In un mondo sempre più online, dove la fiducia è sia una valuta che una vulnerabilità, gli attori di minacce cercano di manipolare il comportamento umano e di sfruttare la tendenza delle persone di voler essere utili. In questa infografica esploreremo l'ingegneria sociale, compreso perché gli attori di minacce considerano le identità professionali più importanti di qualsiasi altra cosa; inoltre, vedremo alcuni dei modi con cui manipolano la natura umana per raggiungere i loro obiettivi.
Approfittarsi dell'economia della fiducia: la frode dell'ingegneria sociale
L'ingegneria sociale e il fascino criminale del phishing
Circa il 90%1 degli attacchi di phishing implica tattiche di ingegneria sociale progettate per manipolare le vittime (di solito tramite email) affinché rivelino informazioni sensibili, facciano clic su collegamenti dannosi o aprano file dannosi. Gli attacchi di phishing sono convenienti per gli hacker, consentono di eludere le misure di prevenzione e vantano percentuali di riuscita elevate.
Le leve del comportamento umano
Le tecniche di ingegneria sociale tendono a dipendere dalla confidenza e dalla persuasione che gli utenti malintenzionati usano per convincere i loro target a effettuare azioni che altrimenti sarebbero insolite. Tre livelli efficaci sono urgenza, emozione e abitudine.2 Urgenza Nessuno vuole perdere un'opportunità con scadenza o non riuscire a rispettare una scadenza importante. Il senso di urgenza spesso può ingannare target altrimenti razionali spingendoli a consegnare informazioni personali.
Esempio: Falsa urgenza
"Il tratto caratteristico di un'email di phishing è l'aggiunta di qualche tipo di intervallo di tempo. Vogliono spingerti a prendere una decisione in poco tempo."
Jack Mott – Microsoft Threat Intelligence
Emozione
La manipolazione emotiva può concedere un vantaggio agli autori di cyberattacchi, poiché è più probabile che le persone compiano azioni rischiose in uno stato emotivo amplificato, soprattutto se si tratta di paura, senso di colpa o rabbia.
Esempio: Manipolazione delle emozioni
"L'esca più efficace che io abbia mai visto è stata un'email brevissima che diceva qualcosa come: siamo stati contattati da tua moglie per preparare le carte del divorzio; fai clic sul collegamento per scaricare la tua copia."
Sherrod DeGrippo – Microsoft Threat Intelligence
Abitudine
I criminali sono osservatori scrupolosi del comportamento, e dedicano particolare attenzione ai tipi di abitudini e routine che le persone fanno "con il pilota automatico", senza pensarci troppo.
Esempio: Abitudine comune
In una tecnica nota come "quishing3", i truffatori si presentano come un'azienda credibile e chiedono di scansionare un codice a matrice nella loro email. Ad esempio, possono dire che devi scansionare il codice perché il tuo pagamento di una fattura non è andato a buon fine o devi reimpostare la password.
"Gli attori di minacce si adattano al ritmo delle aziende. Sono eccezionali nel distribuire esche che abbiano senso nel contesto in cui le riceviamo normalmente."
Jack Mott – Microsoft Threat Intelligence
Il limite tra l'utente tipo personale e professionale di un dipendente a volte può essere poco definito. Un dipendente può usare la propria email professionale per gli account personali che usa per lavorare. Gli attori di minacce a volte provano ad approfittarsene presentandosi sotto forma di uno di questi programmi per poter accedere alle informazioni aziendali di un dipendente.
"Nelle truffe di phishing via email, i criminali informatici controllano le loro esche per gli indirizzi e-mail aziendali. Gli indirizzi webmail personali non valgono il loro tempo. Gli indirizzi professionali sono più preziosi, quindi impiegano più risorse e concentrazione con attacchi hands-on-keyboard per personalizzare gli attacchi per quegli account."
Jack Mott – Microsoft Threat Intelligence
Il "lungo raggiro"
Gli attacchi di ingegneria sociale in genere non sono veloci. I tecnici tendono a stabilire una relazione di fiducia con le loro vittime nel tempo, usando tecniche lunghe e laboriose che iniziano dalla ricerca. Il ciclo di questo tipo di manipolazione dovrebbe essere come riportato di seguito:
- Indagine: I tecnici identificano un target e raccolgono informazioni di background, come potenziali punti di ingresso o protocolli di sicurezza.
- Penetrazione: I tecnici si concentrano su come instaurare un clima di fiducia con il target. Raccontano una storia, attirano il target e assumono il controllo dell'interazione per spingerlo a fare quello che vogliono.
- Sfruttamento: I tecnici ottengono le informazioni del target nel tempo. In genere, il target fornisce queste informazioni volentieri, e i tecnici possono usarle a proprio vantaggio per accedere a informazioni ancora più riservate.
- Fine dell'interazione: Un tecnico porrà fine all'interazione in modo naturale. Un tecnico abile lo farà senza che il target sospetti nulla
Gli attacchi BEC si distinguono nel settore del crimine informatico per la propria enfasi sull' ingegneria sociale e sull'arte dell'attività ingannevole. Gli attacchi BEC che riescono costano alle organizzazioni centinaia di milioni di dollari ogni anno. Nel 2022, l'Internet Crime Complaint Center del Federal Bureau of Investigation (FBI) ha registrato un importo adeguato di perdite superiore a 2,7 miliardi di USD per 21.832 denunce di BEC.4
I principali obiettivi degli attacchi BEC sono i dirigenti e altri leader senior, manager finanziari, personale delle risorse umane con accesso ai registri dei dipendenti come numeri di previdenza sociale, dichiarazioni fiscali o altre informazioni personali. Anche i nuovi dipendenti vengono presi di mira perché meno pronti a verificare richieste e-mail non familiari.
Quasi tutte le forme di attacchi BEC sono in aumento. I tipi di attacchi di tipo BEC comuni includono:5
- Compromissione dell'email diretta (DEC): gli account email compromessi sono usati per progettare con ingegneria sociale ruoli di contabilità interni o di terze parti per trasferire fondi sul conto corrente dell'utente malintenzionato o per cambiare le informazioni di pagamento di un conto esistente.
- Compromissione dell'email del fornitore (VEC): si tratta della progettazione con ingegneria sociale di una relazione con un fornitore esistente tramite l'appropriazione di un'email relativa ai pagamenti e l'imitazione dei dipendenti di un'azienda per convincere un fornitore a reindirizzare un pagamento in sospeso su un conto corrente illecito.
- Truffa con fatture false: si tratta di una truffa di ingegneria sociale di massa che sfrutta marchi popolari per convincere le aziende a pagare fatture false.
- Imitazione di rappresentanti legali: si tratta dello sfruttamento di relazioni di fiducia con grandi studi legali noti per aumentare la credibilità agli occhi di dirigenti di piccole aziende e startup, convincendoli a completare il pagamento di fatture insolute, in particolare prima di eventi importanti come offerte pubbliche iniziali. Il reindirizzamento dei pagamenti su un conto corrente illecito si verifica dopo che viene raggiunto un accordo sulle condizioni di pagamento.
Octo Tempest
Octo Tempest è un gruppo a matrice finanziaria di attori di minacce di lingua inglese nativi conosciuti per il lancio di campagne su vasta scala che si servono di tecniche adversary-in-the-middle (AiTM), ingegneria sociale e funzionalità di scambio di SIM.
Octo Tempest è un gruppo a matrice finanziaria di attori di minacce di lingua inglese nativi conosciuti per il lancio di campagne su vasta scala che si servono di tecniche adversary-in-the-middle (AiTM), ingegneria sociale e funzionalità di scambio di SIM.
Diamond Sleet
Ad agosto 2023, Diamond Sleet ha condotto un attacco alla catena di approvvigionamento software contro il provider di servizi software tedesco JetBrains che ha compromesso i server per la creazione dei software, il test e i processi di distribuzione. Diamond Sleet è riuscito a infiltrarsi in ambienti di compilazione in passato, quindi Microsoft ritiene che la sua attività presenti un rischio particolarmente elevato per le organizzazioni interessate.
Ad agosto 2023, Diamond Sleet ha condotto un attacco alla catena di approvvigionamento software contro il provider di servizi software tedesco JetBrains che ha compromesso i server per la creazione dei software, il test e i processi di distribuzione. Diamond Sleet è riuscito a infiltrarsi in ambienti di compilazione in passato, quindi Microsoft ritiene che la sua attività presenti un rischio particolarmente elevato per le organizzazioni interessate.
Sangria Tempest6
Sangria Tempest, noto anche come FIN, è conosciuto per il targeting del settore della ristorazione, rubando i dati delle carte di credito. Una delle sue esche più efficaci include un'accusa di intossicazione alimentare, i cui dettagli possono essere visualizzati aprendo un allegato dannoso.
Sangria Tempest, noto anche come FIN, è conosciuto per il targeting del settore della ristorazione, rubando i dati delle carte di credito. Una delle sue esche più efficaci include un'accusa di intossicazione alimentare, i cui dettagli possono essere visualizzati aprendo un allegato dannoso.
Gli hacker di Sangria Tempest, soprattutto dell'Europa orientale, hanno usato forum underground per reclutare madrelingua inglesi addestrati su come chiamare i negozi nella consegna dell'esca via email. Il gruppo ha rubato decine di milioni di dati di carte di credito in questo modo.
Midnight Blizzard
Midnight Blizzard è un attore di minacce con sede in Russia noto perché colpisce principalmente enti pubblici, entità diplomatiche, organizzazioni non governative (ONG) e provider di servizi IT soprattutto negli Stati Uniti e in Europa.
Midnight Blizzard è un attore di minacce con sede in Russia noto perché colpisce principalmente enti pubblici, entità diplomatiche, organizzazioni non governative (ONG) e provider di servizi IT soprattutto negli Stati Uniti e in Europa.
Midnight Blizzard sfrutta i messaggi di Teams per inviare esche che tentano di rubare credenziali da un'organizzazione target, coinvolgendo un utente e ottenendo l'approvazione di richieste dell'autenticazione a più fattori (MFA).
Lo sapevi?
La strategia di denominazione degli attori di minacce di Microsoft è passata a una nuova tassonomia per gli attori di minacce traendo ispirazione da temi legati al meteo.
La strategia di denominazione degli attori di minacce di Microsoft è passata a una nuova tassonomia per gli attori di minacce traendo ispirazione da temi legati al meteo.
Gli attacchi di ingegneria sociale possono essere sofisticati, ma ci sono delle cose che puoi fare per prevenirli.7 Se hai un approccio intelligente per privacy e sicurezza, puoi sconfiggere gli utenti malintenzionati al loro stesso gioco.
Per prima cosa, invita gli utenti a non usare gli account personali per email di lavoro o attività professionali.
Inoltre, assicurati di applicare la MFA. I tecnici dell'ingegneria sociale in genere cercano informazioni come le credenziali di accesso. Abilitando la MFA, anche se un utente malintenzionato ottiene il tuo nome utente e la tua password, non potrà comunque accedere ai tuoi account e alle tue informazioni personali.8
Non aprire email o allegati di origini sconosciute. Se un amico ti invia un collegamento che devi selezionare con una certa urgenza, verifica direttamente con lui che ti abbia inviato quel messaggio. Fermati e chiediti se il mittente è chi dice di essere prima di fare clic su qualsiasi cosa.
Fermati e verifica
Non fidarti delle offerte che sono troppo belle per essere vere. Non puoi vincere una lotteria alla quale non hai partecipato, e nessun reale straniero ha intenzione di lasciarti un grande importo di denaro. Se sembra troppo allettante, fai una rapida ricerca per stabilire se l'offerta è legittima o se si tratta di una trappola.
Non condividere troppo online. I tecnici di ingegneria sociale hanno bisogno della fiducia dei loro target per far funzionare le loro truffe. Se trovano i tuoi dati personali dai tuoi profili sui social media, possono usarli per far sembrare le loro truffe più legittime.
Proteggi computer e dispositivi. Usa software antivirus, firewall e filtri dell'email. Se una minaccia riuscisse a infiltrarsi nel tuo dispositivo, le tue informazioni saranno protette.
"Quando ricevi un'email o una chiamata discutibile, la soluzione è solo fermarsi e verificare. Le persone commettono errori quando fanno le cose troppo velocemente, quindi è importante ricordare ai dipendenti che non devono reagire tempestivamente in situazioni di questo tipo."
Jack Mott – Microsoft Threat Intelligence
Scopri di più su come proteggere la tua organizzazione guardando Il rischio della fiducia: minacce di ingegneria sociale e difesa informatica.
- [2]
Il contenuto in questa sezione è tratto da https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, Around 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
Nota: contenuto tratto da https://go.microsoft.com/fwlink/?linkid=2263229