causa della truffa dello shopping misterioso che spaccia per BestMark, Inc. puoi vedere come i criminali hanno sfruttato il nome di una nota società di mystery shopping per condurre le loro truffe. I truffatori usano spesso falsi enti di beneficenza per promuovere i loro obiettivi criminali durante le vacanze.
Gli aggressori personalizzeranno anche gli attacchi di phishing per prendere di mira interessi noti (ad es. artisti preferiti, attori, musica, politica, filantropie) che possono essere sfruttati per invogliare gli utenti fare clic su allegati contenenti malware.
Famosi attacchi di ingegneria sociale
Un buon modo per avere unidea delle tattiche di ingegneria sociale a cui prestare attenzione è per sapere cosa è stato usato in passato. Abbiamo raccolto tutti i dettagli in un ampio articolo sullargomento, ma per il momento concentriamoci su tre tecniche di ingegneria sociale – indipendenti dalle piattaforme tecnologiche – che hanno avuto grande successo per i truffatori.
Offri qualcosa di dolce. Come ti dirà qualsiasi artista della truffa, il modo più semplice per truffare un marchio è sfruttare la propria avidità. Questo è il fondamento della classica truffa nigeriana 419, in cui il truffatore cerca di convincere la vittima ad aiutare a trasferire denaro presumibilmente illecito dal proprio paese in una banca sicura, offrendo in cambio una parte dei fondi.Queste e-mail del “principe nigeriano” sono state uno scherzo per decenni, ma “sono ancora una tecnica di ingegneria sociale efficace di cui le persone si innamorano: nel 2007 il tesoriere di una contea del Michigan scarsamente popolata ha donato $ 1,2 milioni di fondi pubblici a un tale truffatore le speranze di incassare personalmente. Un altro richiamo comune è la prospettiva di un nuovo lavoro migliore, che a quanto pare è qualcosa che molti di noi vogliono: in una violazione estremamente imbarazzante del 2011, la società di sicurezza RSA è stata compromessa quando almeno due i dipendenti di livello hanno aperto un file malware allegato a une-mail di phishing con il nome del file “2011 recruitment plan.xls”.
Fingilo finché non lo fai. Una delle tecniche di social engineering più semplici e sorprendentemente di maggior successo è semplicemente fingere di essere la tua vittima. In una delle prime leggendarie truffe di Kevin Mitnick, ha avuto accesso ai server di sviluppo del sistema operativo della Digital Equipment Corporation semplicemente chiamando la società, affermando di essere uno dei loro sviluppatori principali e dicendo aveva problemi ad accedere; è stato subito ricompensato con un nuovo login e password. Tutto questo è accaduto nel 1979, e da allora le cose sarebbero migliorate, ma ti sbaglieresti: nel 2016 un hacker ha preso il controllo di un indirizzo e-mail del Dipartimento di Giustizia degli Stati Uniti e lo ha usato per impersonare un dipendente, convincendo un help desk per consegnare un token di accesso per lIntranet DoJ dicendo che era la sua prima settimana di lavoro e che non sapeva come funzionasse qualcosa.
Molte organizzazioni hanno barriere intese a prevenire questo tipo di imitazioni sfacciate, ma spesso possono essere aggirate abbastanza facilmente. Quando Hewlett-Packard ha assunto investigatori privati per scoprire quali membri del consiglio di amministrazione di HP stavano trapelando informazioni alla stampa nel 2005, sono stati in grado di fornire agli investigatori le ultime quattro cifre del loro “numero di previdenza sociale”, che AT & T “è accettato come prova di identità prima di consegnare i registri delle chiamate dettagliati.
Agisci come se fossi tu il responsabile. La maggior parte di noi sono pronti a rispettare lautorità o, a quanto pare, a rispettare le persone che si comportano come se avessero lautorità di fare ciò che stanno facendo. Puoi sfruttare diversi gradi di conoscenza dei processi interni di unazienda per convincere le persone che hai il diritto di essere in posti o vedere cose che non dovresti, o che una comunicazione che proviene da te proviene davvero da qualcuno che rispettano. Ad esempio, nel 2015 i dipendenti finanziari di Ubiquiti Networks hanno trasferito milioni di dollari in denaro aziendale ad artisti della truffa che si spacciavano per i dirigenti dellazienda, probabilmente utilizzando un URL simile nel loro indirizzo e-mail. Sul lato tecnologico inferiore, gli investigatori che lavoravano per i tabloid britannici tra la fine degli anni 2000 e linizio dei 10 anni spesso trovavano il modo di accedere agli account di posta vocale delle vittime fingendo di essere altri dipendenti della compagnia telefonica attraverso il puro bluff; ad esempio, un PI ha convinto Vodafone a reimpostare il PIN della segreteria telefonica dellattrice Sienna Miller chiamando e affermando di essere “John dal controllo del credito”.
A volte sono le autorità esterne le cui richieste rispettiamo senza pensarci troppo. Hillary Clinton Lonorevole della campagna John Podesta ha avuto la sua posta elettronica violata da spie russe nel 2016 quando gli hanno inviato une-mail di phishing camuffata da una nota di Google chiedendogli di reimpostare la sua password. Agendo che pensava avrebbe protetto il suo account, ha effettivamente fornito le sue credenziali di accesso di distanza.
Prevenzione dellingegneria sociale
La formazione sulla consapevolezza della sicurezza è il modo numero uno per prevenire lingegneria sociale. I dipendenti devono essere consapevoli che lingegneria sociale esiste e avere familiarità con i più tattiche usate solo.
Fortunatamente, la consapevolezza dellingegneria sociale si presta alla narrazione. E le storie sono molto più facili da capire e molto più interessanti delle spiegazioni di difetti tecnici. Anche i quiz e i poster che attirano lattenzione o divertenti sono dei promemoria efficaci per non dare per scontato che tutti siano chi dicono di essere.
Ma non è solo il dipendente medio che deve essere consapevole dellingegneria sociale. La leadership senior e i dirigenti sono obiettivi aziendali primari.
5 suggerimenti per difendersi dallingegneria sociale
Dan Lohrmann, collaboratore del CSO, offre i seguenti consigli:
1. Formati e formali nuovamente quando si tratta di consapevolezza della sicurezza.
Assicurati di disporre di un programma completo di formazione sulla consapevolezza della sicurezza che viene regolarmente aggiornato per affrontare sia le minacce generali di phishing che le nuove minacce informatiche mirate. Ricorda, questo è non solo di fare clic sui link.
2. Fornire un briefing dettagliato “roadshow” sulle ultime tecniche di frode online al personale chiave.
Sì, includi i dirigenti senior, ma non dimenticare chi ha lautorità per effettuare bonifici o altre transazioni finanziarie.Ricorda che molte delle storie vere riguardanti frodi si verificano con personale di livello inferiore che viene indotto a credere che un dirigente stia chiedendo loro di condurre unazione urgente, di solito aggirando le normali procedure e / o controlli.
3. Rivedi i processi, le procedure e la separazione dei compiti esistenti per i trasferimenti finanziari e altre transazioni importanti.
Aggiungi controlli extra, se necessario. Ricorda che la separazione dei compiti e altre protezioni può essere compromessa a un certo punto da minacce interne, quindi potrebbe essere necessario riesaminare le revisioni dei rischi date le minacce aumentate.
4. Prendi in considerazione le nuove politiche relative alle transazioni “fuori banda” o alle richieste urgenti dei dirigenti.
Unemail dallaccount Gmail del CEO dovrebbe automaticamente sollevare una bandiera rossa per il personale, ma questi deve comprendere le ultime tecniche implementate dal lato oscuro. Sono necessarie procedure di emergenza autorizzate che siano ben comprese da tutti.
5. Rivedi, perfeziona e testa i tuoi sistemi di gestione degli incidenti e di segnalazione di phishing.
Esegui un esercizio da tavolo con la direzione e con il personale chiave su un base regolare. Verifica i controlli e decodifica le potenziali aree di vulnerabilità.
Kit di strumenti di ingegneria sociale
Diversi fornitori offrono strumenti o servizi per aiutare a condurre esercizi di ingegneria sociale e / o aumentare la consapevolezza dei dipendenti attraverso mezzi come poster e newsletter.
Vale anche la pena dare unocchiata al Social Engineering Toolkit di social-engineer.org, che è scaricabile gratuitamente. Il toolkit aiuta ad automatizzare i test di penetrazione tramite lingegneria sociale, inclusi attacchi di spear phishing, creazione di siti Web dallaspetto legittimo, attacchi basati su unità USB e altro ancora.
Unaltra buona risorsa è The Social Engineering Framework.