5 Tipi di attacchi di ingegneria sociale
Truffe di ingegneria sociale sono in corso da anni e ancora, continuiamo a cadere per loro ogni singolo giorno. Ciò è dovuto alla schiacciante mancanza di formazione sulla sicurezza informatica a disposizione dei dipendenti di organizzazioni grandi e piccole. Nel tentativo di diffondere la consapevolezza di questa tattica e combattere, ecco una rapida panoramica delle truffe comuni di ingegneria sociale., I provider di servizi gestiti (MSP) hanno l’opportunità di educare i loro clienti di piccole e medie imprese a imparare a identificare questi attacchi, rendendo molto più facile evitare minacce come il ransomware.
Phishing
Il phishing è una forma leader di attacco di ingegneria sociale che viene in genere consegnato sotto forma di e-mail, chat, annuncio web o sito web che è stato progettato per impersonare un sistema reale, persona, o organizzazione. I messaggi di phishing sono creati per fornire un senso di urgenza o paura con l’obiettivo finale di catturare i dati sensibili di un utente finale., Un messaggio di phishing potrebbe provenire da una banca, il governo o una grande società. La chiamata alle azioni variano. Alcuni chiedono all’utente finale di “verificare” le informazioni di accesso di un account e includere una pagina di accesso derisa completa di loghi e marchi per sembrare legittimi. Alcuni sostengono che l’utente finale sia il “vincitore” di un gran premio o di una lotteria e richiedono l’accesso a un conto bancario in cui consegnare le vincite. Alcuni chiedono donazioni di beneficenza (e forniscono istruzioni di cablaggio) dopo un disastro naturale o una tragedia. Un attacco riuscito spesso culmina con l’accesso ai sistemi e la perdita di dati., Le organizzazioni di tutte le dimensioni dovrebbero prendere in considerazione il backup dei dati business-critical con una soluzione di business continuity e disaster recovery per recuperare da tali situazioni.
Baiting
Baiting, simile al phishing, implica offrire qualcosa di allettante a un utente finale, in cambio di informazioni di accesso o dati privati., L ‘ ” esca “si presenta in molte forme, sia digitali, come un download di musica o film su un sito peer-to-peer, sia fisici, come un’unità flash aziendale etichettata come” Executive Salary Summary Q3” che viene lasciata su una scrivania per un utente finale da trovare. Una volta che l’esca viene scaricato o utilizzato, software dannoso viene consegnato direttamente nel sistema degli utenti finali e l’hacker è in grado di mettersi al lavoro.
Quid Pro Quo
Simile all’adescamento, quid pro quo coinvolge un hacker che richiede lo scambio di dati critici o credenziali di accesso in cambio di un servizio., Ad esempio, un utente finale potrebbe ricevere una telefonata dall’hacker che, fingendosi un esperto di tecnologia, offre assistenza IT gratuita o miglioramenti tecnologici in cambio di credenziali di accesso. Un altro esempio comune è un hacker, in posa come un ricercatore, chiede l’accesso alla rete della società come parte di un esperimento in cambio di $100. Se un’offerta suona troppo bello per essere vero, probabilmente è quid pro quo.
Piggybacking
Il piggybacking, chiamato anche tailgating, è quando una persona non autorizzata segue fisicamente una persona autorizzata in un’area aziendale o in un sistema limitato., Un metodo provato e vero di piggybacking è quando un hacker chiama un dipendente per tenere una porta aperta per loro come hanno dimenticato la loro carta d’identità. Un altro metodo coinvolge una persona che chiede a un dipendente di” prendere in prestito ” il suo laptop per alcuni minuti, durante i quali il criminale è in grado di installare rapidamente software dannoso.,
Pretexting
Pretexting, l’equivalente umano del phishing, è quando un hacker crea un falso senso di fiducia tra se stessi e l’utente finale impersonando un collega o una figura di autorità ben nota a un utente finale al fine di ottenere l’accesso alle informazioni di login. Un esempio di questo tipo di truffa è un’e-mail a un dipendente da quello che sembra essere il capo del supporto IT o un messaggio di chat da un investigatore che afferma di eseguire un audit aziendale., Pretexting è altamente efficace in quanto riduce le difese umane al phishing creando l’aspettativa che qualcosa è legittimo e sicuro di interagire con. Pretexting e-mail sono particolarmente riusciti a ottenere l’accesso alle password dei dati aziendali e imitatori può sembrare legittimo, quindi è importante avere un backup di terze parti provider
Per tutti i dipendenti di essere a conoscenza delle varie forme di ingegneria sociale è essenziale per garantire la sicurezza informatica aziendale., Se gli utenti conoscono le caratteristiche principali di questi attacchi, è molto più probabile che possano evitare di cadere per loro.
Oltre all’educazione e alla consapevolezza, ci sono altri modi per ridurre il rischio di essere hackerati. I dipendenti devono essere istruiti a non aprire e-mail o fare clic su link da fonti sconosciute. I computer non dovrebbero mai essere condivisi con nessuno, nemmeno per un momento. Per impostazione predefinita, tutti i desktop, i laptop e i dispositivi mobili aziendali dovrebbero bloccarsi automaticamente quando rimangono inattivi per più di cinque minuti (o meno)., Infine, assicurati che la tua azienda sia pronta a riprendersi rapidamente da questo tipo di attacco nel caso in cui un dipendente cada vittima di uno di questi schemi. Gli esseri umani sono esseri umani, dopo tutto. Sfruttando una solida soluzione di backup e ripristino, tutti possono stare tranquilli.