Attacchi di ingegneria sociale e di phishing

Scritto il

fonte www.cert-pa.it/

Da un recente articolo pubblicato dal Federal Bureau Investigation (FBI) in merito alle tecniche di difesa dagli attacchi di phishing e spear phishing, riportiamo una sintesi delle informazioni salienti al fine di sensibilizzare, riconoscere e possibilmente evitare queste tipologie di attacchi.

Phishing

Il phishing è un particolare tipo di truffa effettuata tramite l’invio di e-mail con l’obiettivo di indurre l’utente a rispondere. Spesso l’e-mail include un allegato o un link dannoso che una volta aperto o cliccato sul collegamento, ottiene l’accesso al dispositivo.

Disponendo dell’accesso al dispositivo, l’utente malintenzionato, può procedere  ad installare ransomware, può rubare dati, installare un software che gli consente di tenere traccia di tutte le attività, comprese le password inserite, può ottenere l’accesso ai conti bancari, carte di credito e tutte le informazioni personali memorizzate.

Spear phishing

Questa truffa è una versione più sofisticata di phishing, in quanto l’utente malintenzionato invia un messaggio personalizzato che sembra provenire da una fonte attendibile, un amico, un istituto bancario, un partner commerciale, un collega.

Esistono molte varianti della truffa, ad esempio, il truffatore può:

  • Invitare a verificare alcune informazioni;
  • Includere una fattura falsa;
  • Offrire un rimborso o convincere di aver vinto un premio

Quindi quali sono i segnali di pericolo di tali truffe?

  • I messaggi di phishing sembrano spesso legittimi, come se provenissero da una persona o società attendibile. È facile falsificare un logo di una azienda.
  • Il messaggio della mail chiede di cliccare su un link o aprire un allegato. Potrebbe chiedere inoltre di fornire password, numeri di conto corrente o altre informazioni riservate.
  • Il messaggio della mail induce alla paura e a far reagire rapidamente l’utente. Potrebbe minacciare di chiudere l’account, di ricevere una multa, o addirittura essere arrestato.

Cosa fare?

  • Proteggere i dispositivi utilizzando software antivirus e antimalware. Impostare il software per l’aggiornamento automatico.
  • Non dare per scontato il mittente del messaggio. È opportuno chiamare o inviare una mail alla persona o all’azienda per verificare ed eventualmente avere una conferma.
  • In caso di dubbi, non fare clic.

Che cos’è un attacco di ingegneria sociale?

In un attacco di ingegneria sociale, un utente malintenzionato utilizza l’interazione umana (le abilità sociali) per ottenere o compromettere informazioni su un’organizzazione e/o sui suoi sistemi informatici.

Un utente malintenzionato ponendo domande a un dipendente, potrebbe essere in grado di mettere insieme abbastanza informazioni per infiltrarsi nella rete di un’organizzazione. Se un utente malintenzionato non è in grado di raccogliere informazioni sufficienti da una fonte, può contattare un’altra fonte all’interno della stessa organizzazione.

Che cos’è un attacco di phishing?

Il phishing è una forma di ingegneria sociale. Gli attacchi phishing utilizzano e-mail o siti Web dannosi per richiedere informazioni personali proponendosi come un’organizzazione affidabile. Ad esempio, un utente malintenzionato può inviare e-mail apparentemente da una società di carte di credito o da un istituto finanziario per richiedere informazioni sull’account, informando spesso dell’esistenza di un problema.

Quando gli utenti rispondono con le informazioni richieste, gli aggressori possono utilizzarle per ottenere l’accesso agli account.

Gli attacchi di phishing possono anche provenire da altri tipi di organizzazioni, come gli enti di beneficenza. Gli aggressori spesso approfittano degli eventi attuali e di determinati periodi dell’anno, come ad esempio:

  • catastrofi naturali;
  • epidemie e paure per la salute;
  • preoccupazioni economiche;
  • elezioni politiche;
  • vacanze.

Che cos’è un attacco Vishing?

Vishing è l’approccio del social engineering che sfrutta la comunicazione vocale. Questa tecnica può essere combinata con altre forme di ingegneria sociale che inducono una vittima a chiamare un certo numero e divulgare informazioni sensibili. Gli attacchi di vishing avanzati possono aver luogo completamente tramite comunicazioni vocali sfruttando le soluzioni VoIP (Voice over Internet Protocol) e i servizi di trasmissione. Il VoIP consente facilmente di falsificare l’identità del chiamante (ID), il che può sfruttare la fiducia mal riposta del pubblico nella sicurezza dei servizi telefonici, in particolare i servizi di rete fissa.

Che cos’è un attacco smishing?

Un attacco Smishing è una forma di ingegneria sociale che sfrutta SMS o messaggi di testo. I messaggi di testo possono contenere collegamenti a pagine Web, indirizzi e-mail o numeri di telefono che, se cliccati, possono aprire automaticamente una finestra del browser o un messaggio e-mail o comporre un numero. Questa integrazione di funzionalità di posta elettronica, voce, messaggi di testo e browser Web aumenta la probabilità che gli utenti siano vittime di attività fraudolente.

Come evitare di essere una vittima?

  • Diffidare di telefonate o messaggi di posta elettronica non richiesti da persone che chiedono informazioni su dipendenti o altre informazioni interne. Se un individuo sconosciuto afferma di appartenere a un’organizzazione legittima, verificare la sua identità direttamente con l’azienda.
  • Non fornire informazioni personali o informazioni sull’organizzazione dell’azienda , inclusa la sua struttura o le sue reti.
  • Non rivelare informazioni personali o finanziarie tramite e-mail e non rispondere alle richieste e-mail per tali informazioni.
  • Non inviare informazioni sensibili su Internet prima di aver verificato la sicurezza di un sito Web.
  • Prestare attenzione all’Uniform Resource Locator (URL) di un sito web. I siti Web dannosi possono apparire identici a un sito legittimo, ma l’URL può utilizzare una variazione dell’ortografia o un dominio diverso (ad esempio .com vs. .net).
  • Se non si è sicuri che una richiesta e-mail sia legittima, verificare contattando direttamente l’azienda. Non utilizzare le informazioni di contatto fornite su un sito Web collegato alla richiesta.
  • Installare e gestire software antivirus, firewall e filtri e-mail per ridurre parte del traffico.
  • Sfruttare tutte le funzionalità anti-phishing offerte dal client di posta elettronica e dal browser web.

Cosa fai se pensi di essere una vittima?

  • Se si ritiene di aver rivelato informazioni riservate sull’organizzazione, provvedere a segnalarle alle persone appropriate all’interno dell’organizzazione, inclusi gli amministratori di rete.
  • Se si ritiene che i conti finanziari possano essere compromessi, contattare immediatamente l’ istituto finanziario e procedere alla verifica o chiusura di eventuali conti che potrebbero essere stati compromessi. Controllare eventuali addebiti sul conto corrente.
  • Cambiare immediatamente tutte le credenziali che si ritengono essere state rivelate.  Se la stessa password viene utilizzata per più account, cambiarla in ciascun account e non riutilizzarla in futuro.

Riferimenti

 

Il CERT-PA invita alla lettura della pillola informativa realizzata sull’argomento anche in ragione del numero di attacchi veicolati tramite i canali di posta elettronica, convenzionale e certificata.

Print Friendly, PDF & Email

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Tema Seamless Keith, sviluppato da Altervista

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario