Cos'è l'ingegneria sociale: definizione, attacchi

Cos'è l'ingegneria sociale? Significa

L'ingegneria sociale è l'arte di manipolare gli utenti di un sistema informatico inducendoli a rivelare informazioni riservate che possono essere utilizzate per ottenere accesso non autorizzato a un sistema informatico. Il termine può anche includere attività come lo sfruttamento della gentilezza umana, dell'avidità e della curiosità per ottenere l'accesso a edifici ad accesso limitato o convincere gli utenti a installare software backdoor.

Conoscere i trucchi utilizzati dagli hacker per indurre gli utenti a rivelare informazioni di accesso vitali, tra le altre cose, è fondamentale per proteggere i sistemi informatici

In questo tutorial ti presenteremo le comuni tecniche di ingegneria sociale e come elaborare misure di sicurezza per contrastarle.

Come funziona l'ingegneria sociale?

Lavori di ingegneria sociale

QUI,

  • Raccogliere informazioni: Questa è la prima fase, si apprende il più possibile sulla vittima designata. Le informazioni vengono raccolte dai siti Web aziendali, da altre pubblicazioni e talvolta parlando con gli utenti del sistema di destinazione.
  • Pianifica l'attacco: Gli aggressori delineano come intendono eseguire l'attacco
  • Acquisisci strumenti: Questi includono i programmi informatici che un utente malintenzionato utilizzerà per lanciare l'attacco.
  • attacco: sfruttare i punti deboli del sistema di destinazione.
  • Utilizzare la conoscenza acquisita: le informazioni raccolte durante le tattiche di ingegneria sociale come nomi di animali domestici, date di nascita dei fondatori dell'organizzazione, ecc. vengono utilizzate in attacchi come l'ipotesi di password.

Tipi di attacchi di ingegneria sociale

Le tecniche di ingegneria sociale possono assumere molte formeDi seguito è riportato l'elenco delle tecniche comunemente utilizzate.

Sfruttamento della familiarità:

Gli utenti sono meno sospettosi nei confronti delle persone con cui hanno familiarità. Un utente malintenzionato può familiarizzare con gli utenti del sistema preso di mira prima dell'attacco di ingegneria sociale. L'aggressore può interagire con gli utenti durante i pasti, quando gli utenti fumano può partecipare, durante eventi sociali, ecc. Ciò rende l'aggressore familiare agli utenti. Supponiamo che l'utente lavori in un edificio che necessita di un codice di accesso o di una tessera per poter accedere; l'aggressore può seguire gli utenti mentre entrano in tali luoghi. Gli utenti preferiscono tenere la porta aperta affinché l'aggressore possa entrare poiché hanno familiarità con loro. L'aggressore può anche chiedere risposte a domande come dove hai incontrato il tuo coniuge, il nome del tuo insegnante di matematica del liceo, ecc. È molto probabile che gli utenti rivelino le risposte poiché si fidano del volto familiare. Queste informazioni potrebbero essere utilizzate per hackerare account di posta elettronica e altri account che fanno domande simili se si dimentica la password.

Circostanze intimidatorie:

Le persone tendono ad evitare le persone che intimidiscono gli altri intorno a loro. Utilizzando questa tecnica, l'aggressore può fingere di avere una accesa discussione telefonica o con un complice dell'operazione. L'aggressore potrebbe quindi chiedere agli utenti informazioni che verrebbero utilizzate per compromettere la sicurezza del sistema degli utenti. Molto probabilmente gli utenti danno le risposte corrette solo per evitare di avere un confronto con l'aggressore. Questa tecnica può essere utilizzata anche per evitare di essere controllati ai controlli di sicurezza.

Phishing:

Questa tecnica utilizza inganni e inganni per ottenere dati privati ​​dagli utenti. L'ingegnere sociale può tentare di impersonare un sito Web autentico come Yahoo e quindi chiedere all'ignaro utente di confermare il nome dell'account e la password. Questa tecnica potrebbe essere utilizzata anche per ottenere informazioni sulla carta di credito o altri dati personali preziosi.

Tailgating:

Questa tecnica consiste nel seguire gli utenti mentre entrano in aree riservate. Per cortesia umana, è molto probabile che l'utente lasci entrare l'ingegnere sociale nell'area riservata.

Sfruttare la curiosità umana:

Usando questa tecnica, l'ingegnere sociale può rilasciare deliberatamente un flash disk infetto da virus in un'area dove gli utenti possono facilmente raccoglierlo. Molto probabilmente l'utente collegherà il disco flash al computer. Il disco flash potrebbe eseguire automaticamente il virus oppure l'utente potrebbe essere tentato di aprire un file con un nome come Employees Revaluation Report 2013.docx che potrebbe effettivamente essere un file infetto.

Sfruttare l'avidità umana:

Utilizzando questa tecnica, l'ingegnere sociale può adescare l'utente con la promessa di guadagnare un sacco di soldi online compilando un modulo e confermando i propri dati tramite i dati della carta di credito, ecc.

Come prevenire gli attacchi di ingegneria sociale?

Ecco alcuni modi importanti per proteggersi da tutti i tipi di attacchi di ingegneria sociale:

  • Evita di collegare una USB sconosciuta al tuo computer.
  • Non cliccare mai sui link presenti in email o messaggi.
  • Utilizza password complesse (e un gestore di password).
  • Usa l'autenticazione a più fattori.
  • Sii molto cauto nel costruire amicizie solo online.
  • Mantieni aggiornato tutto il tuo software.
  • Proteggi i tuoi dispositivi informatici.
  • Acquista un software antivirus.
  • Effettua regolarmente il backup dei dati.
  • Distruggi regolarmente i documenti sensibili.
  • Usa una VPN.
  • Blocca il tuo portatile

Contromisure di ingegneria sociale

Contromisure di ingegneria sociale

La maggior parte delle tecniche impiegate dagli ingegneri sociali implicano la manipolazione dei pregiudizi umani. Per contrastare tali tecniche, un'organizzazione può;

  • Per contrastare l'exploit della familiarità, gli utenti devono essere formati a non sostituire la familiarità con le misure di sicurezza. Anche le persone con cui hanno familiarità devono dimostrare di avere l'autorizzazione per accedere a determinate aree e informazioni.
  • Per contrastare gli attacchi in circostanze intimidatorie, gli utenti devono essere addestrati a identificare le tecniche di ingegneria sociale che pescano informazioni sensibili e dicono educatamente di no.
  • Per contrastare le tecniche di phishing, la maggior parte dei siti come Yahoo utilizza connessioni sicure crittografare i dati e dimostrare che sono chi affermano di essere. Controllare l'URL può aiutarti a individuare siti falsi. Evita di rispondere alle e-mail che ti chiedono di fornire informazioni personali.
  • Per contrastare gli attacchi di coda, gli utenti devono essere addestrati a non permettere ad altri di utilizzare il proprio nulla osta di sicurezza per accedere ad aree riservate. Ogni utente dovrà utilizzare i propri diritti di accesso.
  • Per contrastare la curiosità umana, è meglio inviare i dischi flash raccolti a amministratori di sistema che dovrebbero scansionarli alla ricerca di virus o altre infezioni preferibilmente su una macchina isolata.
  • Per contrastare le tecniche che sfruttano l’avidità umana, i dipendenti devono esserlo allenato sui pericoli di cadere in tali truffe.

Sommario

  • L'ingegneria sociale è l'arte di sfruttare gli elementi umani per ottenere l'accesso a risorse non autorizzate.
  • Gli ingegneri sociali utilizzano una serie di tecniche per ingannare gli utenti inducendoli a rivelare informazioni sensibili.
  • Le organizzazioni devono disporre di policy di sicurezza dotate di contromisure di ingegneria sociale.